Microsoft desactiva la botnet ZeroAccess (Sirefef)

La cruzada de Microsoft contra las botnets arrasó la semana pasada, cuando el gigante de la computación de Redmond, Washington y una coalición de agencias de orden público y compañías de seguridad de Internet, desmantelaron la notoria botnet conocida como ZeroAccess.

ZeroAccess o Sirefef, como suele llamarla Microsoft, es una plataforma de malware dirigida a los navegadores y motores de búsqueda más importantes. Sus dos funciones principales son: interceptar los resultados de búsqueda para redirigir a los usuarios a sitios web que alojan malware o roban información y cometer “fraude por clic”, que consiste en la generación de clics inválidos en los anuncios de Internet. En el pasado, ZeroAccess también demostró una tendencia hacia la minería de Bitcoins.

Microsoft hizo equipo con el Centro Europeo de Cibercrimen de Europol, el FBI y la firma de seguridad y aplicaciones de red A10 Networks para derribar ZeroAccess, que supuestamente ha infectado dos millones de máquinas y le cuesta a las empresas de publicidad en línea casi $3 millones al mes.

En los viejos tiempos, tirar una botnet era tan simple como apagar al servidor de Comando y Control para cesar sus operaciones. Por una parte, es debido a esto que varios manejadores han migrado a una arquitectura de botnets peer-to-peer (punto a punto). Este diseño distribuido indica que los cibercriminales detrás de la operación de ZeroAccess podrían controlar remotamente la botnet desde miles de máquinas infectadas. Es por esto que apagar ZeroAccess requirió de varias medidas legales y técnicas.

Microsoft presentó una demanda contra los operadores de la botnet y una corte de distrito de Texas, la cual concedió el permiso para bloquear el tráfico, tanto de entrada como de salida, a 18 direcciones IP involucradas en el fraude.

“La acción coordinada llevada a cabo por nuestros socios fue fundamental en la interrupción de ZeroAccess; este esfuerzo va a evitar que las computadoras de las víctimas sean utilizadas en fraudes y nos va a ayudar a identificar las computadoras que necesitan ser desinfectadas” comentó Davin Finn, director ejecutivo y consejero general asociado de la Unidad de Crímenes Digitales de Microsoft.

Mientras tanto, fuera de Estados Unidos, Europol canceló la operación de las 18 direcciones IP maliciosas y, en conjunto con Letonia, Luxemburgo, Suiza, Holanda y Alemania, ejecutó órdenes de allanamiento e incautaciones de servidores asociados con las direcciones IP fraudulentas.

“Esta operación marca un paso importante en las acciones coordinadas iniciadas por empresas privadas y, al mismo tiempo, posibilita que las agencias de seguridad de Europa identifiquen e investiguen a las organizaciones criminales y las redes detrás de estas peligrosas botnets que hacen uso de software malicioso para obtener ganancias ilícitas”, dijo Troels Oerting, presidente de EC3.

Microsoft y sus socios están conscientes de que es poco probable que sus acciones contra ZeroAccess hayan detenido a la botnet por completo. Sin embargo, creen que las medidas técnicas y legales que se tomaron afectarán significativamente a ZeroAccess, previniendo que más máquinas infectadas sigan contribuyendo a su comportamiento ilícito y provocando que sus operadores tengan que reestructurar su diseño.

“Si la comunidad hacker aún no se ha dado cuenta, el sabotaje de la botnet ZeroAccess es otro ejemplo del poder de la colaboración entre sectores públicos y privados”, comentó el Subdirector Ejecutivo del FBI, Richard McFeely. “Demuestra nuestro compromiso para ampliar la coordinación con compañías como Microsoft y con nuestro socios en agencias de seguridad extranjeras, en este caso con Europol, para terminar ciberataques maliciosos y retener a los criminales culpables de explotar las computadoras de nuestros ciudadanos y empresas”.

 Fuente