Tendencias 2011: botnets, el fin del malware estático

El último día martes hicimos la presentación oficial del informe “Tendencias 2011: las botnet y el malware dinámico“, a través de un seminario gratuito en linea al cual asistieron cientos de personas de todo Latinoamérica. Ya publicado el informe, estaremos compartiendo con ustedes a través de sucesivos post durante esta y la próxima semana, las diversas tendencias que presentamos a lo largo del mismo.

El aspecto que hemos considerado como más relevante para el próximo año, son las botnet: redes de computadoras infectadas que son controladas remotamente por un atacante. Si consideramos las estadísticas brindadas por ThreatSense.Net, el servicio de Alerta Temprana de ESET NOD32 Antivirus, el malware del tipo bot ha aumentado notoriamente durante el año 2010, y es de esperarse que esta tendencia continúe y se afirme durante el próximo 2011. En la siguiente tabla podrán observar cómo diversas firmas (las más populares de este tipo) han visto aumentado el porcentaje de detección entre el año 2009 y 2010, según las estadísticas de detecciones indicadas por ThreatSense.Net:

Tendencias 2011 - Crecimiento de botnet

Claramente todas las firmas han tenido un crecimiento relevante, muy superior a la cantidad de detecciones del año anterior. Tomando algunas estadísticas mensuales, por ejemplo, si se compara el mes de octubre de 2009 con el mismo del 2010, se puede observar cómo la familia de códigos maliciosos identificada bajo la firma IRC/SdBot, que representó el 0,24% del total de las detecciones de malware de ESET NOD32 durante octubre del 2009, un año más tarde representa para el mismo mes el 0,49%. Es decir que mientras en 2009, durante un mes determinado, 1 de cada 400 usuarios recibían dicha amenaza en su sistema, para el 2010 ya son 1 de cada 200 usuarios los que vieron dicha variante de botnet en su sistema, siendo detectada a través de su software antivirus.

Estadísticas de terceros corroboran esta información, como es el caso de la brindada por la fundación dedicada a la estadísticas de botnet Shadow Server, que indica que a diciembre de 2010 son detectadas unas cinco mil quinientos botnet activas (habiendo llegado durante el año a seis mil en meses como mayo o julio), contra los pocos más de cuatro mil a finales del año anterior. Según las estadísticas de la fundación, en los últimos dos años ha habido un crecimiento aproximado de un 85% en la cantidad de botnet activas. A partir de estos valores, es posible esperar para el próximo 2011 más de siete mil redes botnet activas. Esto representa millones de usuarios afectados por esta amenaza. Este valor es obtenible tan solo si se toman simplemente tres de las botnet que han sido dadas de baja durante 2010: Waledac (80 mil usuarios afectados), Mariposa (13 millones) y Bredolab (30 millones).

Por otro lado, el negocio delictivo detrás de las botnet justifica y explica el crecimiento de estas. En la siguiente imagen pueden ver cómo es posible encontrar en un foro ruso (se muestra la traducción al español para mejor comprensión) conseguir por costos bajos (25 dólares diarios) realizar ataques de denegación de servicios. De esta forma, los atacantes venden los servicios de las botnet, y logran ganancias cada vez más importantes, como fue el caso del troyano Koobface que luego de que sus servidores fueran comprometidos se comprobó que entre junio del 2009 y junio del 2010 los administradores de la red obtuvieron más de dos millones de dólares de ingresos en servicios delictivos:

Tendencias 2011 - Costos de botnet

Además, en el informe completo hemos marcado también como tendencias las nuevas formas de administración de redes botnet, como es el caso de administración vía Twitter presentada durante este año en este mismo espacio; así como también observaremos con mayor frecuencia las noticias relacionadas al desmantelamiento de redes botnet, como hemos publicado este año

Para conocer más sobre esta y otras tendencias, los invito a leer el informe completo “Tendencias 2011: las botnet y el malware dinámico“. En el próximo post estaremos hablando del malware multi-plataforma, otra de las tendencias enunciadas en el paper.

Sebastián Bortnik
Coordinador de Awareness & Research

Autor , ESET

Síguenos