Cierre de Mumblehard: miles de servidores Linux dejan de enviar spam

A un año del lanzamiento de nuestro análisis técnico de Mumblehard, esta botnet para Linux ha dejado de tener actividad. ESET, en colaboración con la Policía Cibernética de Ucrania y la empresa CyS Centrum LLC, dio de baja a la botnet Mumblehard, que cesó todas sus actividades de spam el 29 de febrero de 2016.

Si los investigadores de seguridad trabajan con otras entidades, pueden reducir las actividades delictivas en Internet

ESET tiene un servidor sinkhole en funcionamiento para todos los componentes conocidos de Mumblehard. Gracias a los datos recopilados por él, la organización CERT-Bund se está ocupando de notificar a las partes afectadas de todo el mundo a través de los Equipos de Respuesta ante Emergencias Informáticas (CERT) de cada país.

Repercusión de la publicación del artículo

Los investigadores de ESET observaron una reacción por parte de los operadores de la botnet alrededor de un mes después de haber publicado el paper. En nuestro informe mencionamos que habíamos registrado un nombre de dominio que actuaría como un servidor falso de C&C para el componente backdoor de Mumblehard, con el fin de estimar el tamaño de la botnet y su distribución.

Como consecuencia, el autor del malware decidió eliminar los dominios y las direcciones IP innecesarios de la lista de servidores de C&C incluida en el malware, y solo mantuvo el servidor controlado por el atacante.

Mumblehard

Diferencia entre el código Perl descifrado del backdoor Mumblehard antes y poco después de la publicación del análisis técnico de ESET

ESET detectó por primera vez la versión modificada del malware el 24 de mayo de 2015. Esta muestra apareció en VirusTotal al día siguiente.

Los bots ya existentes no se actualizaron todos a la vez. Nuestro servidor sinkhole captó un primer grupo de alrededor de 500 equipos bots que se actualizaron el 25 de mayo; el resto recibió la actualización un mes después, el 26 de junio.

estadisticas-mumblehard

Estadísticas del sinkhole de Mumblehard tras la publicación del paper

Al haber una sola dirección IP actuando como servidor de C&C para el componente backdoor de Mumblehard y ningún mecanismo de reserva, tan solo con tomar el control de la dirección IP sería suficiente para detener las actividades maliciosas de esta botnet. Decidimos entonces tomar las medidas necesarias y nos pusimos en contacto con las autoridades pertinentes para hacerlo realidad.

Persiguiendo el servidor de C&C

Con la ayuda de la Policía Cibernética de Ucrania y de la empresa CyS Centrum LLC, logramos obtener información del servidor de C&C hacia fines de 2015. El análisis forense reveló que la mayor parte de nuestras hipótesis iniciales sobre el tamaño de la botnet y su propósito eran correctas. Su actividad principal era el envío de spam. También encontramos una gran cantidad de diferentes paneles de control para facilitar la gestión de la botnet.

Al igual que los componentes maliciosos de Mumblehard, el panel de control utilizaba el lenguaje de programación Perl.

Mumblehard

Panel de control utilizado para enviar comandos al backdoor de Mumblehard

Mumblehard

Panel de control que muestra el estado de una operación de envío de spam

Un tema que quedó sin resolver en nuestro informe inicial fue determinar cuál era el vector de infección de Mumblehard. Sabíamos que algunas de las víctimas habían sido infectadas luego de utilizar una herramienta de CMS, como WordPress o Joomla, o uno de sus complementos.

Al observar los datos del servidor de C&C, nos dimos cuenta de que la infección inicial no parecía haber llegado de ese servidor en particular. Los scripts que encontramos solo servían para ejecutarse en shells PHP ya instaladas. Quizá las estaban adquiriendo de otra banda criminal.

5-push_command

Panel para enviar comandos a una lista de shells PHP

Otro dato interesante acerca de su funcionamiento es la exclusión automática de la Lista de Bloqueo Compuesto Spamhaus (CBL). Había un script que verificaba automáticamente las direcciones IP de todos los equipos infectados. Si encontraba una dirección IP en la lista negra, creaba una petición para que se eliminara. Estas peticiones están protegidas con CAPTCHA para evitar la automatización, pero se hacía uso de herramientas de reconocimiento óptico de caracteres (OCR) o de servicios externos para romper la protección.

Figure 6: Status of an IP address from the control panel after it is delisted from the CBL

Estado de una dirección IP del panel de control luego de eliminarse de la lista CBL

Para realizar las acciones que requerían llegar hasta un servidor saliente, como ejecutar comandos en shells PHP, excluir direcciones de la lista CBL, etc., se utilizaban los huéspedes infectados. La función para proxies abiertos del componente daemon para envío de spam de Mumblehard, que escucha en el puerto TCP 39331, se utilizaba para ocultar la fuente original de la consulta. El panel que verifica la disponibilidad de todos los proxies mostró víctimas en 63 países diferentes.

Dentro de ellos se encuentran Brasil con 60 víctimas registradas, Chile con 27, México con 14, Colombia con 12, Argentina con 10, Perú con 4 y Bolivia con 2.

Mumblehard

Panel que muestra el estado de proxies abiertos verificados y el recuento por país

Las últimas estadísticas del sinkhole

Hemos estado recogiendo información con el servidor sinkhole durante el mes de marzo de 2016. Los datos demostraron que, a finales de febrero, había casi 4.000 sistemas Linux infectados con Mumblehard. Pero la cifra está disminuyendo claramente.

Hace poco, CERT-Bund comenzó a notificar a las partes afectadas. Esperamos ver una disminución más pronunciada en los próximos días.

sinkhole-mumblehard

Estadísticas de nuestro nuevo sinkhole

Desinfección

Si recibes una notificación de que tu servidor está infectado, lee la entrada correspondiente en nuestros indicadores de sistemas comprometidos en GitHub para obtener más detalles sobre cómo encontrar y eliminar Mumblehard de tu sistema.

Para evitar infecciones futuras, es crucial que mantengas siempre actualizadas las aplicaciones web alojadas en el servidor (incluyendo sus complementos) y que protejas las cuentas administrativas con contraseñas seguras.

Conclusión

Se necesitó de mucho esfuerzo de diversas partes para que el cierre de esta botnet fuera posible. La colaboración con las autoridades policiales y entidades externas fue crucial para que esta operación tuviera éxito. ESET agradece a la Policía Cibernética de Ucrania, a CyS Centrum LLC y a CERT-Bund. Estamos orgullosos de que nuestros esfuerzos hagan de Internet un lugar más seguro.

Quizá no sea la botnet más extendida, peligrosa o sofisticada de las que existen en la actualidad, pero aún así es un paso en la dirección correcta y demuestra que, si los investigadores de seguridad trabajan en conjunto con otras entidades, pueden tener un impacto para reducir las actividades delictivas en Internet.

Todavía no hemos visto ninguna nueva variante de Mumblehard, ni cualquier otro tipo de actividad de este grupo desde que se desmanteló la botnet.

Autor , ESET

Síguenos