En la media década que transcurrió desde que Dorkbot fue identificado por primera vez, logró infectar a millones de víctimas inocentes mientras realizaban sus tareas cotidianas, en más de 190 países. Literalmente al igual que un gusano, se fue abriendo paso en forma sigilosa hasta llegar a los sistemas informáticos de todo el mundo, mostrando una indiferencia absoluta ante cualquier persona que se cruzara en su camino. La industria de la seguridad de la información conoce muy bien este proceso.

Se detectan miles de muestras cada semana y aparecen brotes por todo el mundo

Por esa razón, detrás de escena, los profesionales han estado ocupados tratando de encontrar una manera de erradicar eficazmente la amenaza, detectada como Win32/Dorkbot. Todo este gran esfuerzo finalmente dio frutos y, hacia fines de 2015, se logró un avance notable. ESET, junto con Microsoft, CERT.PL y numerosos organismos de seguridad (FBI, Interpol y Europol) en todo el mundo, le dieron un golpe letal a esta amenaza global.

Este equipo de expertos anuló la infraestructura de Dorkbot, "hundiendo" sus servidores de Comando y Control (C&C), como explicó Jean-Ian Boutin de ESET. En Asia, Europa y América del Norte, los ciberdelincuentes quedaron boquiabiertos por esta respuesta. Además, esta operación que emplea alta tecnología dio como resultado la incautación de dominios; esto significa que también se vio afectada la capacidad de los operadores de las botnets para tomar el control de los equipos de sus víctimas.

Al fin y al cabo, la noticia resultó ser un excelente regalo adelantado en vísperas de Navidad (dado que se hizo pública a principios de diciembre). Y aunque la batalla continúa, sigue siendo una victoria importante para los usuarios de Internet.

Los comienzos de Dorkbot

La primera variante de Dorkbot apareció en abril de 2011. Pero, aunque no tuvo mucha difusión, un mes más tarde, una segunda variante llevó las cosas a otro nivel. Se trataba (como señaló Pablo Ramos de ESET en un paper de 2012 titulado Dorkbot: conquistando Latinoamérica) de "la variante más utilizada del malware Dorkbot". Entre sus principales funcionalidades estaba la capacidad de propagarse por redes sociales. De todos los tipos de malware existentes, sería la amenaza que tendría el mayor impacto en los usuarios latinoamericanos ese año. Su prevalencia es extraordinaria.

Ramos, que presentó sus investigaciones en Dallas durante la Conferencia de Virus Bulletin en 2012, explicó en ese momento el motivo:

Una de las principales razones debido a la cual las infecciones se concentraron en América Latina es la falta de educación en temas de seguridad y la falta generalizada de reconocimiento de que las amenazas son capaces de utilizar las redes sociales para propagarse. Dorkbot se puede encontrar en uno de cada diez equipos en América Latina.

Propagación en todo el mundo

Si bien en 2011 todavía era una amenaza regional, en 2012 Dorkbot finalmente ganó notoriedad internacional al atacar con éxito a millones de usuarios de Skype. Las víctimas ahora pasaron a tener un alcance mundial. La razón principal de su éxito para propagarse se redujo al hecho de que los usuarios de este servicio de chat por vídeo basado en una aplicación móvil en ese momento aún no sospechaban que podían ser víctimas de una amenaza cibernética.

Los usuarios recibían lo que, en definitiva, era un enlace malicioso que parecía provenir de alguien en su lista de contactos: es decir, alguien de confianza. El mensaje que precedía el vínculo decía algo como "¿Es esta tu nueva foto de perfil?" y parecía un vínculo inofensivo. Sin embargo, al hacer clic en él, descargaba un troyano en forma inadvertida. En este caso, el software malicioso solía pertenecer a la variedad ransomware.

Algunas características de Dorkbot

El cifrado de archivos no es la única herramienta en el arsenal de Dorkbot. También instala software adicional en los equipos de las víctimas y roba información personal, como contraseñas y nombres de usuario. Es muy eficaz y se puede transmitir a través de diversos canales, incluyendo medios extraíbles (como memorias USB), redes sociales, spam y exploit kits.

El objetivo principal del gusano es el de servir en última instancia como backdoor (programa de puerta trasera), otorgándoles a los delincuentes acceso remoto a los sistemas infectados a través de servidores de C&C. El escenario de instalación típico es el siguiente:

Una vez ejecutado, el malware se copia en %appdata%\%variable%.exe. Luego, para asegurarse de que se ejecutará cada vez que se inicie el sistema, establece una entrada de registro oculta. En lugar de usar % variable%, utiliza una cadena con contenido variable. El gusano se desarrolla y ejecuta un nuevo subproceso con su propio código de programa. Nada de esto es visible para los usuarios.

Una amenaza activa de la cual es necesario cuidarse

La amenaza Dorkbot ha estado activa durante cinco largos años. Se podría decir que es vieja, aunque no es técnicamente correcto, ya que se sigue reinventando, como explicó Boutin en 2015. No obstante, la conclusión principal es que emplea "tácticas viejas".

El año pasado, el investigador de malware de ESET dijo que se siguen detectando miles de muestras cada semana, y aparecen brotes por todo el mundo. Las nuevas muestras "llegan a diario", y es justamente esta persistencia la que convierte a esta amenaza en un "objetivo viable para considerar realizar este esfuerzo de desmantelamiento".

Lamentablemente, como ocurre con la mayoría de las amenazas de este tipo, la víctima recién se da cuenta de que está infectada cuando es demasiado tarde (como millones de víctimas podrán testificar). Los usuarios simplemente se despiertan una mañana para descubrir que sus archivos están bloqueados y un mensaje emergente en la pantalla les exige el pago de un rescate en un período corto de tiempo. O revisan el saldo de su cuenta bancaria y descubren que está vacía.

Si no ocurren estos desafortunados incidentes, probablemente la mejor manera de detectar y remediar la presencia del gusano es llevar a cabo una exploración exhaustiva del equipo que detecte y desinfecte el sistema, como destacó Boutin. La prevención es imprescindible. Por eso, los usuarios que cuentan con una solución de seguridad actualizada pueden estar tranquilos, al igual que aquellos que siguen a conciencia las mejores prácticas en seguridad.

Más allá de todo esto, es tranquilizador saber que hay personas de organizaciones como ESET, el Centro Europeo de Ciberdelincuencia de Europol e Interpol que trabajan duro para erradicar la amenaza desde su raíz. Después de todo, hay obstáculos técnicos y mucho más complicados por superar, que requieren un nivel de experiencia que solo poseen los profesionales más experimentados. Por lo tanto, este esfuerzo de colaboración puede resultar sumamente eficaz.

"Las botnets como Dorkbot han victimizado a los usuarios en todo el mundo, por eso es tan importante que exista un enfoque de equipo para la aplicación de la ley global que trabaje con el sector privado", dijo Wil van Gemert, Director Adjunto de Operaciones en Europol, el diciembre pasado.

"Europol se complace en unir sus fuerzas con organismos de aplicación de la ley y socios del sector privado para derrotar botnets maliciosas que tienen el potencial de afectar a millones de víctimas".

Dorkbot tendrá que cuidarse…

Sigue leyendo: Infografía sobre Dorkbot - más de 80.000 bots en Latinoamérica