Dorkbot: la vida después de su desmantelamiento

Dorkbot: la vida después de su desmantelamiento

A pesar de la interrupción de las actividades maliciosas de Dorkbot, el malware sigue siendo una amenaza en constante evolución.

A pesar de la interrupción de las actividades maliciosas de Dorkbot, el malware sigue siendo una amenaza en constante evolución.

Hace un año, el 2 de diciembre de 2015, un grupo conformado por las principales empresas de ciberseguridad, agencias policiales y proveedores de software, incluyendo ESET y Microsoft, logró desmantelar a Dorkbot, una familia de malware que se había estado infiltrando en sistemas en todo el mundo por más de cuatro años.

Desde su detección en abril de 2011, Dorkbot había causado numerosos problemas tanto para empresas como para particulares. En un paper publicado por ESET en 2012, titulado Dorkbot: conquistando Latinoamérica, se describió “la variante de malware más utilizada”.

Dorkbot se abrió paso en equipos de más de 190 países (con una prevalencia excepcional en América Latina, donde se identificó el 54% de las infecciones), y fue utilizado para obtener información financiera y confidencial, así como para tomar el control de servidores corporativos. 

Infiltración encubierta

Para propagar esta familia de malware y otras similares, lo que suelen hacer los ciberdelincuentes es comprar un kit de herramientas llamado “kit del crimen” (crime kit) y dirigirlo a usuarios específicos mediante el envío de correos electrónicos de aspecto genuino, la infiltración en redes sociales, el envío de mensajes instantáneos o a través de unidades USB extraíbles.

“La gente a veces hace clic en un enlace sin pensar”, explica Zia Rehman, experto en seguridad cibernética de Perspective Risk. “Pero está permitiendo que el malware se instale en la computadora haciéndose pasar por otros programas necesarios para el equipo, y monitoree el tráfico en segundo plano”.

“También es capaz de agregar tu sistema infectado a un grupo de sistemas de todo el mundo”, continúa explicando. “De esta forma, un atacante malicioso podría usar todas estas conexiones simultáneamente para conectarse a Facebook o Ebay, por ejemplo, y tu sistema sería una parte activa de estos ataques”.

Experto en engaño

Al esconderse entre los procesos en segundo plano de muchas computadoras (en general, sin ser detectado), Dorkbot fue capaz de instalar código malicioso en los equipos infectados, robar contraseñas y conectarse a un servidor IRC (Internet Relay Chat), mediante el cual luego recibiría comandos para descargar malware adicional.

También logró deshabilitar los servicios de actualizaciones antivirus de los usuarios, es decir que, por más que los proveedores de seguridad hubieran identificado la amenaza y actuado en consecuencia, los usuarios seguirían sin saber que su sistema estaba infectado.

Al estar disponible con facilidad para los delincuentes, lo utilizaron para atacar sitios como AOL, eBay, Facebook, Netflix y PayPal, entre otros.

Desmantelamiento de Dorkbot

Esta es la razón por la cual el desmantelamiento de esta red criminal se consideró “un regalo de Navidad adelantado“. El intercambio de información entre las distintas organizaciones sobre el comportamiento de Dorkbot demostró que era posible reunir la experiencia de todo el mundo para dar fin a lo que se estaba convirtiendo en una enorme amenaza.

El enorme esfuerzo realizado logró desarticular el control que tenía Dorkbot sobre los sistemas mundiales. Sin embargo, existen otras formas similares de malware que evolucionan constantemente y que representan una grave amenaza a la seguridad cibernética mundial.

Evolución de las amenazas

“Este año, por ejemplo, se utilizó la botnet Mirai (que emplea miles de dispositivos infectados de la Internet de las Cosas, desde televisores hasta cámaras de seguridad) para interrumpir servicios de Internet cruciales”, explicó Joe Hancock, director de seguridad cibernética de Mishcon de Reya LLP.

Añadió que: “Esto demuestra que, aunque los ataques específicos de Dorkbot fueron eventualmente interrumpidos mediante la aplicación de la ley, el enfoque general de las botnets y sus operadores consiste en seguir innovando y cambiando sus tácticas. Las fuerzas policiales y la comunidad de seguridad cibernética deberán mejorar su propia innovación para poder hacer frente a estos cambios”.

La importancia de la educación

Como señaló Rehman, la clave para minimizar el riesgo radica en educar tanto a individuos como a organizaciones, en particular para que no hagan clic en archivos adjuntos o en vínculos provenientes de fuentes desconocidas.

Cuanto más sepa la gente, estarán mejor equipados para detectar amenazas y asegurarse de permanecer protegidos. Esta responsabilidad recae también sobre los proveedores de seguridad, como indicó el paper de ESET:

Tenemos que enseñarles a los usuarios lo que hacemos y por qué, y cómo los estamos protegiendo contra este tipo de amenazas. En la industria entendemos la importancia de las actualizaciones y las preocupaciones que tienen los usuarios, porque es parte de nuestras actividades diarias; sin embargo, necesitamos hablar con los usuarios finales en su propio idioma.

Proteger el mundo

A pesar del éxito que tuvo el movimiento para interrumpir las actividades maliciosas de Dorkbot, el malware sigue siendo una amenaza en constante evolución, tanto para las empresas como para la seguridad mundial. Dorkbot es un tipo “antiguo” de malware, pero que todavía está activo y es capaz de reinventarse.

Por lo tanto, contar con una ciberseguridad eficaz para protegerse ante las amenazas emergentes, así como las amenazas que se encuentran activas en el espacio digital, es más importante que nunca.

Discusión