Rustock botnet

Rustock botnet o botnet Rustock fue una botnet que operó desde alrededor del 2006[1]​ hasta marzo del 2011.

Consistió en computador corriendo Microsoft Windows y fue capaz de enviar hasta 25000 mensajes de spam por hora desde una PC infectada.[2]​ En el pico de sus actividades, enviaba un promedio de 192 mensajes por minuto por PC comprometida. Las estimaciones reportadas respecto al tamaño de la botnet varían grandemente según la fuente, se habla de que tenía comprometida entre 150.000 y 2.400.000 máquinas.[3][4][5]​ El tamaño de la botnet incrementó y se mantuvo principalmente a través de la auto-propagación, donde la botnet envía muchos e-mails maliciosos, con un troyano, que al ser abiertos infectan la máquina del receptor y la suman a la botnet.[6]

La botnet recibió un golpe después del derribo de McColo, un ISP que fue responsable de darle hosting a la mayoría de los servidores de comando y control de las botnets. McColo recuperó conectividad a Internet por varias horas y en esas horas se observó un tráfico de hasta 15 MBit por segundo en transferencias con Rusia.[7]

Mientras que estas acciones redujeron temporalmente los niveles globales de spam por alrededor del 75%, el efecto no duró: los niveles de spam se incrementaron en un 60% entre enero y junio del 2009, 40% de este aumento fue atribuido a la botnet Rustock.[8][9]

El 16 de marzo del 2011, la botnet fue apagada a través de lo que inicialmente fue reportado como un esfuerzo coordinado por proveedores de softwares y proveedores de servicios de Internet.[10]​ Al siguiente día fue revelado que la operación de apagado de la botnet se llamó "Operación b107"[11]​ y fue acción de Microsoft, agentes de la ley federal estadounidense, FireEye y la Universidad de Washington[12]

Para capturar a los individuos involucrados con la botnet, el 18 de julio de 2011, Microsoft ofreció "una recompensa monetaria de US$250.000 por información nueva que resultase en la identificación, arresto y condena pena de tales individuos"[13]

Operaciones

[editar]

Las botnets están compuestas de las computadoras de usuarios de internet que involuntariamente tienen infectada su PC. Con el fin de ocultar su presencia ante el usuario y ante el software antivirus, la botnet Rustock usaba tecnologías de rootkits. Una vez que la computadora estaba infectada, buscaría contactarse con los servidores de comando y control a partir de una lista de direcciones IPs y a cualquiera de los 2500 dominios y dominios de respaldo[14]​ que podían dirigir estas computadoras zombis para que lleven a cabo tareas como el envío de spam o la ejecución de ataques distribuidos de denegación de servicios (DDoS). 96 servidores estaba ene operación al momento del apagado.[15]​ El envío de spam desde la botnet usaba encriptación TLS en aproximadamente el 35% de los casos como una capa extra de protección para ocultar su presencia. Detectado o no el spam, generaba una carga adicional en los servidores de mail que debieran manejarlo. Algunos expertos señalaron que esta carga extra podría impactar negativamente la infraestructura de correos electrónicos de internet ya que la mayoría de los correos electrónicos enviados actualmente son spam.[16]

Véase también

[editar]

Referencias

[editar]
  1. «The Rustock botnet spams again». www.webcitation.org. Archivado desde el original el 4 de abril de 2016. Consultado el 17 de junio de 2020. 
  2. «Real Viagra sales power global spam flood | Security | Techworld». web.archive.org. 7 de septiembre de 2015. Archivado desde el original el 7 de septiembre de 2015. Consultado el 17 de junio de 2020. 
  3. «Messaging Security». www.broadcom.com. Consultado el 17 de junio de 2020. 
  4. «StackPath». www.securityinfowatch.com. Archivado desde el original el 18 de junio de 2020. Consultado el 17 de junio de 2020. 
  5. «Rustock botnet responsible for 40 percent of spam». Good Gear Guide (en inglés australiano). Consultado el 17 de junio de 2020. 
  6. «New Rustock Botnet Trying to Expand Itself». www.spamfighter.com. Consultado el 17 de junio de 2020. 
  7. «Dead network provider arms Rustock botnet from the hereafter». www.theregister.com (en inglés). Consultado el 17 de junio de 2020. 
  8. «McAfee Partners | McAfee». www.mcafee.com. Consultado el 17 de junio de 2020. 
  9. «Grum and Rustock botnets drive spam to new levels - Hackers - SC Magazine Australia - Secure Business Intelligence». web.archive.org. 9 de enero de 2014. Archivado desde el original el 9 de enero de 2014. Consultado el 17 de junio de 2020. 
  10. Hickins, Michael (17 de marzo de 2011). «Prolific Spam Network Is Unplugged». WSJ (en inglés estadounidense). Consultado el 17 de junio de 2020. 
  11. Bright, Peter (22 de marzo de 2011). «How Operation b107 decapitated the Rustock botnet». Ars Technica (en inglés estadounidense). Consultado el 17 de junio de 2020. 
  12. Wingfield, Nick (18 de marzo de 2011). «Spam Network Shut Down». Wall Street Journal (en inglés estadounidense). ISSN 0099-9660. Consultado el 17 de junio de 2020. 
  13. kexugit. «Microsoft Offers Reward for Information on Rustock». docs.microsoft.com (en inglés estadounidense). Consultado el 17 de junio de 2020. 
  14. Microsoft Amended Application for Temporary Restraining Order. Case 11CV00222, US Fed. Ct. W.D. Wash., Feb 28 2011
  15. «Spam kings sought after takedown». BBC News (en inglés británico). 25 de marzo de 2011. Consultado el 17 de junio de 2020. 
  16. «Beware Botnet's Return, Security Firms Warn». PCWorld (en inglés). 28 de marzo de 2010. Archivado desde el original el 10 de agosto de 2020. Consultado el 17 de junio de 2020.