Acciones legales interrumpen red criminal en línea
De acuerdo con un comunicado, Microsoft y socios de 35 países adoptaron medidas legales y técnicas coordinadas para realizar la disrupción de la red de bots (botnets) denominada Necurs, considerada una de las más infecciosas con más de nueve millones de computadoras afectadas a nivel mundial.
Del mismo modo, se menciona que dicha acción es el resultado de ocho años de seguimiento y planificación, y que contribuirá a garantizar que los delincuentes que operan Necurs, ya no puedan utilizar elementos de su infraestructura para ejecutar ciberataques.
Microsoft explicó que un botnet es una red de computadoras que un ciberdelincuente ha infectado con software malicioso, o malware. Una vez infectadas, los delincuentes pueden controlar esas computadoras de forma remota y utilizarlas para cometer delitos.
Agregó que su Unidad contra Delitos Digitales, BitSight y otros miembros de la comunidad de seguridad observaron por primera vez botnet Necurs en 2012 y lo han visto distribuirse en varias formas de malware, incluido el troyano bancario GameOver Zeus.
Los delitos de Necurs
A decir del desarrollador, Botnet Necurs es una de las mayores redes del ecosistema de amenazas del correo electrónico basura (spam), con víctimas en casi todos los países del mundo, ya que una investigación durante un período de 58 días, observó que una computadora infectada por Necurs envió un total de 3,8 millones de correos electrónicos de spam a más de 40,6 millones de víctimas potenciales.
Se cree que Necurs es operado por delincuentes radicados en Rusia y también se ha utilizado para ejecutar estafas de compra-venta de acciones (pump and dump stock); enviar correos electrónicos falsos de spam farmacéutico y estafas de «citas con rusos»; y realizar actividades que van desde el ataque a otras computadoras en la Internet, el robo de credenciales para cuentas en línea, el robo de información de identificación personal y el robo de datos confidenciales, abundó el desarrollador.
Asimismo mencionó que aparentemente los criminales detrás de Nercus venden o alquilan el acceso a los dispositivos informáticos infectados a otros delincuentes cibernéticos como parte de un servicio de “botnet-for-hire”. Necurs también es conocido por distribuir (malware) programas maliciosos con fines financieros y de ransomware (secuestro de archivos a cambio de un rescate), minería de criptomonedas (cryptomining), e incluso tiene una capacidad DDoS que aún no ha sido activada pero que podría serlo en cualquier momento.
Acciones legales
Según el comunicado difundido por el desarrollador, el jueves 5 de marzo el Tribunal de Distrito de los Estados Unidos para el Distrito Este de Nueva York, emitió una orden que permite a Microsoft tomar el control de la infraestructura con base en los Estados Unidos que Necurs utiliza para distribuir malware e infectar las computadoras de las víctimas. Con esta acción legal y a través de un esfuerzo de colaboración en la que participan asociaciones públicas y privadas de todo el mundo, Microsoft está liderando actividades que evitarán que los criminales que operan detrás de Necurs registren nuevos dominios para que no puedan ser utilizados para ejecutar ataques en el futuro.
Esto se logró mediante el análisis de una técnica utilizada por Necurs para generar sistemáticamente nuevos dominios a través de un algoritmo. Luego de ello, se pudo predecir con precisión más de seis millones de dominios únicos que se crearían en los próximos 25 meses. Microsoft informó de estos dominios a sus respectivos registros en países de todo el mundo para que se pueda bloquear los sitios web y evitar que estos formen parte de la infraestructura de Necurs. Al tomar el control de los sitios web existentes e inhibir la capacidad de registrar nuevos sitios, se ha interrumpido significativamente este botnet, detalló el desarrollador.
Además anunció una asociación con los Proveedores de Servicios de Internet (ISP, por sus siglas en inglés) y otras entidades de todo el mundo para eliminar de las computadoras de sus clientes el malware ligado a este botnet Necurs. Este esfuerzo de remediación es de escala global e implica la colaboración con socios de la industria, el gobierno y las autoridades encargadas de aplicar la ley a través del Programa de Inteligencia sobre Amenazas Cibernéticas de Microsoft (CTIP, por sus siglas en inglés).
Para esta disrupción, indicó que está trabajando con los ISP, los registradores de dominios, los CERTs del gobierno, y las autoridades encargadas de la aplicación de la ley en México, Colombia, Taiwán, India, Japón, Francia, España, Polonia y Rumania, entre otros.
Finalmente, expresó que cada organización tiene un papel crítico que desempeñar para proteger a los clientes y mantener segura la Internet.
