Por: Raj Samani & Vincent Weafer
El pasado 8 de abril, McAfee Labs de Intel Security tuvo un papel importante en la Fuente de Operación, bajo una colaboración global para la aplicación de la ley que desmanteló con éxito el botnet polimórfico conocido como Beebone. Propagando el virus del programa de descarga conocido como W32/Worm-AAEH, Beebone facilitó la descarga de una variedad de malwares, incluyendo ZBotbanking, un ladrón de claves, Necurs y ZeroAccessrootkits, CutwailSpambots, un anti-virus falso y ransomware. W32/Worm-AAEH incluye una funcionalidad que se parece a la acción de un virus y que se propaga rápidamente a nuevas máquinas y tiene una rutina de actualización cíclica para reemplazarse por versiones más recientes y así mejorar las probabilidades de seguir indetectable por un software de anti-virus. Durante su auge en julio/agosto del 2014, éste se llegó a actualizar más de 35 veces al día.
Intel Security sabe que existen más de 5 millones de muestras de AAEH, distribuidos principalmente en EEUU, Japón, India, Taiwán, Alemania y el Reino Unido.
En uno de sus picos operacionales en septiembre del 2014, fueron detectadas más de 100,000 infecciones del Botnet Beebone por el equipo de McAfee Labs. En el último registro de infección, en marzo de 2015, McAfee Labs detectó 12,000 infecciones latentes, como este número sólo incluía la telemetría de Intel Security, se sospecha que haya sido mucho mayor.
La operación fue liderada por el Grupo Especial de Acción Cibernética Conjunta (J-CAT), localizado en la sede de la Europol, una cooperación entre EC3, la mayoría de los Estados miembros de la UE y la policía internacional. Uniendo fuerzas, el J-CAT es una plataforma multilateral efectiva en la lucha contra los crímenes cibernéticos. El J-CAT trabaja junto con entidades públicas y privadas en un nivel muy operacional, para identificar y atenuar las peores amenazas cibernéticas en el mundo y arrestar a los responsables por ellas.
El desmantelamiento de AAEH es el resultado de una operación conjunta entre una operación del J-CAT liderada por los holandeses e Intel Security, además de muchos otros socios operacionales. Uniendo habilidades de investigación y técnicas, así como compartiendo informaciones y experiencias, se llegó a la reciente destrucción del botnet.
Lógico que el desmantelamiento de la infraestructura de las comunicaciones es sólo una parte de la respuesta, con la reparación de los sistemas infectados siendo un paso importante en el desmantelamiento de un botnet. Este proceso se hace espacialmente más difícil con los pasos evasivos dados por el botnet en lo que se refiere a la limpieza. No solamente enfrentábamos varias actualizaciones del DGA (Algoritmo de Generación de Dominio), pero también el botnet bloqueaba activamente las conexiones de las páginas del fabricante de Anti-Virus (incluyendo la nuestra).
Es importante notar si los malwares les bloquean las conexiones a las empresas AV, estos sistemas infectados pueden tener dificultad en seguir links para la descarga de las herramientas de remoción. Como resultado, el equipo en ShadowServer, cuyo soporte ha sido primordial para esta operación, creó una página donde estas herramientas pueden ser directamente descargadas.
https://www.aaeh.shadowserver.org
Usted siempre nos ve y nos oye en Intel Security discutir la importancia de las Asociaciones Público Privadas, más recientemente, con la nueva MoU entre nosotros y EC3. Esta operación es una prueba más de que solamente una respuesta conjunta es capaz de disminuir la creciente amenaza cibernética.
Acerca de McAfee Labs
McAfee Labs es la división de investigación de amenazas de Intel Security y una de las principales fuentes mundiales de investigación de amenazas, información sobre amenazas y liderazgo intelectual en seguridad informática. El equipo de McAfee Labs, con más de 400 investigadores, recopila datos de amenazas desde millones de sensores en los principales vectores de amenaza: archivos, Web, mensajes y red. Entonces, realiza un análisis de correlación de amenazas en todos los vectores y distribuye información en tiempo real sobre las amenazas a los productos estrechamente integrados de seguridad de terminales y red de McAfee a través de su servicio McAfee Global Threat Intelligence en la nube. McAfee Labs también desarrolla tecnologías centrales de detección de amenazas (tales como DeepSAFE, análisis del perfil de las aplicaciones, y administración de listas grises) que se incorporan a la más amplia familia de productos de seguridad del mercado.
Acerca de Intel Security
Ahora, McAfee forma parte de Intel Security. Con su estrategia Security Connected, un enfoque innovador de seguridad perfeccionado por hardware, y la exclusiva McAfee Global Threat Intelligence, Intel Security se dedica intensamente a desarrollar soluciones y servicios de seguridad preventivos y probados que protegen sistemas, redes y dispositivos móviles de uso profesional y personal en todo el mundo. Intel Security combina la experiencia y el conocimiento especializado de McAfee con la innovación y el desempeño probado de Intel para hacer la seguridad un ingrediente esencial de cada arquitectura y de todas las plataformas de informática. La misión de Intel Security es brindarles a todos la confianza necesaria para vivir y trabajar con seguridad en el mundo digital. www.intelsecurity.com.
Observación: Intel, Intel Security y McAfee son marcas comerciales, ya sean registradas o no, de Intel Corporation en Estados Unidos y otros países. Otros nombres y marcas pueden ser reclamadas como propiedad de terceros.
