Microsoft va tras botnet global usada por criminales
Microsoft anunció el lunes que ha tomado medidas legales para frenar una red informática que utiliza más de un millón de computadoras zombi para saquear cuentas bancarias y propagar “ransomware”, algo que los expertos consideran una seria amenaza para las elecciones presidenciales de Estados Unidos.
El operativo para deshabilitar servidores de mando y control de una botnet global que usa una infraestructura conocida como Trickbot para infectar computadoras con malware inició con una orden de la corte que Microsoft obtuvo en un tribunal federal de Virginia el 6 de octubre. La empresa argumentó que la red está haciendo mal uso de su marca registrada.
“Resulta muy difícil decir qué tan efectivo será, pero confiamos en que tendrá un efecto duradero”, indicó Jean-Ian Boutin, jefe del área de investigación de amenazas de ESET, una de varias firmas de ciberseguridad que se asociaron con Microsoft para mapear los servidores de mando y control. “Estamos seguros de que lo van a notar y les será difícil regresar al estado en que se encontraba la botnet”.
Expertos en seguridad cibernética aseguran que la decisión de Microsoft de obtener una orden de una corte federal estadounidense para persuadir a los proveedores de servicios de internet de que desactiven los servidores de la botnet es algo loable. Sin embargo, consideran que difícilmente tendrá éxito debido a que muchos no la cumplirán y porque los operadores de Trickbot tienen un sistema descentralizado de respaldo y emplean enrutamiento cifrado.
Paul Vixie, de Farsight Security, dijo en un correo electrónico que “la experiencia me dice que no alcanzará sus objetivos; hay demasiadas direcciones IP ubicadas detrás de fronteras nacionales poco dispuestas a colaborar”.
Y la firma de ciberseguridad Intel 471 reportó que las operaciones de Trickbot no recibieron un golpe significativo el lunes, y pronosticó “poco impacto a mediano y largo plazos”, en un informe compartido con The Associated Press.
Pero el experto en ransomware Brett Callow, de la firma de ciberseguridad Emsisoft, dijo que una alteración temporal a Trickbot podría, al menos durante las elecciones, limitar ataques y evitar que se active ransomware en sistemas ya infectados.
El diario The Washington Post publicó el viernes un artículo sobre una iniciativa a gran escala que se emprendió el mes pasado por parte del Cibercomando de las Fuerzas Armadas de Estados Unidos para desmantelar Trickbot a través de ataques directos, en lugar de solicitar a los prestadores de servicios de internet que rechacen albergar dominios usados por servidores de mando y control, que a fin de cuentas resultó infructuosa.
Una política estadounidense llamada “enfrentamiento persistente” autoriza a los guerreros cibernéticos de Estados Unidos entablar combate con hackers hostiles en el ciberespacio y afectar sus operaciones con programación, algo que el Cibercomando hizo contra los rusos que propagaban noticias falsas durante las elecciones legislativas estadounidenses en 2018.
Creada en 2016 y utilizada por un consorcio poco estructurado de hackers que hablan ruso, Trickbot es una superestructura digital para sembrar malware en sitios web y en las computadoras de individuos sin que éstos se den cuenta. En meses recientes, sus operadores han estado rentándola cada vez más a otros delincuentes que la han utilizado para sembrar ransomware, el cual cifra la información de las redes atacadas, paralizándolas hasta que las víctimas paguen un rescate.
Una de las mayores víctimas reportadas de una variedad de ransomware sembrada por Trickbot llamada Ryuk fue la cadena de hospitales Universal Health Services, que dijo que las 250 instalaciones con que cuenta en Estados Unidos fueron afectadas por un ataque el mes pasado que obligó a los médicos y enfermeras a utilizar papel y lápiz en lugar de computadoras.