La policía se apodera de la red de bots, eliminando 850.000 infecciones

Suena como algo sacado de una película de hacking: música lenta de heavy metal mientras el héroe va a la ciudad en su teclado, texto verde e imágenes 3d parpadeando. Le explica a su pareja que va a derribar la red de bots desde el interior; los ordenadores infectados se curarán solos. Presionan la tecla Enter como si insultara a la madre de alguien. La pantalla sobredimensionada, cubierta de puntos rojos, empieza a volverse blanca lentamente. El virus es claro. La versión de la vida real no ocurrió así, pero puede que no esté muy lejos: La policía francesa secuestró y luego eliminó una red de bots con casi un millón de ordenadores infectados.

No es la red de bots actual.

Retadup es, según la empresa antivirus Avast, un gusano malicioso que afecta a los equipos Windows en toda América Latina. Está diseñado para instalarse en el equipo infectado y luego comenzar a extraer criptocurrency. Avast descubrió una falla en el servidor de control y comando del malware que permitiría a alguien al mando de la botnet eliminar el malware de los ordenadores infectados sin necesidad de empujar ningún código nuevo a esos ordenadores.

La firma sabía que podía limpiar la red de bots, pero no tenía la autoridad legal para apretar el gatillo. Así que se puso en contacto con la policía francesa. Mientras que la red de bots se centraba en América Latina, la infraestructura de la red de bots estaba ubicada en Francia. En julio de este año, la policía recibió el visto bueno del fiscal. Avast preparó un servidor de desinfección. Cuando lo pusieron en línea, miles de robots comenzaron a conectarse a él y a aceptar el comando de autodestrucción.

Toda la operación tuvo que hacerse con mucho cuidado. Mientras que la minería de criptocurrency es un gran desperdicio de energía, no es maliciosa. Si los operadores de redes de bots se hubieran enterado de la operación, podrían haber eliminado el software de rescate o algo mucho más malicioso. Sentados sin darse cuenta, simplemente estaban atrayendo ingresos pasivos.

No omita esa aplicación antivirus

La policía sólo podía proporcionar información limitada a Avast debido a las leyes de privacidad, pero la empresa descubrió algunas cosas interesantes. Los propios operadores de botnets se infectaron con otro gusano, Neshta. Avast observa descaradamente que su software habría protegido a los autores de Retadup.

La empresa también observó que de los ordenadores infectados, el 82% de los sistemas utilizaban Windows 8.1 o anterior; más del 52% utilizaban Windows 7. El 85% de las víctimas no tenían instalado ningún antivirus de terceros. Eso no es un problema en sí mismo en estos días, pero muchos también tenían algún tipo de protección de cualquier tipo de discapacidad.

La policía francesa cree que los autores estaban extrayendo varios millones de euros en criptocurrency cada año desde 2016, y cree que la red de bots se extendió a 140 países.

La policía aún no ha detenido a los autores, dijeron. Dicen que los autores podrían recrear una plataforma como ésta en cualquier momento, y podrían reenfocar una nueva red de bots para atacar corporaciones u otras instituciones. Realmente suena como algo salido de una película, y es raro que algo de lo que sucede en Internet suene tan cinematográfico.

Deja un comentario