Los laboratorios de seguridad de Blue Coat Systems, Inc., proveedor líder de seguridad Web y soluciones de optimización WAN, han identificado más de 1.500 redes de malware (malnets) durante 2012, el triple que el año anterior, según su Informe de Seguridad 2012. Las malnets infectan a los usuarios con troyanos, que producen una botnet para lanzar nuevos ataques, creando así un círculo vicioso del malware que se perpetúa en la red. Para protegerse de forma efectiva frente a esta amenaza, la clave está en romper el ciclo malicioso de estas redes de malware, responsables de más de dos tercios de todos los ataques de malware basados en la web.
"Aunque la industria ha demostrado un cierto éxito en la lucha contra el problema de los botnet, mientras sigan existiendo redes de malware en la web, es prácticamente imposible controlar su propagación", asegura Miguel Martos, director general de Blue Coat en España. "Mientras que las soluciones de seguridad persiguen agresivamente a una botnet, los ciberdelincuentes pueden cambiar rápidamente a otro. Esto es lo que sucedió durante 2012, según se muestra en el informe de Blue Coat. La única solución efectiva es contar con una solución de seguridad capaz de bloquear las infraestructuras de malnet para limitar la exposición de los usuarios a las botnets".
Por ejemplo, en 2012, la botnet Zeus fue el objetivo de las soluciones de seguridad, lo que provocó una disminución en su actividad. Sin embargo, los operadores de malnets simplemente cambiaron sus recursos a la botnet Aleuron, desarrollando y lanzando sus ataques desde esta plataforma. En sólo seis meses, la actividad de la botnet Aleuron aumentó un 517 por ciento, superando a Zeus, y convirtiéndose en la botnet más activa. La botnet Aleuron se propagó a través del correo no deseado, motores de búsqueda y redirección maliciosa, para obtener ganancias financieras.
Mientras las malnets sigan llevando a los usuarios hacia los sitios web donde se aloja el malware, las botnets seguirán siendo un problema importante en la red. La naturaleza dinámica de las malnets permite a los cibercriminales cambiar fácilmente la carga viral de un tipo de botnet a otro. De hecho, muchas malnets ya distribuyen diferentes tipos de botnets.
Una vez que un usuario está infectado, las malnets utilizan su sistema para dos propósitos básicos:
1) Para alojar y distribuir nuevos programas maliciosos o lanzar nuevos ataques, como ataques de spam o de denegación de servicio
2) Enviar información recogida del sistema del usuario, tal como información financiera, pantallazos de cuentas bancarias, información corporativa de la empresa o datos de la libreta de direcciones
El sistema del usuario recibe instrucciones de los servidores de comando y control del malnet. Una malnet como Shnakule utiliza activamente los sistemas que ha infectado, comunicándose con ellos con frecuencia. Durante 2012, se produjeron casi un millón de solicitudes a los servidores de comando y control que formaban parte de la malnet, lo que indica que estos sistemas fueron utilizados con frecuencia para alojar software malintencionado o participar en ataques hacia otros usuarios.
Shnakule también cambió los nombres de host de sus servidores de comando y control más de 56.000 veces durante el período analizado. Esto muestra cómo la naturaleza dinámica de la malnet hace que sea más difícil mantener el ritmo de control por parte de los sistemas de seguridad.
Incluso después de que los fabricantes liberen los parches correspondientes, los sistemas infectados siguen comunicando con los servidores de comando y control de las redes maliciosas. Por ejemplo, dos meses después de que Apple publicara el parche que resolvía la vulnerabilidad de Flashback en Mac OS, Blue Coat Security Labs registró cerca de 6.000 solicitudes al día a los servidores de comando y control asociados a la botnet. Un mes más tarde, las comunicaciones cayeron a 3.000 solicitudes por día y han continuado su tendencia hacia abajo desde entonces. Para las empresas, cada una de esas comunicaciones es una oportunidad de perder datos privados.
¿Qué pueden hacer las empresas para protegerse?
Para las empresas, es fundamental comprender que la disponibilidad de un parche no significa que los usuarios lo hayan aplicado. La mejor práctica de seguridad es suponer que esos parches no se han aplicado, dejando a los usuarios y los datos expuestos. Para proteger a usuarios y datos de las amenazas de las botnets, las empresas deberían tomar las siguientes medidas:
1. Usar una solución de seguridad capaz de bloquear las infraestructuras de malnet y limitar la exposición de los empleados a las botnets productoras de troyanos.
2. Asegurarse que la solución de seguridad pueda bloquear las comunicaciones de los sistemas infectados con los servidores de comando y control del botnet, para evitar que la información sensible, confidencial o corporativa pueda llegar a los ciber-delincuentes.
3. Comprobar que las políticas de uso de la Web están al día, y mantener actualizadas las normas de red y firewall.
4. Implementar una solución de informes que permita identificar los sistemas potencialmente infectados, para poder ponerlos en cuarentena y limpiarlos.
5. Establecer y hacer cumplir las políticas que obliguen a los empleados a actualizar sus navegadores, sistemas operativos, Adobe Flash, Adobe Reader, Java y otras aplicaciones con los últimos parches y actualizaciones de seguridad.