7 de diciembre de 2017

Un duro revés para Andromeda, la vieja familia de botnets

Andromeda, también conocida como Gamarue, es una familia de malware multipropósito distribuida por la familia de botnets del mismo nombre.


Kit de construcción del malware. Extraída de garage4hackers.com.

Descubierto a finales de 2011, Andromeda es una familia de malware construida para ser personalizable a través de un kit de construcción. Este kit se vendía en páginas underground, para que otros delincuentes construyesen el malware que sirviese a sus propósitos. Incluía módulos tan variopintos como el captador de formularios (para robar información de formularios web rellenados por el usuario), uno de keylogging (captura de pulsaciones de teclado), otro que convertía al infectado en un proxy SOCKS (típico para usar como nodo intermedio en otros ataques)...

Siendo un malware tan longevo y con tantas variantes, es rara la forma de distribución (o funcionalidad) que no haya cumplido. Spam con adjuntos infectados, sitios de descargas ilegales, sitios comprometidos, redes sociales... Ha tenido sus picos, momentos en los que parecía desaparecer del panorama de las botnets... Para resurgir de nuevo apoyado por una serie de exploits y campañas de spam masivo.

Pero esto podría haber llegado a su fin. En este caso, gracias a una operación conjunta del FBI, Interpol, J-CAT y otras entidades públicas o privadas con intereses en la lucha contra el malware como ESETMicrosoft. Precisamente Microsoft, gracias a una orden judicial, ha podido hacerse con el control de 1500 dominios pertenecientes a estas botnets. Durante 48 horas, se pudo detectar aproximadamente 2 millones de IP's infectadas en 223 países. Adicionalmente, la investigación llevada a cabo ha permitido detener a un sospechoso en Bielorrusia.

Generalmente, una vez te haces con el control de los dominios, usados para comunicar órdenes a los ordenadores componentes de la botnet, es bastante complicado que la botnet se recupere. Pero a veces, dejan otras vías secundarias con las que poder retomar el control de la botnet, como ya pasó con la difunta botnet Mariposa en 2009. No cantemos victoria, pero desde luego, es un duro golpe al malware estos días. Y lo más importante es que tiende puentes entre organizaciones de diversa naturaleza, sentando precedentes para futuras colaboraciones de lucha contra la delincuencia informática.



Carlos Ledesma
[email protected]


Más información:

Global Police Dismantle Andromeda Botnet
http://bit.ly/2j25Ww7

Andromeda botnet dismantled in international cyber operation
http://bit.ly/2kxofcU

Keeping Up With the Andromeda Botnet
http://bit.ly/2j47A05

The Andromeda/Gamarue botnet is on the rise again

Andromeda under the microscope



☛ El artículo completo original de [email protected] (Carlos Ledesma) lo puedes ver aquí