¿Qué es una botnet? Se define “botnet” como un conjunto de equipos infectados con malware, controlados por un atacante para su trabajo en forma de red.
En una primera instancia, los creadores de la botnet distribuyen malware para infectar a los usuarios. Cada sistema infectado abre puertas traseras en el sistema, necesarias para dar control al dueño de la botnet. Una vez que los equipos zombies han sido reclutados, los cibercriminales hacen uso de un centro de Comando y Control para llevar a cabo las tareas que deseen, sirviéndose de los recursos de todos los equipos que forman parte de la red. Entre las tareas más frecuentes se incluyen:
• Envío de spam
• Realización de ataques de denegación de servicio distribuido (DDoS)
• Alojamiento de archivos para sitios web: material ilegal, warez, cracks, sitios de phishing, etc.
• Distribución e instalación de nuevo malware
• Abuso de publicidad online
Si el sistema del usuario está infectado, los atacantes utilizarán los recursos del sistema para llevar a cabo acciones maliciosas. Las mismas son realizadas en forma transparente al usuario mientras utiliza el equipo, pudiendo percatarse de esto solamente en caso de un consumo excesivo de recursos, el cual ralentizaría su funcionamiento o, incluso, impediría su utilización.
Origen de las botnets
Cuando el negocio del spam y los problemas asociados, como la distribución de malware y phishing, lograron alcanzar niveles de rentabilidad suficiente para los cyber-delicuentes actuales, los mismos tenían un problema importante entre manos.
Los servidores vulnerables secuestrados hasta el momento y aquellos que se descubrían a diario, ya no eran suficientes para los objetivos de estas personas. El problema entonces, radicaba en lograr la distribución de más correos para llegar a más usuarios y así maximizar sus ganancias. La solución llegó de la mano del poder de cómputo distribuido.
Pero, ¿cómo aprovechar el equipo del usuario para que él mismo “done” su sistema con fines delictivos? La solución, al igual que en los casos mencionados SETI y otros proyectos, es instalar un cliente en el equipo del usuario para que el mismo funcione de nexo con el malhechor. La forma de instalar estos programas clientes es crear troyanos/gusanos que infecten al usuario, haciendo que su equipo interactúe en la red que se forma y sin que el usuario se entere de lo sucedido. Así, el equipo infectado se acaba de convertir en un zombi o robot haciendo cosas mecánicamente como si estuviera privado de voluntad.
El conjunto de equipos (usuarios) infectados trabajando en red recibe el nombre de botnet.
Funcionamiento:
1. El operador de la botnet manda virus/gusanos/etc a los usuarios.
2. Las PCs entran en el IRC o se usa otro medio de comunicación.
3. El spammer le compra acceso al operador de la Botnet.
4. El Spammer manda instrucciones vía un servidor de IRC u otro canal a las PC infectadas.
5. Causando que éstos envíen Spam al los servidores de correo.
Una vez que la red está perfectamente construida y controlada, sólo basta alquilarla o venderla al mejor postor. La persona que adquiera el “servicio” podrá utilizar la red para las actividades que desee y que ya se enumeraron.
A modo de ejemplo, un spammer podrá alquilar la red para enviar sus correos, una organización podría realizar publicidad en forma masiva, una empresa podría atacar a su competidor y sacar sus servicios web del aire, un pedófilo podría distribuir su material anónimamente…
Como es fácil adivinar, toda la red de delincuentes involucrados se beneficia de esta red:
• El creador de malware vende su “producto/servicio” al creador de la botnet
• El botmaster alquila/vende la red
• El spammer distribuye más correo con publicidad
• Las empresas venden los productos publicitados
• Cualquiera de ellos distribuye más malware infectando más equipos y retroalimentando el sistema
Si el usuario detecta este tipo de actividad sospechosa debe confirmar la infección con un antivirus y, en caso afirmativo, limpiar el sistema de cualquier código malicioso.
Conclusión:
Un firewall puede permitir al usuario detectar la presencia de actividades sospechosas en el equipo y bloquear las conexiones que desee realizar el administrador de la botnet con el mismo. Sin embargo, una vez detectada la presencia de una infección, debe utilizar un antivirus con capacidades proactivas de detección para identificarla y eliminarla.
