Microsoft destruye la botnet Rustock, capaz de enviar miles de millones de email spam al día

Hace poco más de un año, anunciamos que la Unidad de Delitos Digitales (DCU) de Microsoft, en cooperación con expertos de la industria y académicos, había eliminado con éxito el botnet Waledac en una operación conocida como “Operation b49”. El día de hoy, nos complace anunciar que, con base en el conocimiento adquirido a partir de esa operación, hemos destruido un botnet más grande, más prolífico y más complejo denominado Rustock. Se estima que este botnet tenía casi un millón de computadoras infectadas trabajando bajo su control y es conocido por su capacidad de enviar miles de millones de correos basura al día, tales como el correo falso sobre la lotería de Microsoft y otras ofertas de medicamentos falsificados y, por lo tanto, potencialmente peligrosos.

Esta operación, conocida como Operation b107, es la segunda acción notable del esfuerzo conjunto entre la DCU, el Centro de Protección Contra Malware y la iniciativa Computación Confiable de Microsoft —conocido como el Proyecto MARS (Respuesta activa de Microsoft ante la seguridad)— para destruir los botnets y comenzar a resarcir el daño que causan, así como ayudar a las víctimas a recuperar el control sobre sus computadoras infectadas. Al igual que la destrucción de Waledac, esta operación aplicó medidas legales y técnicas para cortar la comunicación entre la estructura de comando y control del botnet y las computadoras infectadas con malware que operaban bajo su control, y de esa forma detener el daño causado por el botnet Rustock.

Como ya habrán leído, el botnet Rustock fue oficialmente desactivado el 16 de marzo después de una investigación de meses conducida por la DCU y por nuestros socios, quienes presentaron su declaración ante la Corte Distrital de E.U.A. para el Distrito Occidental de Washington, y de la confiscación coordinada de los servidores de comando y control ubicados en varios lugares, la cual estuvo escoltada por el U.S. Marshals Service.
Al igual que las medidas legales y técnicas que nos permitieron destruir el botnet Waledac, Microsoft entabló una demanda en contra de los operadores anónimos del botnet Rustock por abuso de las marcas registradas de Microsoft en el correo basura enviado a través del botnet. Sin embargo, la infraestructura de Rustock era mucho más compleja que la de Waledac, pues para controlar el botnet utilizaban direcciones de Protocolo Internet con código inalterable en lugar de nombres de dominios y servidores de comando y control de igual a igual.

Para asegurarnos de que el bot no se trasladara rápidamente a una nueva infraestructura, solicitamos y obtuvimos una orden judicial que nos permitió trabajar con el U.S. Marshals Service para reunir pruebas físicamente en el lugar de los hechos y, en algunos casos, confiscar los servidores afectados de los proveedores de alojamiento para analizarlos. En específico, se confiscaron los servidores de cinco proveedores de alojamiento que operaban en siete ciudades de Estados Unidos: Kansas City, Scranton, Denver, Dallas, Chicago, Seattle y Columbus, y, con la ayuda de los proveedores de transmisión de datos, pudimos desactivar con éxito las direcciones de IP que controlaban el botnet, con lo cual interrumpimos y cortamos la comunicación. Este caso y esta operación aún continúan, y nuestros investigadores se encuentran analizando las pruebas reunidas en las redadas para aprender lo más posible sobre las operaciones del botnet.

Los bots son versátiles, y su alcance está limitado sólo por la imaginación de aquellos que los generan. Por tal motivo, Microsoft y nuestros socios están trabajando agresivamente en el desarrollo de estrategias innovadoras que permitan destruir con rapidez la infraestructura completa de un botnet para mantenerlo inactivo mientras ayudamos a eliminar el malware de las computadoras infectadas. Esa fue la forma en que abordamos la destrucción de Waledac y la que estamos empleando ahora para destruir a Rustock. Continuaremos invirtiendo en operaciones similares en el futuro, así como en cumplir nuestra misión de aniquilar los botnets y hacer del Internet un lugar más seguro para todos.

Sin embargo, ninguna compañía ni grupo puede lograr ese objetivo por sí solo. Se requiere la colaboración entre la industria, los investigadores académicos, las agencias policíacas y los gobiernos de todo el mundo. En este caso, Microsoft trabajó con Pfizer, con el proveedor de seguridad para redes FireEye y con expertos en seguridad de la Universidad de Washington. Los tres presentaron su declaración ante la corte sobre los peligros que representa el botnet Rustock y su impacto en la comunidad de Internet. Microsoft también trabajó con la Unidad Holandesa contra Delitos de Alta Tecnología de la Agencia Policiaca Holandesa para ayudar a desmantelar la parte de la estructura de comando del botnet que opera fuera de Estados Unidos. Asimismo, Microsoft colaboró con el CN-CERT para bloquear el registro de dominios en China que Rustock podría haber usado para futuros servidores de comando y control.

También estamos trabajando con los proveedores de servicios de Internet y los Equipos Comunitarios de Respuesta a Emergencias (CERTs) de todo el mundo para ayudar a los dueños de las computadoras afectadas a eliminar el malware Rustock de sus computadoras. Sin los esfuerzos de colaboración de los sectores públicos y privados, estas exitosas operaciones no serían posibles. La lección más valiosa que hemos aprendido de nuestros esfuerzos por destruir los botnets ha sido que la cooperación es esencial para triunfar.

Es sabido que los botnets son la herramienta de elección de los delincuentes cibernéticos para realizar ataques en línea a través de miles de computadoras infectadas por malware alrededor del mundo, las cuales se utilizan para enviar correo basura, llevar a cabo ataques de negación de servicio en sitios web, permitir el fraude por clics en la publicidad en línea y mucho más. Este botnet en particular no es la excepción.

Aunque su comportamiento ha cambiado con el paso del tiempo, Rustock se encuentra entre los botnets de correo basura más grandes del mundo; en ocasiones capaz de enviar 30 mil millones de mensajes de correo basura al día. Los investigadores de la DCU vieron cómo una sola computadora infectada por Rustock enviaba 7 mil 500 mensajes de correo basura en tan sólo 45 minutos, lo que se traduce en 240 mil mensajes de correo basura al día. Además, gran parte del correo basura proveniente de Rustock representaba un peligro para la salud pública, ya que se trataba de publicidad sobre medicamentos falsificados o no aprobados.

Tal y como mencionamos anteriormente, debido a que Rustock estaba propagando un mercado para esos medicamentos falsos, la farmacéutica Pfizer presentó una declaración en este caso. La declaraciónde Pfizer proporciona pruebas que demuestran que los medicamentos anunciados a través de este tipo de correo basura pueden contener ingredientes activos equivocados, dosis incorrectas o, peor aún, estar fabricados en condiciones poco seguras. Los medicamentos falsificados con frecuencia están contaminados con sustancias como pesticidas, pintura con plomo y cera para piso, por mencionar unos cuantos ejemplos.

El correo basura es molesto y puede anunciar productos potencialmente peligrosos o ilegales. Asimismo, es un síntoma de amenazas más graves a la salud del Internet. Aunque el objetivo principal de Rustock parece haber sido el envío de correo basura, es importante destacar que un botnet grande puede utilizarse para cualquier delito cibernético que su creador desee. Los botnets son poderosos y, con un simple comando, pueden convertirse de un botnet de correo basura en un ladrón de contraseñas o en un ataque de negación de servicio.

Nuevamente, la investigación de la DCU indica que puede haber cerca de 1 millón de computadoras infectadas con el malware Rustock, todas bajo el control de la persona o personas que operan la red como si fuera un ejército remoto, generalmente sin que el dueño de la computadora se percate de que su computadora ha sido secuestrada. Los generadores de botnets infectan las computadoras con malware en diferentes maneras; por ejemplo, cuando el dueño de una computadora visita un sitio web con trampas de malware, cuando hace clic en publicidad dañina o cuando abre un archivo anexo infectado en su buzón. Los generadores de botnets hacen todo esto en forma tan discreta que los dueños jamás sospechan que su PC lleva una vida doble.

Es como si una banda de delincuentes ocupara una casa ajena para vender drogas mientras la familia se encuentran de vacaciones, y volverla a ocupar cada vez que los dueños salen de viaje, sin que jamás se den cuenta de lo que está sucediendo. Los dueños de la casa pueden protegerse con buenas cerraduras en sus puertas y sistemas de seguridad. De manera similar, los dueños de computadoras pueden protegerse contra el malware si cuentan con software actualizado —incluyendo software antivirus y antimalware— en sus computadoras.

Por último, exhortamos a todos los dueños de computadoras a asegurarse de que sus máquinas no estén haciendo el trabajo sucio de un delincuente. Si crees que tu computadora puede estar infectada con Rustock o cualquier otro tipo de malware, te invitamos a visitar support.microsoft.com/botnets para obtener información y recursos gratuitos para limpiar tu computadora.

Con tu ayuda y la cooperación de la industria pública y privada, de la academia y de las agencias policiacas, tal como Operation b107, podemos impedir que los delincuentes utilicen botnets para causar estragos en el Internet.

Si deseas seguir a la Unidad de Delitos Digitales de Microsoft para obtener noticias e información sobre el trabajo proactivo que se está llevando a cabo para combatir los botnets y otras amenazas digitales, visita www.facebook.com/MicrosoftDCU o twitter.com/MicrosoftDCU.

Publicado por Richard Boscovich
Abogado Principal, Unidad de Delitos Digitales de Microsoft