En lo que va del año hemos sido testigos de la desmantelación de dos importantes botnets, demostrando que por más complejas o extensas que las mismas sean, existen formas de cerrarlas.

El 25 de Octubre del corriente año, el Equipo de Delitos de Alta Tecnología de la Brigada de Crimen Nacional Holandés, en estrecha colaboración con un proveedor de alojamiento holandés, el Instituto Forense Holandés (NFI), la compañía de seguridad de Internet Fox-IT y GOVCERT, dieron de baja una botnet de gran tamaño y popularidad denominada Bredolab. La misma poseía mas de 30 millones de equipos infectados a lo largo del planeta desde julio del 2009.

Dichos equipos habían sido infectados con el troyano Win32/TrojanDownloader.Bredolab por lo cual reportaban a alguno de los 143 servidores maliciosos que conformaban la botnet en cuestión, recibiendo instrucciones directamente de los usuarios maliciosos por medio de estos. Una particularidad de la botnet Bredolab es que era utilizada para brindar servicios de "pay per install", que significa que los botmasters alquilaban la botnet a desarrolladores de malware que tuvieran problemas diseminando sus propias amenazas para luego cobrarles por cada instalación realizada.

El operativo comenzó identificando los 143 servidores de administración utilizados por esta botnet para luego localizar donde se encontraban alojados y así poder ponerse en contacto con dicha empresa de hosting. La empresa en cuestión era LeaseWeb, uno de las empresas mas grandes de este tipo dentro de Europa. Luego, de forma sincronizada con dicha empresa, se realizó el cambio de las credenciales de acceso a todos los servidores maliciosos, para así otorgarle total control al gobierno Holandés sobre los mismos.

Por último, el equipo de especialistas Holandeses procedió a lanzar a los 30 millones de equipos afectados un script especialmente armado que modificaba la pagina de inicio de los navegadores de Internet dirigiéndolos a un sitio especialmente armado donde no solo se les indicaba que su equipo se encontraba infectado por un troyano, sino que también les indicaban de qué manera limpiar su equipo.

Actualmente, varios especialistas de seguridad comentan que, más allá de que este operativo dejó muy "lesionada" dicha botnet, la misma no se encuentra completamente inactiva, ya que pudieron detectar un servidor todavía activo que se encuentra lanzando instrucciones a los equipos zombies para que descarguen una nueva variante de Bredolab.

Los usuarios de ESET NOD32 Antivirus no tienen de qué preocuparse ya que tanto las versiones antiguas de Bredolab como la nueva versión son detectadas bajo el nombre de Win32/TrojanDownloader.Bredolab.[variante].

Lo importante a destacar de todo esto es la importancia del trabajo conjunto entre las fuerzas de seguridad gubernamentales y las empresas o especialistas de seguridad, conjuntamente con la colaboración de los proveedores de servicios de Internet. El accionar y esfuerzo conjunto de todos estos especialistas sumado a una tolerancia nula a este tipo de actividad criminal dió como resultado al cierre de una de las botnets más grandes que hayan existido.

Joaquín Rodríguez Varela
Leader Sales Engineer