El 25 de octubre fue comentada alrededor del mundo la noticia acerca del desarme de Bredolab, la tercer red de botnets importante que es controlada en lo que va del año. En ese hecho puntual quién intervino fue el gobierno holandés para dar de baja la botnet. Esta importante red, conocida como Bredolab, contaba con más de 30 millones de equipos infectados en todo el planeta desde julio del 2009.
Para llevar a cabo esta operación, se requirió del esfuerzo conjunto de varias organizaciones involucradas. Sin embargo, a pesar de los esfuerzos se han detectado algunos indicios acerca de la aparición de nuevas variantes de este malware, que infectando nuevos equipos intenta dar pelea para la supervivencia de la botnet, si bien todavía se desconocería si dichos sistemas infectados siguen bajo el comando de la persona de 27 años arrestada durante el desarrollo del operativo.
Según un artículo publicado el último 27 de octubre, se han encontrado indicios acerca de la aparición de nuevos centros de comando para esta red. En el análisis podemos detectar que se analizan tres dominios activos de los cuales se envían comandos a los equipos infectados, principalmente para la descarga de diferentes tipos de malware, principalmente la de falsos antivirus, más conocidos como rogue.
Los dominios mencionados son tres, con dominios .net, .com y .cc respectivamente. Cada uno de ello realiza la ejecución de diferentes instrucciones, y la actividad que presentan los mismos indicarían que Bredolab no ha dado el brazo a torcer y busca volver a resurgir.
Este no es el primer caso de una botnet que intenta volver a resurgir ni será la última, ya que por lo general hay más de un administrador de la misma red, cuando se trata de una con tantas infecciones en su haber. Por lo tanto, es de esperar que Bredolab de pelea antes de caer, que intentará sobrevivir a las medidas de seguridad y seguir causando estragos a lo largo de todo el mundo.
Las botnet presentan un recurso muy importante para el envío de spam, distribución de malware y otras muchas actividades delictivas. Es recomendable conocer de que manera podemos evitar que nuestro equipo sea parte de una botnet, y especialmente contar con una solución antivirus actualizada como ESET NOD32, que detecta esta nueva variante del troyano como Win32/TrojanDownloader.Bredolab.BE.
Hoy en día las botnet son muy rentables para sus administradores, quienes pueden o no haber desarrollado el malware utilizado para infectar a los equipos y es un punto que creemos importante remarcar. No todas las redes de botnet son administradas por los desarrolladores del malware, como así tampoco son administradas por una sola persona, este es un ejemplo más que claro, su uso esta en manos de organizaciones criminales.
Nuestra recomendaciones se centran en la utilización de una solución antivirus constantemente actualizada y un entendimiento por parte de los usuarios de las amenazas existentes. Amenazas existen, siempre aparecerán nuevas y más novedosas. Estos son dos puntos que quedan de nuestro lado como usuarios, y son cien por ciento nuestra responsabilidad. La parte legal queda en mano de las organizaciones existentes para combatir el crimen.
Pablo Ramos
Especialista de Awareness & Research
