Conceptos básicos de botnets: Cómo defenderse de las 'redes de robots'
Los botnets están entre las herramientas de ataque más poderosas en el panorama de amenazas moderno. Los ataques de 2016 contra Dyn DNS y OVH fueron masivos, tanto en volumen de tráfico como en alcance de la interrupción. El mapa de Down Detector a continuación ilustra los efectos generalizados del ataque Dyn DNS.
Mapa de Down Detector que muestra las interrupciones del ataque de botnet a Dyn DNS
¿Qué es una botnet?
El término 'botnet' es un acrónimo de 'robot' y 'network', que describe redes de ordenadores y otros dispositivos que han sido secuestrados para ser utilizados por ciberdelincuentes. El bot, a veces llamado 'zombie', sigue las órdenes de un 'botmaster' o 'bot herder'. El botmaster puede ser un individuo o un grupo organizado y suele ser el actor de amenaza que creó la botnet.
Secuestrar un dispositivo es un proceso de múltiples pasos, comenzando con la distribución de malware a través de internet u otra red como una empresa o universidad. Los actores de amenazas instalan el malware de botnet explotando vulnerabilidades de software o credenciales comprometidas. Hay mucha automatización en este proceso, porque se trata de un juego de números. Si estás construyendo una botnet maliciosa, entonces quieres la mayor cantidad de bots posible.
Una vez infectados, los bots establecerán comunicación para identificarse y recibir instrucciones. Lo que ocurre aquí depende de la arquitectura de la botnet. Una arquitectura centralizada utiliza uno o más servidores de mando y control (C&C) para comunicarse con todos los bots. En una botnet centralizada, el nuevo dispositivo buscará el servidor C&C y se conectará a la botnet.
Ilustración de la arquitectura de botnet centralizada, Ping Wang, Baber Aslam, Cliff C. Zou, Botnets Peer-to-Peer
En una red descentralizada, todos los dispositivos tienen instrucciones entre sí. No hay ningún servidor C&C, por lo que el nuevo dispositivo intentará encontrar pares de la botnet para obtener instrucciones. En esta arquitectura, cada dispositivo puede transmitir y recibir instrucciones. Las botnets descentralizadas tienen más probabilidades de sobrevivir a los defensores de ciberseguridad y a las fuerzas del orden, porque no hay un único punto de fallo en la red. Incluso si una gran parte de la botnet se ve interrumpida, la botnet puede continuar funcionando al encontrar rutas alternativas entre los pares restantes.
Ilustración de la arquitectura de botnet descentralizada, Ping Wang, Baber Aslam, Cliff C. Zou, Botnets Peer-to-Peer
También existen botnets híbridos que aprovechan ambas arquitecturas, como la botnet GameOver Zeus (GOZ). Esta tenía una estructura de tres capas que incluía un servidor de comandos, una capa de proxy y una botnet peer-to-peer. Esta botnet ahora extinta se suponía que era “imposible” de desmantelar.
Ilustración de la botnet GOZ, Por Eithersummer - Trabajo propio, CC0
Los dispositivos más frecuentemente comprometidos son variaciones de routers inalámbricos y cámaras conectadas, pero los dispositivos móviles también son un objetivo atractivo para los administradores de bots. La conectividad 5G permite que una botnet de pequeños teléfonos realice ataques con la misma intensidad que servidores potentes.
¿Qué pueden hacer las botnets?
Los botnets pueden ser utilizados en una amplia gama de ataques a individuos, empresas e infraestructuras críticas. Aquí están algunos de los tipos de ataques más comunes:
Ataque distribuido de denegación de servicio (DDoS) – Este ataque utiliza miles o incluso millones de dispositivos comprometidos para inundar simultáneamente el sitio web o servidor objetivo con tráfico. El tráfico sobrecarga la capacidad del objetivo y lo hace inaccesible para los usuarios legítimos. Incluso las grandes organizaciones con infraestructura robusta pueden tener dificultades para resistir un ataque lo suficientemente grande.
Campañas de phishing y spam - Los botnets pueden distribuir miles de millones de mensajes de spam diariamente. Estos contienen enlaces o archivos adjuntos maliciosos diseñados para robar credenciales, instalar malware o ambos. La automatización y escalabilidad de estas operaciones aumentan la probabilidad de éxito.
Infracciones financieras y otros robos de datos: Esta es una aplicación lucrativa de las capacidades de las botnets. Las botnets propagan malware que roba credenciales bancarias, información de tarjetas de crédito y otros datos financieros o sensibles. SpyEye es un ejemplo temprano:
"... los ciberdelincuentes usaron [SpyEye] para sus propios propósitos nefastos: infectar computadoras de víctimas y crear botnets (ejércitos de computadoras secuestradas) que recopilaban grandes cantidades de información financiera y personal y la enviaban de vuelta a servidores bajo el control de los criminales. Luego pudieron hackear cuentas bancarias, retirar fondos robados, crear tarjetas de crédito falsas, etc."
Ataques de toma de control de cuentas (ATO): las redes de bots automatizan ataques de fuerza bruta y relleno de credenciales contra uno o más objetivos, lo que permite miles de intentos de inicio de sesión por hora. Una red de bots aumenta significativamente las posibilidades de violar cuentas con éxito.
Criptominería: Este malware utiliza la potencia de procesamiento del dispositivo para minar criptomonedas. Los actores de amenazas suelen atacar redes empresariales o incluir la función de criptominería con otros tipos de malware.
Fraude de clics: los botmasters utilizarán sus redes para obtener ingresos fraudulentos de los servicios de publicidad. Hay diferentes tipos de fraude de clics, pero un esquema típico implica que el actor de amenaza configure múltiples sitios fraudulentos para ofrecer espacio publicitario a redes legítimas como Google Ads. Cuando se colocan los anuncios, los bots visitan los sitios web y hacen clic en los anuncios. El botmaster gana una comisión y el anunciante nunca obtiene un cliente potencial legítimo. Un informe publicado por Internet Advertising Revenue predice que se perderán 172 mil millones de dólares cada año debido al fraude de clics.
Botnet como servicio (BaaS): Al igual que cualquier ciberdelito como servicio, BaaS es un modelo de negocio donde los botmasters alquilan acceso a su red a otros actores de amenazas. Esto permite a otros criminales usar una botnet sin la necesidad de construir y mantener sus propias redes. DDoS como servicio es una ramificación de este modelo.
Publicación en Breachforums que anuncia la venta de una botnet privada con capacidades avanzadas de DDoS
¿Forman parte de una botnet tus dispositivos?
Hay varios indicadores clave de actividad de botnet. Estos son los más visibles para los usuarios finales:
Rendimiento del sistema: actividad inexplicada de la CPU o del ventilador cuando el dispositivo está inactivo. Los ordenadores pueden experimentar un rendimiento lento, tiempos de apagado prolongados o la incapacidad de apagarse correctamente.
Rendimiento de la red: tráfico de red excesivo, transferencias de datos inexplicables, conexiones a internet lentas o un aumento repentino e inexplicable en el uso de datos móviles.
Actividad inusual del navegador: cambios inexplicables en la configuración del navegador y ventanas emergentes y anuncios inesperados. Incapacidad para actualizar los programas antivirus.
Otra actividad del sistema: Comportamiento inusual del sistema como apagados inesperados o mensajes de error, incapacidad para actualizar el sistema operativo, entradas sospechosas en los registros del sistema del dispositivo, y actividad de la computadora o de la red en momentos inusuales.
Estas actividades podrían indicar una infección de malware que puede o no haber secuestrado tu dispositivo.
Protege tu empresa
Puedes defender tu empresa de las botnets y mejorar la ciberseguridad de la empresa con estas prácticas:
Seguridad de Red - Desplegar cortafuegos y sistemas de detección de intrusos (IDS) de nivel empresarial, implementar una arquitectura de confianza cero para el acceso interno y externo, y aplicar la segmentación de red para limitar el movimiento lateral dentro de sus sistemas. El malware de botnet intentará moverse lateralmente e infectar la mayor cantidad posible de dispositivos conectados en red. Realizar pruebas de vulnerabilidad regularmente para identificar posibles puntos de entrada para los atacantes.
Gestión de parches - Mantén todo el software, los sistemas operativos y el firmware actualizados. Implementa una estrategia documentada de gestión de parches que priorice las actualizaciones críticas, y elimina las aplicaciones obsoletas y los dispositivos al final de su vida útil de la red.
Autenticación y Control de Acceso: Implemente la autenticación multifactor (MFA) y contraseñas complejas y únicas para todas las cuentas. Utilice el principio de menor privilegio para controlar el acceso a dispositivos y otros activos de la red.
Tráfico de red - Implementar sistemas de monitoreo continuo para detectar anomalías y utilizar herramientas de análisis y aprendizaje automático (ML) para identificar patrones sospechosos. Configurar alertas para actividades inusuales, como picos en intentos de inicio de sesión fallidos.
Dispositivos seguros: Instale y mantenga soluciones de endpoint en todos los dispositivos y aísle los dispositivos IoT de la infraestructura de red crítica cuando sea posible. Asegúrese de que todos los dispositivos, incluidos los IoT, tengan credenciales únicas y configuraciones de seguridad adecuadas.
Estas medidas endurecerán su red y ayudarán a defenderse contra ataques de botnets e infecciones de botnets.
Barracuda puede ayudarles
Barracuda Advanced Bot Protection es la herramienta definitiva para combatir los bots de IA generativa. Al proporcionar mecanismos de defensa proactivos, mayor visibilidad y controles personalizables, permite a las empresas proteger su contenido, optimizar sus recursos y mantener su ventaja competitiva en un mundo cada vez más automatizado.
Subscribe to the Barracuda Blog.
Sign up to receive threat spotlights, industry commentary, and more.