Microsoft anunció esta semana el éxito de sus esfuerzos, emprendidos conjuntamente con socios en 35 países, para interrumpir al grupo de botnets Necurs, acusado de infectar a más de 9 millones de computadoras en todo el mundo.
Hay 11 botnets bajo el paraguas de Necurs, aparentemente todas controladas por un solo grupo, según Valter Santos, investigador de seguridad de
Bitsight, que trabajó con Microsoft en el derribo. Cuatro de esas botnets representan aproximadamente el 95 por ciento de todas las infecciones.
"Necurs es el exploit nombrado que se usa de manera más consistente", dijo Rob Enderle, analista principal de Grupo Enderle.
El Tribunal de Distrito de los Estados Unidos para el Distrito Este de Nueva York emitió la semana pasada un
orden permitiendo a Microsoft tomar el control de la infraestructura con sede en EE. UU. que Necurs utiliza para distribuir malware e infectar a las computadoras víctimas.
Microsoft descubrió los nuevos dominios que Necurs generaría algorítmicamente y los informó a los respectivos registros de todo el mundo para que pudieran ser bloqueados.
Microsoft también se está asociando con ISP, registros de dominios, CERT gubernamentales y organismos policiales en varios países para ayudar a eliminar el malware asociado con Necurs de las computadoras de los usuarios.
La actividad de la botnet se estancó este mes, pero quedan unos 2 millones de sistemas infectados, esperando en estado latente el renacimiento de Necurs.
Estos sistemas "deberían identificarse y reconstruirse" para evitar dejarlos susceptibles a Necurs u otra botnet, dijo Enderle a TechNewsWorld.
"Podrían hacer mucho daño si no se encuentran a tiempo", dijo.
"Microsoft es una de las pocas compañías que persigue a los malos actores y no solo aborda los problemas de seguridad", señaló Enderle. "Hasta que el mundo se vuelva agresivo al llevar a los malos actores ante la justicia, continuaremos en riesgo de un evento informático catastrófico en todo el mundo. Este problema debe resolverse en la fuente".
El largo brazo de Necurs
Necurs es una de las redes más grandes del ecosistema de amenazas de correo electrónico no deseado.
Durante un período de 58 días en la investigación dirigida por Microsoft, una sola computadora infectada por Necurs envió un total de 3.8 millones de correos electrónicos no deseados a más de 40.6 millones de posibles víctimas, señaló el vicepresidente corporativo de Microsoft, Tom Burt.
Necurs se detectó por primera vez en 2012. Se conoce principalmente como un gotero para otro malware, incluidos GameOver Zeus, Dridex, Locky y Trickbot, dijo Santos de Bitsight.
Sus principales usos han sido como spambot: un mecanismo de entrega para estafas de acciones de bombeo y descarga, correo electrónico falso de spam farmacéutico y estafas de citas rusas. También se ha utilizado para atacar otras computadoras en Internet, robar credenciales para cuentas en línea y robar información personal y datos confidenciales de las personas.
La botnet es conocida por distribuir malware y ransomware con objetivos financieros, así como por criptominería. Tiene una capacidad DDoS (denegación de servicio distribuida), aunque eso no se ha activado.
De 2016 a 2019, Necurs fue responsable del 90 por ciento del malware propagado por correo electrónico en todo el mundo, según Santos de BitSight.
"Necurs es esencialmente un sistema operativo para entregar cosas malas a las máquinas infectadas", dijo Mike Jude, director de investigación de IDC.
"Por sí solo, no es realmente amenazante", dijo a TechNewsWorld. "Es más como un código molesto que funciona a nivel raíz. Pero lo que puede entregar o activar puede ser devastador".
Los operadores de Necurs también ofrecen un servicio de botnet de alquiler, vendiendo o alquilando acceso a dispositivos informáticos infectados a otros cibercriminales.
Se cree que Necurs es el trabajo de criminales con base en Rusia.
Cómo funciona Necurs
Los desarrolladores de Necurs implementaron un enfoque en capas para que los sistemas infectados se comuniquen con sus servidores de comando y control a través de una mezcla de canales de comunicación centralizados y de igual a igual, encontró BitSight.
Necurs se comunica con sus operadores principalmente a través de una lista incrustada de IP, y ocasionalmente a través de dominios estáticos incrustados en la muestra de malware. También puede usar algoritmos de generación de dominio.
Un DGA ficticio produce dominios que se utilizarán para ver si el malware se está ejecutando en un entorno simulado. Un segundo DGA obtiene dominios .bit codificados.
El dominio de nivel superior .bit es un modelo DNS alternativo, mantenido por Namecoin, que utiliza una infraestructura de cadena de bloques y es más difícil de interrumpir que los TLD regulados por ICANN, dijo Santos.
Si ninguno de los otros métodos puede obtener un servidor C&C activo, el DGA principal se activa. Produce 2,048 dominios C2 posibles cada cuatro días en 43 TLD, incluido .bit, basado en la fecha actual y una semilla codificada en el binario. Todos los dominios se prueban hasta que uno resuelve y responde utilizando el protocolo correcto.
Si todos los métodos anteriores fallan, el dominio C&C se recupera de la red P2P siempre activa, que actúa como el canal principal para actualizar los servidores C&C. Una lista inicial de aproximadamente 2,000 pares está codificada en el binario, pero se puede actualizar según sea necesario. Los pares de la lista se conocen como "supernodos": sistemas de víctimas con un estado elevado dentro de la infraestructura.
Además, el malware utiliza un algoritmo que convierte las direcciones IP recibidas a través de DNS en las direcciones IP reales de sus servidores.
La infraestructura de C&C está en niveles, con múltiples capas de proxies de C&C, para hacer que el descubrimiento sea aún más difícil.
El primer nivel de servidores C&C consiste en servidores privados virtuales baratos en países como Rusia y Ucrania. Hacen un proxy inverso de todas las comunicaciones a los servidores de C&C de segundo nivel, que generalmente están alojados en Europa y, a veces, en Rusia. Las comunicaciones avanzan más arriba en la cadena hasta que finalmente alcanzan el extremo posterior.
En los días normales de operación de Necurs, BitSight detectó menos de 50,000 sistemas infectados diariamente cuando había C&C activos, y entre 100,000 y 300,000 cuando los C&C estaban inactivos.
"Las observaciones únicas diarias continúan subestimando el tamaño real de la botnet", comentó Santos.
Tirando el martillo sobre Necurs
Analizar el DGA de Necurs permitió a Microsoft hacer predicciones precisas de más de 6 millones de dominios únicos que el grupo de botnets crearía en los próximos 25 meses. Su demanda y asociaciones con diversas entidades evitarán que Necurs las registre y las use.
Microsoft "ha hecho un trabajo estelar al desarmar esta versión, pero estas cosas evolucionan y es probable que haya otra iteración si esta se neutraliza más o menos", observó Jude de IDC.
"El código es fácil de cambiar y no se está desarrollando en un vacío", señaló. "La gente detrás de esto probablemente ya esté investigando cómo Microsoft realizó ingeniería inversa de su enfoque y lo está incorporando en la próxima versión".