11 abril 2016

#Seguridad - Cierre de Mumblehard - miles de servidores Linux dejan de enviar spam

ESET, identificó hace un año la botnet Mumblehard que estaba compuesta por miles de sistemas Linux infectados ubicados en todo el mundo. El jueves pasado, la compañía anuncia que en cooperación con CyS-CERT y la Policía Cibernética de Ucrania, Mumblehard fue desmantelada con éxito.

- ESET, en colaboración con CyS-CERT y otros partners, desmanteló Mumblehard, una botnet del servidor Linux.s que afectaba 4000 sistemas de 63 países.

"El análisis forense reveló que en el momento del desmantelamiento, había cerca de 4000 sistemas de 63 países diferentes en la red de bots", explicó Marc-Etienne Léveillé, Investigador de Malware de ESET. Dentro de los países involucrados se encuentran Brasil con 60 víctimas registradas, Chile con 27, México con 14, Colombia con 12, Argentina con 10, Perú con 4 y Bolivia con 2, entre otros.

Al publicar el descubrimiento en 2015, los investigadores de ESET también registraron un dominio que actúa como de servidor Comando y Control (C&C), con el objetivo de estimar la magnitud y la distribución de la botnet. Esto hizo que los autores del malware reduzcan el número de servidores C&C a uno en Ucrania bajo el control directo del atacante.

Con la ayuda de la Policía Cibernética de Ucrania y de la empresa CyS Centrum, se logró obtener información del servidor de C&C hacia fines de 2015. El análisis forense reveló que las hipótesis iniciales sobre el tamaño de la botnet y su propósito eran correctas, siendo la actividad principal el envío de spam. Además se encontró una gran cantidad de diferentes paneles de control para facilitar la gestión de la botnet por parte del atacante.

Basado en datos recolectados del servidor sinkhole (servidor controlado por ESET), ahora es posible notificar a los administradores de los servidores infectados. El Equipo de Respuesta a Emergencias de Alemania, CERT-Bund, intervino, y ya comenzó a notificar a los organismos infectados. "Si recibe una notificación de que su servidor está infectado, diríjase a nuestros indicadores de compromiso en el repositorio de Github para más detalles acerca de cómo encontrar y eliminar Mumblehard en su sistema", recomienda Léveillé.




- El panel superior muestra el estado de la comprobación proxy abierta y el recuento de los diferentes países

"Se necesitó de mucho esfuerzo de diversas partes para que el cierre de esta botnet fuera posible. Quizá no sea la más extendida, peligrosa o sofisticada de las que existen en la actualidad, pero aun así es un paso en la dirección correcta y demuestra que, si los investigadores de seguridad trabajan en conjunto con otras entidades, pueden tener un impacto para reducir las actividades delictivas en Internet. Estamos orgullosos de que nuestros esfuerzos hagan de Internet un lugar más seguro" aseguró Marc-Etienne Léveillé, Investigador de Malware de ESET.

Para evitar futuras infecciones, los expertos en seguridad de ESET aconsejan que las aplicaciones web alojadas en un servidor - incluyendo plugins - estén actualizadas y que las cuentas administrativas se realicen mediante un doble factor de autenticación con el objetivo de mejorar la protección del mismo.

Los detalles adicionales sobre el desmantelamiento de la botnet Mumblehard se pueden encontrar en el portal de noticias de seguridad de ESET llamado We Live Security.

No hay comentarios.: