Una operación reciente llevada a cabo por las fuerzas policiales a nivel mundial, acabó con cientos de botnets alrededor del planeta. Las botnets, o redes de ‘bots’ que realizan el trabajo que se les encomienda, fueron impulsadas por un malware, en su mayoría clasificado por los investigadores de ESET bajo el nombre Win32/TrojanDownloader.Wauchos, pero también llamado Gamarue o Andromeda por otros proveedores de seguridad.
La operación internacional que tuvo lugar el 29 de noviembre fue el resultado de un esfuerzo conjunto entre los investigadores de ESET y Microsoft que duró por más de un año. ESET proveyó inteligencia técnica para la operación tras rastrear las botnets, identificando sus servidores C&C y manteniéndose al tanto de qué era lo que instalaban los criminales en los sistemas de las víctimas. Nos juntamos con Jean-Ian Boutin, Senior Malware Researcher de ESET, para hablar sobre su rol en la operación, así como de las amenazas que las botnets representan en líneas generales.
Dado que Wauchos ha sido una de las familias de malware con mayor permanencia en el ambiente, ¿qué le permitió durar tanto tiempo?
Wauchos ha estado dando vueltas desde 2011 y se encontraba disponible en foros underground, siendo así vendido a diversas personas. Además, sus numerosas funcionalidades y continuo desarrollo atraían a los cibercriminales que terminaban utilizándolo por largos períodos.
¿Por qué llevó tanto tiempo tomar acciones sobre Wauchos?
Este tipo de operaciones lleva un largo tiempo. Como mencionamos en el blog, todo comenzó en 2015. Tomó algo de tiempo tener todo listo para iniciar una operación policial. Además, las entidades apropiadas deben estar dispuestas a invertir los recursos necesarios para dar de baja a una botnet. Por lo tanto, la botnet debe haberse extendido y poder causar el daño suficiente para instigar a una operación de esta escala.
¿Qué países se vieron más afectados por la infección?
La mayoría de las infecciones que hemos visto en los últimos seis meses ocurrieron en el sudeste asiático y Sudamérica.
¿Qué clase de dispositivos fueron los más afectados? ¿Computadoras hogareñas, computadoras corporativas, servidores…?
Los vectores de infección de Wauchos incluían redes sociales, medios extraíbles, spam y drive-by downloads. Ya que ninguno de estos apunta a un grupo de usuarios específico, prácticamente todo usuario que ingrese a un enlace es una potencial víctima.
¿Cuál fue tu rol en la operación y que se incluía en tu investigación y colaboración con Microsoft y las fuerzas policiales?
Nuestro papel en la operación estuvo del lado técnico: analizar malware y hallar servidores C&C utilizados por las diferentes botnets de Wauchos. Ya que esta amenaza era vendida en foros underground, era importante asegurarse que todos los servidores C&C de Wauchos fueran identificados y derribados simultáneamente. Nosotros ayudamos por ese lado a través de nuestro sistema de rastreo de botnet.
¿Cómo se aseguraban que los criminales no conocieran su investigación?
Por supuesto, al trabajar en este tipo de operaciones es de esencial importancia asegurarse que los criminales no estén al tanto de ello. Por esto, intentamos informar sólo a quienes necesitaban saber sobre la operación y mantener la información sensible privada.
¿Cuál era el daño más común que Wauchos causaba al infectar una computadora?
Históricamente, Wauchos se utilizaba para robar credenciales de acceso a través de un plugin que captaba dicha información e instalar malware adicional en el sistema infectado.
¿Cuál era la manera más común de comprometer los dispositivos?
Dado que Wauchos fue adquirido y luego distribuido por una variedad de cibercriminales, los vectores de infección utilizados para distribuir esta amenaza variaron ampliamente. Históricamente, las muestras de Wauchos eran distribuidas a través de redes sociales, mensajería instantánea, medios extraíbles, spam y exploit kits.
¿Había algún indicio que le revelara al usuario que una computadora había sido comprometida por Wauchos?
No, en verdad.
¿Cómo se monetizaba la botnet? Supongo que el dinero era la razón por la que las botnets se crearon en un primer momento.
Ya que Wauchos era vendido en foros underground, existían varios esquemas de monetización. Uno de ellos era la utilización del plugin que captaba credenciales para robar contraseñas de cuentas en línea. Otra era, por una tarifa, la instalación de malware adicional en la máquina comprometida, un formato muy popular entre cibercriminales conocido como “pay-per-install”.
¿Qué clase de infraestructura C&C utilizaban los operadores de Wauchos para controlar las computadoras ‘zombie’?
Utilizaban varios servidores C&C en varias locaciones. Son estos servidores a los que se apuntó en la operación de desmantelamiento.
¿Había alguna manera confiable de detectar que un bot se estaba comunicando con su servidor C&C?
Los bots de Wauchos utilizaban un patrón de red reconocible cuando se comunicaban con sus servidores C&C. Esto nos permitía proteger mejor a nuestros usuarios añadiendo otra capa de protección: la creación de una red de detección capaz de reconocer cuando una bot intentaba comunicarse con su servidor C&C.
¿Cómo averiguaste acerca de la comunicación entra una computadora infectada y su servidor C&C y cómo se llevó a cabo la comunicación?
Los detalles de la comunicación pueden encontrarse en el blog (en inglés). Fue obtenido aplicando ingeniería inversa las variadas muestras.
¿Fue cifrado el tráfico C&C?
Sí, fue cifrado utilizando un algoritmo RC4 enlazado en el binario.
¿Cómo interfirió el malware detrás de la botnet en la funcionalidad del sistema operativo?
Wauchos estaba interfiriendo con el sistema operativo de varias maneras. Entre otras cosas, estaba tratando de desconectar el Firewall de Windows, la actualización de Windows y las funciones de controles de usuario.
¿Utilizó Wauchos técnicas anti-VM o anti-sandbox?
Dado que esta familia de malware estaba a la venta en foros underground, distintos cibercriminales utilizaban distintas técnicas, pero sí, vimos muestras utilizando técnicas anti-VM y anti-sandbox.
¿Hay alguna manera de determinar qué tan exitoso fue el plugin de rootkit en tapar esta infección?
No, en verdad.
Basado en tu experiencia desarmando botnets, ¿qué crees que le espera a Wauchos ahora que ha sido interceptada?
Probablemente vaya desapareciendo de a poco a medida que la reparación está en camino. Con este tipo de botnet tan duradera, es muy difícil limpiar todos los sistemas que han sido comprometidos por Wauchos, pero mientras sea el lado de los buenos el que controle los servidores C&C, al menos no podrá hacerse más daño en esas computadoras comprometidas.
A grandes rasgos, ¿qué síntomas pueden alertar a los usuarios de que sus computadoras están en control de una botnet?
Dependiendo de la familia de malware, puede ser difícil reconocer que tu computadora fue comprometida. Si notas comportamientos extraños de tu computadora, tales como - pero no limitado a – tu solución de seguridad siendo deshabilitada no teniendo la capacidad de actualizarse por sí sola, o si notas que no estás recibiendo las actualizaciones normales de Windows, el malware puede ser el culpable. Utilizando herramientas gratuitas, tales como ESET Online Scanner, para analizar tu sistema puede ser útil para hallar y eliminar el malware que puede estar causando estos conflictos.
¿Cómo puede uno asegurarse de que su computadora no termine siendo parte de una botnet?
La mayoría de las familias de malware están utilizando viejos trucos y no pueden instalarse por sí solas sin algo de ayuda de usuarios descuidados. Las recomendaciones típicas de no hacer clic en enlaces aleatorios o abrir archivos adjuntos que provienen de fuentes no confiables son de gran ayuda para mantenerse a salvo en Internet.
¿Celebraste la exitosa operación con una copa de champagne?
¡Lo hice!
