Muere Red Bot Rustock y la Mitad de sus PC Zombi.

Por Carlos Fernández de Lara

Actividad de una PC infectada por Rustock en un marco de 24 minutos

Descanse en paz Rustock y 800,000 de las PC que controlaba para la distribución masiva de correo basura, malware y fraudes cibernéticos. Al menos eso es lo que asegura Microsoft en su reporte Battling the Rustock Threat.

De acuerdo con Richard Boscovich, abogado general de la Unidad de Crímenes Digitales de Microsoft (DCU, por sus siglas en inglés) en cooperación con sector privado, académicos y expertos en seguridad lograron deshabilitar “por completa” las operaciones y funciones de una de las redes bot más prevalentes en internet, Rustock.

“Estas son buenas noticias y un ejemplo claro de que estamos progresando. A medida que seguimos nuestra lucha contra el cibercrimen, una cosa nos queda clara: estas amenazas no pueden vencerse de manera individual”, explicó Boscovich en el blog de la compañía.

Según Microsoft, el impacto por la desactivación de Rustock ha sido inmediato, pues el número de direcciones IP controladas por la red cayó de 1,600,000, a principios de marzo de este año, a poco menos de 700,000 para junio pasado, es decir una caída de 56.12%.

Boscovich asegura que el spam también se verá reducido de manera dramática durante los siguiente meses, toda vez que se ha señalado a la red bot como responsable de enviar más de la mitad de todo el correo basura del planeta.

“En sus puntos más álgidos de infección Rustock era capaz de mandar hasta 40,000 millones de mensajes basura por día. Investigadores del DCU descubrieron que una sola computadora infectada con Rustock era capaz de mandar hasta 7,500 correos spam cada 45 minutos o alrededor de 240,000 por día”, cita el reporte.

El abogado general de la DCU refiere que los diez principales países afectados por Rustock, previo a su desmantelamiento, eran India (332,566 IP infectadas), Rusia (93,703), Turquía (89,122), Estados Unidos (86,375), Italia (53,656), Brasil (46,978), Ucrania (45,828), Alemania (43,946), Malasia (42,541) y México (39,648).

Tendencia en la caída de IP infectadas durante las últimas 8 semanas

Como parte del operativo, bautizado como b107, Microsoft y las autoridades lograron deshabilitar más de 22 Centros de Comando (C&C) de la red y confiscar 20 discos duros en los que se almacenaba toda la información recolectada de las máquinas infectadas.

Esta nos es la primera bot net que Microsoft desactiva un red de PC zombi. En marzo de 2010 el gigante del software inició una batalla legal y técnica, como parte del programa MARS (Microsoft Active Response for Security), que culminó con la desactivación de la mayoría de los C&C de la red bot.

A pesar de los esfuerzos de Microsoft, diversas firmas de seguridad explican que existe la posibilidad de que ambas botnets regresan debido a la cantidad de máquinas o direcciones IP que aún están infectadas con el malware.

A principios de año, la firma de seguridad LastLine informó que Waledac aún mantiene la fuerza suficiente para regresar a los escenarios del malware. Esto luego de que los investigadores detectaran más de 500,000 contraseñas de correo electrónico y cerca de 12,000 claves de servidores FTP en posesión de la red.

De acuerdo con LastLine estas contraseñas pudieron haber sido adquiridas por los creadores de Waledac dentro del mercado negro o extraídas de los equipos que fueron infectados durante el apogeo de la red.

Así quedaron la infección global de Rustock luego de su desactivación

Top 10 de países infectados al día de hoy

Country Observed
June 12-18, 2011
Reduction
Mar – June 2011
India 99,032 69.30%
USA 55,731 35.48%
Turkey 50,465 43.38%
Italy 32,041 40.28%
Russia 27,535 70.61%
Germany 25,318 42.39%
Brazil 21,967 53.24%
France 21,625 30.48%
Mexico 19,064 51.92%
Poland 18,015 44.80%

Fuente: http://www.bsecure.com.mx

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: