|
Comparte este artículo
Twitter
Digg
Del.icio.us
Slashdot
Furl
Yahoo
Technorati
Googlize this
Blinklist
Facebook
Wikio
Meneame
Exportar a PDF
Imprimir
E-mail
La caída y recuperación del centro de comandos y control (C&C) de la botnet Zeus fue una buena noticia para toda la comunidad IT dedicada a la seguridad.
Desafortunadamente, mientras algunas botnets caen, otras permanecen inalteradas. Como parte de su esfuerzo contra los cibercriminales, el laboratorio de análisis e investigación de Kaspersky a monitorizado recientemente un incremento en los servidores C&C de Koobface, el prolífico 
Gusano que está infestando los sitios de las redes sociales. Koobface se está centrando en sitios como Facebook y Twitter y usan sitios web legítimos como proxies para su servidor C&C principal.
Estos centros de comandos y control son servidores mantenidos por los propietarios de la botnet, que son usados para habilitar los ordenadores afectados para “llamar a sus maestros” y obtener actualizaciones y comandos, como descarga de nuevo o más Malware, o robar archivos o información personal como cuentas bancarias.
Durante las dos semanas pasadas, el equipo de investigación de Kaspersky ha observado que los servidores C&C de Koobface se han apagado o reiniciado una media de tres veces por día. El número de servidores se mantenía constante hasta el pasado 8 de Marzo, en el que el número aumentó de 71 a 142 en 48 horas.
Otro elemento interesante de esta infraestructura puede observarse al mirar la evolución de la localización geográfica de las Ips usadas para comunicarse con los ordenadores infectados. El mayor porcentaje de servidores está en los Estados Unidos, con un 52%, seguido de lejos por Alemania, Canadá o Gran Bretaña, con un 8%, 4% y 3% respectivamente.
Según Stefan Tanase, Senior Anti- Virus Researcher de Kaspersky Lab, “estos acontecimientos nos dan algunas pistas sobre cómo se encarga de la infraestructura la banda de Koobface. Basándonos en esto, podemos deducir que los cibercriminales están monitorizando constantemente es estatus de su infraestrucutura. No quieren que el número de servidores caiga demasiado, porque eso significaría perder el control de la botnet. Parece que los cibercriminales intentan mantener un número medio de 100 servidores activos. Además, prefieren tener sus servidores de control distribuidos por todo el mundo, en diferentes países con diferentes ISPs, para hacer más difícil que la botnet caiga. Aún así, la mayor parte de los servidores permanece en los Estados Unidos, donde además residen el 40% de los ordenadores infectados” .
