Operación coordinada por el Centro Europeo del Cibercrimen de Europol, el Centro Nacional de Cibercrimen de Estados Unidos e Interpol
El software malicioso que infectaba los sistemas era utilizado como herramienta por los ciberdelincuentes para llevar a cabo diversas actividades ilícitas
Para llevar a cabo la operación se ha tomado el control de los servidores de comando y control y de los dominios que formaban parte de la infraestructura de la botnet
Madrid (España), 10 de diciembre de 2015 / Sucesos - “dorkbot” / Gabinete de Prensa.
Agentes de la Policía Nacional han participado en una operación que ha permitido desmantelar la infraestructura de “dorkbot”, una de las redes de ordenadores zombis más activas del mundo con más de un millón de sistemas infectados en más de 200 países. El software malicioso que contagiaba los sistemas era utilizado como herramienta por los ciberdelincuentes para llevar a cabo diversas actividades ilícitas. La acción ha sido coordinada por el Centro Europeo del Cibercrimen de Europol (EC3), el Centro Nacional de Cibercrimen de Estados Unidos e Interpol, y han participado las policías de Bélgica, Alemania, Francia, Lituania, Holanda y Montenegro.
Control de servidores y dominios de la infraestructura de la botnet
Desde su descubrimiento en el año 2011, la red zombi desmantelada ha infectado más de un millón de equipos en más de 200 países con total desconocimiento de sus usuarios. En España se estima una cifra superior a 2.000 los ordenadores afectados. El mecanismo de contagio se produce cuando las víctimas ejecutan por error un fichero que reciben a través de memorias flash USB, programas de mensajería instantánea o redes sociales. A partir de ese momento el sistema pasa a formar parte de una red mundial de bots u ordenadores zombis controlados remotamente para la realización de actividades maliciosas.
Para llevar a cabo la operación se ha tomado el control de los servidores de comando y control y de los dominios que formaban parte de la infraestructura de la botnet. La complejidad de esta acción policial ha radicado en la determinación y análisis de los elementos que componían la infraestructura cibernética de la red zombi que, una vez establecidos, han requerido el desarrollo de un operativo policial perfectamente coordinado entre países para suspender simultáneamente la actividad de todos los elementos informáticos que conforman la red maliciosa y adquirir el control de los mismos.
Ordenadores controlados para delinquir
En el caso de la botnet “dorkbot”, el software malicioso que infectaba los sistemas era utilizado como herramienta para una gran variedad de actividades ilegales, entre las que destacan el robo de credenciales bancarias procedentes de pagos online, así como de credenciales de otros servicios en internet; la ejecución de ataques de denegación de servicio distribuido; y la descarga en las máquinas infectadas de otros tipos de software malicioso.
Consejos para evitar formar parte de una red zombis
La pérdida de velocidad del ordenador, un excesivo ruido del ventilador cuando está siendo utilizado, aplicaciones que no funcionan o lo hacen de forma incorrecta, podrían ser debidos a que el PC ha sido infectado con un tipo de virus capaz de controlarlo de forma remota. Para evitar contagios es la Policía Nacional recomienda mantener actualizados tanto el sistema operativo como los programas instalados -para ello es recomendable tener activas las actualizaciones automáticas-. Del mismo modo es aconsejable disponer de antivirus y cortafuegos que permitan detectar, bloquear y eliminar virus o cualquier otro tipo de elementos maliciosos.
Servicio antibotnet de la OSI
La Oficina de Seguridad del Internauta de INCIBE (Instituto Nacional de Ciberseguridad) dependiente del Ministerio de Industria, Energía y Turismo, tiene a disposición de los usuarios españoles de Internet un mecanismo que permite saber si existen amenazas o incidentes de ciberseguridad relacionados con redes de ordenadores zombis o botnets asociados a la conexión a Internet. Para ello se puede chequear con la base de datos de la OSI la dirección IP pública que tiene asignada cada ordenador. La finalidad de este servicio es proporcionar información y herramientas que permitían a los ciudadanos la desinfección de sus dispositivos en caso de estar afectados.
El Grupo de Seguridad Lógica de la Brigada Central de Seguridad Informática de la Unidad de Investigación Tecnológica (UIT) de la comisaría General de Policía Judicial, ha desarrollado esta investigación junto a otros cuerpos policiales internacionales y con la colaboración de empresas privadas.
El software malicioso que infectaba los sistemas era utilizado como herramienta por los ciberdelincuentes para llevar a cabo diversas actividades ilícitas
Para llevar a cabo la operación se ha tomado el control de los servidores de comando y control y de los dominios que formaban parte de la infraestructura de la botnet
Madrid (España), 10 de diciembre de 2015 / Sucesos - “dorkbot” / Gabinete de Prensa.
Agentes de la Policía Nacional han participado en una operación que ha permitido desmantelar la infraestructura de “dorkbot”, una de las redes de ordenadores zombis más activas del mundo con más de un millón de sistemas infectados en más de 200 países. El software malicioso que contagiaba los sistemas era utilizado como herramienta por los ciberdelincuentes para llevar a cabo diversas actividades ilícitas. La acción ha sido coordinada por el Centro Europeo del Cibercrimen de Europol (EC3), el Centro Nacional de Cibercrimen de Estados Unidos e Interpol, y han participado las policías de Bélgica, Alemania, Francia, Lituania, Holanda y Montenegro.
Control de servidores y dominios de la infraestructura de la botnet
Desde su descubrimiento en el año 2011, la red zombi desmantelada ha infectado más de un millón de equipos en más de 200 países con total desconocimiento de sus usuarios. En España se estima una cifra superior a 2.000 los ordenadores afectados. El mecanismo de contagio se produce cuando las víctimas ejecutan por error un fichero que reciben a través de memorias flash USB, programas de mensajería instantánea o redes sociales. A partir de ese momento el sistema pasa a formar parte de una red mundial de bots u ordenadores zombis controlados remotamente para la realización de actividades maliciosas.
Para llevar a cabo la operación se ha tomado el control de los servidores de comando y control y de los dominios que formaban parte de la infraestructura de la botnet. La complejidad de esta acción policial ha radicado en la determinación y análisis de los elementos que componían la infraestructura cibernética de la red zombi que, una vez establecidos, han requerido el desarrollo de un operativo policial perfectamente coordinado entre países para suspender simultáneamente la actividad de todos los elementos informáticos que conforman la red maliciosa y adquirir el control de los mismos.
Ordenadores controlados para delinquir
En el caso de la botnet “dorkbot”, el software malicioso que infectaba los sistemas era utilizado como herramienta para una gran variedad de actividades ilegales, entre las que destacan el robo de credenciales bancarias procedentes de pagos online, así como de credenciales de otros servicios en internet; la ejecución de ataques de denegación de servicio distribuido; y la descarga en las máquinas infectadas de otros tipos de software malicioso.
Consejos para evitar formar parte de una red zombis
La pérdida de velocidad del ordenador, un excesivo ruido del ventilador cuando está siendo utilizado, aplicaciones que no funcionan o lo hacen de forma incorrecta, podrían ser debidos a que el PC ha sido infectado con un tipo de virus capaz de controlarlo de forma remota. Para evitar contagios es la Policía Nacional recomienda mantener actualizados tanto el sistema operativo como los programas instalados -para ello es recomendable tener activas las actualizaciones automáticas-. Del mismo modo es aconsejable disponer de antivirus y cortafuegos que permitan detectar, bloquear y eliminar virus o cualquier otro tipo de elementos maliciosos.
Servicio antibotnet de la OSI
La Oficina de Seguridad del Internauta de INCIBE (Instituto Nacional de Ciberseguridad) dependiente del Ministerio de Industria, Energía y Turismo, tiene a disposición de los usuarios españoles de Internet un mecanismo que permite saber si existen amenazas o incidentes de ciberseguridad relacionados con redes de ordenadores zombis o botnets asociados a la conexión a Internet. Para ello se puede chequear con la base de datos de la OSI la dirección IP pública que tiene asignada cada ordenador. La finalidad de este servicio es proporcionar información y herramientas que permitían a los ciudadanos la desinfección de sus dispositivos en caso de estar afectados.
El Grupo de Seguridad Lógica de la Brigada Central de Seguridad Informática de la Unidad de Investigación Tecnológica (UIT) de la comisaría General de Policía Judicial, ha desarrollado esta investigación junto a otros cuerpos policiales internacionales y con la colaboración de empresas privadas.
