Tom Burt, corporate vice president, Microsoft Customer Security & Trust.
Microsoft y sus partners en 35 países adoptaron el pasado mes medidas legales y técnicas de forma conjunta para desmantelar una de las botnets más prolíficas en el mundo, denominada Necurs, que ha infectado a más de nueve millones de ordenadores en 211 países. Esta iniciativa es el resultado de ocho años de seguimiento y planificación y contribuirá a garantizar que los delincuentes que están detrás de esta red ya no puedan utilizar elementos clave de su infraestructura para ejecutar ciberataques.
Una botnet es una red de equipos informáticos que ha sido infectada a través de un software malicioso o malware. Una vez corrompidos, los ciberdelincuentes pueden controlar esos ordenadores a distancia y utilizarlos para cometer delitos. La Unidad de Crímenes Digitales de Microsoft y otros miembros de la comunidad de seguridad se percataron por primera vez de la botnet Necurs en 2012 y le han visto distribuir varias formas de malware, incluido el troyano bancario GameOver Zeus. Se cree que Necurs es operada por delincuentes localizados en Rusia y que también se ha utilizado para cometer fraudes con objeto de modificar el valor de las acciones cotizadas en la Bolsa (pump and dump stock); enviar correos electrónicos falsos de spam farmacéutico y estafas de supuestas citas con mujeres rusas (Russian dating); llevar a cabo actividades que van desde el ataque a otros ordenadores en internet hasta el robo de credenciales para cuentas online, información de identificación personal, datos confidenciales, la venta o el alquiler de acceso a los dispositivos informáticos infectados a otros delincuentes cibernéticos y otras actividades ilegales.
Asimismo, Botnet Necurs es uno de los mayores transmisores de spam que amenazan al ecosistema. Por ejemplo, durante la investigación que llevamos a cabo por un período de 58 días, observamos que un ordenador infectado por Necurs envió un total de 3,8 millones de correos electrónicos de spam a más de 40,6 millones de víctimas potenciales. Necurs también se conoce por distribuir malware y ransomware al sector financiero, criptomining, e incluso tiene una capacidad de ataque de denegación de servicio (DDoS) que aún no ha sido activada, pero que podría serlo en cualquier momento.
El pasado jueves 5 de marzo, el Tribunal Federal de Nueva York (U.S. District Court for the Eastern District of New York) emitió una orden que permitió a Microsoft tomar el control de la infraestructura estadounidense que Necurs utiliza para distribuir malware e infectar los ordenadores de las víctimas. Con esta acción legal y gracias al trabajo conjunto con instituciones públicas y privadas de todo el mundo, Microsoft está liderando actividades que evitarán que los criminales que estén detrás de Necurs registren nuevos dominios, de modo que no puedan ser utilizados para ejecutar ataques en el futuro.
Esta operación se logró mediante el análisis de una técnica utilizada por Necurs para generar sistemáticamente nuevos dominios a través de un algoritmo. De esta forma, se han podido predecir con precisión más de seis millones de dominios únicos que se crearían en los próximos 25 meses. Microsoft informó de estos dominios a los respectivos registros en países de todo el mundo para que los sitios web pudieran ser bloqueados, evitando así que formaran parte de la infraestructura de Necurs. Al tomar el control de los sitios web existentes e impedir que se registren otros nuevos, hemos podido interrumpir significativamente la botnet.
Además, Microsoft ha establecido colaboraciones con los proveedores de servicios de Internet (ISP) y otras entidades de todo el mundo para eliminar el malware asociado a la Botnet Necurs de los ordenadores de sus clientes. Este esfuerzo es de escala global e implica la colaboración con partners de la industria, instituciones gubernamentales y las fuerzas del orden a través del Programa de Inteligencia de Amenazas Cibernéticas de Microsoft (Microsoft Cyber Threat Intelligence Program- CTIP). A través del CTIP, Microsoft proporciona a las fuerzas del orden, a los Equipos de Respuesta a Emergencias Informáticas (CERTs), a los proveedores de servicios de Internet y a los organismos gubernamentales responsables de la aplicación de las leyes cibernéticas y de la protección de la infraestructura crítica, información sobre la infraestructura cibernética criminal ubicada dentro de su jurisdicción, sobre los ordenadores comprometidos y sobre las víctimas afectadas por dicha infraestructura criminal.
Para esta operación de desmantelamiento, estamos trabajando con ISPs, registros de dominios, CERTs y fuerzas del orden de España, México, Colombia, Taiwán, India, Japón, Alemania, Francia, Polonia y Rumania, entre otros. Cada uno de nosotros tiene un papel crítico que desempeñar para proteger a los clientes y mantener un Internet seguro.