Buena noticia para los sitios web que no disfrutan de que millones de aparatos se pongan de acuerdo para dejarles de servir, y mala noticia para quienes alquilaban esos servicios: el Departamento de Justicia de Estados Unidos, en colaboración con la unidad de investigación criminal del Departamento de Defensa, ha desactivado cuatro botnets masivos en una operación coordinada.
Qué se apagó
Los servidores de mando y control que dirigían los botnets conocidos como JackSkid, Mossad, Aisuru y Kimwolf fueron retirados de la red. En conjunto, los operadores de estas redes habían reunido más de 3 millones de dispositivos infectados, que en muchos casos se ofrecían a otros ciberdelincuentes a cambio de dinero y se usaban para lanzar ataques masivos que dejan sitios y servicios sin conexión.
Aisuru y Kimwolf: los grandes protagonistas
Aisuru y su variante Kimwolf sumaban más de un millón de aparatos. Según empresas de defensa contra DDoS, Aisuru infectaba desde grabadores DVR hasta equipos de red y cámaras web, mientras que Kimwolf se había especializado en dispositivos Android, como televisores inteligentes y decodificadores.
- En noviembre se detectó un ataque combinado de Aisuru y Kimwolf que alcanzó 31,4 terabits por segundo y duró 35 segundos. Esa cifra superó por mucho los récords anteriores.
- Entre los objetivos frecuentes estaban servicios de juego en línea y periodistas de seguridad que investigaban estos ecosistemas.
- Empresas de mitigación indicaron que estos botnets podían provocar daños graves a infraestructuras y superar muchas soluciones tradicionales de defensa contra DDoS.
Técnica y evolución
Los cuatro botnets eran variantes del código original conocido como Mirai, surgido en 2016. Sin embargo, han evolucionado: emplearon nuevas técnicas para alcanzar tipos de dispositivos que Mirai no podía tocar.
- Kimwolf aprovechó aparatos económicos que actuaban como proxies residenciales, permitiendo a los atacantes entrar en redes domésticas y comprometer dispositivos detrás de routers domésticos.
- Los operadores llegaron a usar trucos sofisticados, por ejemplo trasladar servicios de resolución de nombres a la blockchain para dificultar que les desconectaran el control.
Investigación y alcance internacional
La acción fue parte de una colaboración con autoridades de otros países, que en paralelo atacaron a individuos que operaban estas redes. No se anunciaron detenciones de forma inmediata al dar la noticia.
Un representante del gobierno destacó el compromiso con la protección de la infraestructura crítica de internet y con la lucha contra los ciberdelincuentes, dondequiera que se encuentren.
¿Se acabó el problema?
No es un fin definitivo. Investigadores y fuerzas del orden mantenían meses de enfrentamiento con los operadores, y la historia muestra que, aunque se desactive una gran red, otros grupos o nuevas versiones del malware tienden a surgir. Los responsables del sector de seguridad advierten que esto es un problema a largo plazo que requiere vigilancia continua y mejoras en la seguridad de los dispositivos conectados.
En resumen, se ha dado un golpe importante contra redes que dirigían ataques enormes y controlaban millones de aparatos, pero la amenaza persistirá mientras los dispositivos sigan siendo fáciles de comprometer.
