Anuncio de 14. septiembre 2012

G Data detecta una botnet dirigida desde la red Tor

Mantiene el anonimato de su servidor de control impidiendo su localización real y la identificación de los estafadores

Desde sus orígenes, los ciberdelincuentes han intentado ocultar su identidad y eliminar cualquier rastro o pista que pudiera delatarles ha sido siempre uno de sus grandes desafíos. Los creadores de la botnet detectada recientemente por G Data parece que ya han superado el reto. Sus expertos han descubierto el servidor de control de una red de ordenadores zombis dentro de la conocida red Tor, específicamente diseñada para mantener el anonimato de sus usuarios. Si bien las funciones de la botnet están entre las habituales (es capaz, por ejemplo, de generar ataques DDoS o permitir el acceso a los datos personales almacenados en las máquinas infectadas), lo realmente novedoso es la localización de su puesto de mando dentro de Tor

¿Qué es la red Tor?

Tor (The Onion Router, en su forma no abreviada) nació con el objetivo de garantizar la privacidad en la navegación web y el anonimato de los internautas. Sus características la han convertido, por ejemplo, en un vehículo muy utilizado para difundir mensajes en situaciones de conflicto político donde el comunicante no desea mostrase públicamente. La información en Tor viaja cifrada a través de numerosos routers que impiden conocer la dirección IP de origen, una característica especialmente atractiva para los ciberdelincuentes. Y puesto que Tor también ofrece muchos otros usos legítimos no es posible bloquear su tráfico por completo, otro elemento que seguro consideraron los estafadores.

 

Además, esta red permite a los dueños de la botnet:

•   Mantener en el anonimato su servidor, impidiendo localizar la identidad de los ciberdelincuentes

•   Dificulta los intentos de dejar fuera de servicio el servidor de los ciberdelincuentes pues es muy complicado determinar su localización real

•   Encripta el tráfico y dificulta la deteción por parte de los sistemas de intrusión

•   El creador de la botnet no necesita crear su propio protocolo de comunicación propio y puede utilizar, como es el caso, el ya conocido IRC (Internet Relay Chat)

 

Comunicación entre el servidor de control (C&C) y los ordenadores zombis en Tor

 

A pesar de estas ventajas, los creadores de la botnet también „heredan“ algunos de los inconvenientes propios de esta red, entre ellos que no siempre es rápida ni estable. Además, el éxito indiscutible a la hora de cifrar mensajes y ocultar en este caso al estafador no siginifica que el malware distribuido no pueda ser bloquedado por las firmas y los mecanismos basados en los análisis de comportamiento incorporados en las soluciones antivirus.

 

Anuncio de 14. septiembre 2012

Más información

G DATA Software España

Ignacio Heras

Public Relations Manager España

Francisco Giralte, 2  

28001 Madrid

Tel: +34 917 453 073

Mail: ignacio.heras@remove-this.gdata.es