Microsoft, el FBI, Europol y empresas asociadas interrumpen la famosa botnet ZeroAccess

El desmonte de ZeroAccess, una enorme red de ordenadores zombis, significa la liberación de dos millones de computadoras personales que estaban abducidas por esta red, que utilizaba las máquinas —y entre ellas podría estar la tuya— para llevar adelante diversas acciones delictivas en la red

La acción global tuvo como objetivo proteger a millones de computadoras infectadas con un malware responsable de secuestros de resultados de búsqueda y de hacer clics fraudulentos.

La Unidad de Delitos Digitales de Microsoft anunció hoy que ha interrumpido con éxito una creciente y vivaz red de bots en colaboración con Centro Europeo Ciberdelincuencia (EC3) de la Europol, la Oficina Federal de Investigaciones (FBI) y líderes en la industria de la tecnología, incluyendo A10 Networks Inc. La botnet Sirefef, también conocida como ZeroAccess, es responsable de infectar a más de 2 millones de computadoras, apuntando específicamente a los resultados de los motores de búsqueda en Google, Bing y Yahoo, y se estima que les costó a los anunciantes en línea us$ 2,7 millones por mes. Se espera que la acción de ayer, 5 de diciembre, para interrumpir de manera significativa el funcionamiento de la botnet, aumentando el costo y el riesgo a los ciberdelincuentes para seguir haciendo negocios, y previniendo que las computadoras de las víctimas cometan fraudes.

Esta es la primera acción de Microsoft sobre un botnet desde la inauguración de su nuevo Centro de Ciberdelincuencia el 14 de noviembre —un centro de alto nivel para avanzar en la lucha global contra la ciberdelincuencia— y marca la octava operación botnet de la compañía en los últimos tres años. Similar al caso de de Microsoft con la botnet Citadel, el caso ZeroAccess es parte de un esfuerzo de extensa cooperación con aplicación de la ley internacional y socios de la industria para desmantelar las redes de ciberdelincuentes y asegurar que las personas de todo el mundo puedan utilizar con confianza sus dispositivos y servicios informáticos.

«Esta operación supone un paso importante en las acciones coordinadas iniciadas por las empresas privadas y, al mismo tiempo, permitir que las fuerzas del orden de toda Europa identifiquen e investiguen a las organizaciones criminales y las redes detrás de estas peligrosas botnets, que utilizan software malicioso para obtener ganancias ilícitas», dijo Troels Oerting, jefe del EC3.

«EC3 añadió su experiencia, la infraestructura tecnológica y capacidad analítica de comunicación de información, así como la plataforma de cooperación de alto nivel entre las unidades de delitos informáticos en cinco países europeos y Microsoft.»

Debido a su arquitectura botnet, ZeroAccess es una de las botnets más sólidas y duraderas en funcionamiento hoy, y fue construida para ser resistente a los esfuerzos de interrumpirla, apoyándose en una infraestructura de peer-to-peer que permite que los ciberdelincuentes controlen en forma remota las decenas de miles de diferentes equipos en la botnet. ZeroAccess se utiliza para cometer una serie de delitos, incluyendo el secuestro de datos de búsqueda, que registra los resultados de búsqueda de las personas y vuelve a dirigir a la gente a los sitios que no habían pensado o solicitado visitar con el fin de robar el dinero generado por los clics en sus anuncios. ZeroAccess también comete fraude de clics, que se produce cuando los anunciantes pagan por clics que no son el resultado de interés legítimo de los usuarios humanos, sino que son el resultado de un tráfico Web automatizado y otras actividades criminales. La investigación realizada por la Universidad de California, San Diego, muestra que a partir de octubre de 2013, 1,9 millones de computadoras fueron infectadas con ZeroAccess, y Microsoft determinó que había más de 800.000 computadoras infectadas por ZeroAccess activas en Internet en un día determinado.

«La acción coordinada adoptada por nuestros socios fue un instrumento en la interrupción de ZeroAccess; estos esfuerzos terminarán con el uso de las computadoras de las víctimas para realizar fraudes y nos ayudará a identificar los equipos que deben ser limpiados de la infección», dijo David Finn, director ejecutivo y Consejero General Asociado de la Unidad de Crímenes Digitales Microsoft. «Microsoft se ha comprometido a trabajar en colaboración —con nuestros clientes, socios, expertos académicos y las fuerzas de aplicación de la ley— para combatir la ciberdelincuencia. Y haremos todo lo que podamos para proteger a los usuarios de las computadoras de las actividades siniestras y las redes criminales que victimizan a personas inocentes y empresas de todo el mundo».

La semana pasada, Microsoft presentó una demanda civil en contra de los cibercriminales que operan la botnet ZeroAccess, y recibió la autorización de la Corte de Distrito de EEUU para el Distrito Oeste de Texas para bloquear simultáneamente las comunicaciones entrantes y salientes entre equipos ubicados en los EEUU, y 18 protocolos de internet (IP) identificados, las direcciones que se utilizaban para cometer los fraudes. Además, Microsoft asumió el control de 49 dominios asociados con la botnet ZeroAccess. La empresa A10 Networks proporcionó a Microsoft con tecnología avanzada para apoyar la acción disruptiva.

Mientras Microsoft ejecutaba la orden presentada en su caso civil, Europol coordinó una acción penal plurijurisdiccional apuntando a las 18 direcciones IP situadas en Europa. Específicamente, Europol trabajó con Letonia, Luxemburgo, Suiza, Países Bajos y Alemania para ejecutar órdenes de registro e incautaciones en servidores asociados a las direcciones IP fraudulentas ubicadas en Europa.

Esta es la segunda vez en seis meses que Microsoft y las fuerzas de la ley han trabajado juntas para romper con éxito una red de bots prevalente. Esto demuestra el valor que tienen las operaciones coordinadas contra empresas de ciberdelincuentes.

«Si la comunidad hacker aún no se ha dado cuenta, la interrupción de ayer de la botnet ZeroAccess es otro ejemplo del poder de la colaboración público-privada», dijo el FBI Subdirector Ejecutivo Richard McFeely. «Esto demuestra nuestro compromiso de ampliar la coordinación con empresas como Microsoft y nuestros socios policiales extranjeros —en este caso, Europol— para cesar los ataques cibernéticos maliciosos y responsabilizar a los cibercriminales por la explotación de las computadoras de nuestros ciudadanos y de las empresas.»

Microsoft y sus socios no esperan excluir totalmente la botnet ZeroAccess debido a su complejidad. Sin embargo, Microsoft espera que esta acción alterará significativamente la operación de la botnet. Microsoft está trabajando con socios en el ambiente de todo el mundo para notificar a las personas si sus computadoras están infectadas y pondrá esta información a disposición a través de su Cyber Threat Intelligence Program (C-TIP, Programa de Inteligencia de Amenazas Cibernéticas).

ZeroAccess es un código malicioso (malware) muy sofisticado, que bloquea los intentos de eliminarlo, y por lo tanto, Microsoft recomienda que la gente visite http://support.microsoft.com/botnets para obtener instrucciones detalladas sobre la forma de eliminar esta amenaza. Debido a que Microsoft descubrió que el malware ZeroAccess desactiva las funciones de seguridad en las computadoras infectadas, dejando al equipo susceptible a infecciones secundarias, es fundamental que las víctimas libren a sus computadoras de ZeroAccess mediante el uso de software antivirus de remoción de malware tan pronto como sea posible. Europol también está proporcionando información en su sitio web acerca de las redes de bots para educar al público sobre cómo protegerse.

Más información acerca de las noticia y la acción coordinada contra ZeroAccess está disponible en http://www.microsoft.com/en-us/news/presskits/dcu.

La documentación legal sobre el caso se puede encontrar en http://www.botnetlegalnotice.com/ZeroAccess.



Acerca de Europol

EC3 es el punto central de la lucha de la UE contra la delincuencia informática, lo que contribuye a las reacciones más rápidas en caso de delitos en línea. Se apoya a los Estados miembros y a las instituciones de la Unión Europea en el fomento de la capacidad operacional y analítica para la investigación y la cooperación con los socios internacionales. EC3 inició oficialmente sus actividades el 1 de enero de 2013, y su objetivo es convertirse en el punto central de la lucha de la UE contra la delincuencia informática, a través de la creación de capacidad operacional y analítica para las investigaciones y la cooperación con los socios internacionales en la búsqueda de una UE libre de ciberdelincuencia. El Centro Europeo de Ciberdelincuencia es organizada por Europol, la agencia policial europea en La Haya, Países Bajos, y por lo tanto EC3 puede hacer uso de la red de infraestructuras y la aplicación de la ley existente de Europol.

Acerca de FBI

Como una organización de seguridad nacional centrada en la inteligencia y las amenazas, y en la administración de justicia, la misión del FBI es proteger y defender a los Estados Unidos frente a las amenazas terroristas y de inteligencia extranjeros, incluidos los ataques cibernéticos y los crímenes de alta tecnología, cumplir y hacer cumplir las leyes penales de los Estados Unidos, y proporcionar servicios de liderazgo y de justicia penal para agencias estatales, municipales y organismos internacionales y otras agencias federales.

Acerca de A10 Networks

A10 Networks fue fundada en 2004 con la misión de proporcionar innovaciones en la red y soluciones de seguridad. A10 Networks produce productos de alto rendimiento que ayudan a las organizaciones a acelerar, optimizar y asegurar sus aplicaciones. A10 Networks tiene su sede en Silicon Valley, con oficinas en Estados Unidos, Reino Unido, Francia, Países Bajos, Alemania, España, Brasil, Japón, China, Corea, Taiwán, Hong Kong, Singapur y Malasia. Para obtener más información, visite: http://www.a10networks.com.

Acerca de Microsoft

Fundada en 1975, Microsoft (Nasdaq «MSFT») es el líder mundial en software, servicios y soluciones para personas y negocios.

Fuente: Microsoft. Aportado por Eduardo J. Carletti

Más información: