Las botnets comprenden redes de computadoras secuestradas y comúnmente son la causa de los ciberataques que afectan a empresas y organizaciones de diferentes tamaños.
Estos sistemas secuestrados se denominan bots y sirven como una herramienta para automatizar ataques masivos, como el robo de datos, el bloqueo del servidor y la distribución de malware, dijo el experto en seguridad de Kaspersky Alexander Eremin a MyBroadband.
Eremin dijo que hay dos métodos principales que se utilizan para infectar computadoras y hacerlas parte de una botnet.
Las infecciones por descargas no autorizadas requieren que los atacantes descubran sitios web populares con vulnerabilidades explotables.
Estas vulnerabilidades luego se explotan para cargar código malicioso en el sitio web y aprovechar las vulnerabilidades en los navegadores de los visitantes.
"El código normalmente redirigirá el navegador del usuario a otro sitio controlado por el atacante donde el código del bot se descargará e instalará en la máquina del usuario", explicó Eremin.
Dijo que el segundo método, la infección por correo electrónico, es mucho más simple.
“El atacante envía un gran lote de spam que incluye un archivo como un documento de Word o PDF con código malicioso, o un enlace a un sitio donde está alojado el código malicioso”, dijo Eremin.
"En cualquier caso, una vez que el código del atacante está en la máquina del usuario, esa PC ahora es parte de la botnet".
Eremin dijo que el proceso se puede simplificar en los siguientes pasos:
- Preparar y exponer: el pirata informático aprovecha una vulnerabilidad para exponer a los usuarios al malware.
- Infectar : los dispositivos del usuario están infectados con malware que puede tomar el control de su dispositivo.
- Activar : los piratas informáticos utilizan un servidor de comando y control para movilizar los dispositivos infectados y llevar a cabo ataques.
Cómo las botnets realizan ataques
“Una persona, o incluso un pequeño equipo de piratas informáticos, solo puede realizar un número determinado de acciones en sus dispositivos locales”, explicó Eremin.
"Pero, a bajo costo y un poco de tiempo invertido, pueden adquirir toneladas de máquinas adicionales para aprovechar las operaciones más eficientes".
Eremin explica que una vez que el hacker está listo para lanzar un ataque, toma el control de cada computadora que ha infectado.
Luego, organizan estas máquinas infectadas en una red de bots que pueden administrar de forma remota.
Dijo que los ciberdelincuentes a menudo buscan infectar y controlar miles, decenas de miles o incluso millones de computadoras.
“El ciberdelincuente puede actuar entonces como el maestro de una gran 'red zombi', es decir, una botnet activa y completamente ensamblada”, dijo Eremin.
Una vez infectada, una computadora zombi permite el acceso a operaciones de nivel de administrador, como:
- Lectura y escritura de datos del sistema.
- Recopilación de datos personales del usuario.
- Envío de archivos y otros datos.
- Seguimiento de las actividades del usuario.
- Búsqueda de vulnerabilidades en otros dispositivos.
- Instalar y ejecutar cualquier aplicación.
Cómo se puede cerrar una botnet
Eremin dijo que cerrar una botnet es muy difícil y, por lo general, no puede hacerlo una sola empresa de ciberseguridad. En cambio, requiere la cooperación entre las empresas de ciberseguridad y otras partes.
Esto incluye la cooperación con las fuerzas del orden para cerrar parte o la totalidad de la botnet. La aplicación de la ley es clave en los intentos de encontrar a los criminales detrás de la botnet.
Además, las empresas de ciberseguridad deben cooperar con los servicios de alojamiento y / o los registradores de dominios para cerrar los servidores de comando y control conocidos, ya que esto interrumpe el trabajo de los ciberdelincuentes.
Esto también puede implicar el sumidero de DNS, que es una técnica utilizada para evitar que el malware se conecte a los servidores de comando y control. Esto se logra resolviendo los nombres de host maliciosos conocidos en direcciones IP falsas.
En algunas situaciones, los sitios web legítimos que han sido pirateados se utilizan como servidores de comando y control. En este escenario, las empresas de ciberseguridad pueden comunicarse con el propietario del sitio web y trabajar con él para borrar el código de su sitio web y proteger el sitio web de una mayor infección.
Cómo protegerse
Eremin dijo que, dado que evidentemente es difícil cerrar una botnet, es importante que las empresas protejan los dispositivos de sus empleados contra la infección en primer lugar.
Brindó algunos consejos para proteger su empresa contra la infección de sus dispositivos por parte de partes malintencionadas que están creando y utilizando botnets.
Dijo que es importante que las empresas eduquen a sus empleados sobre los conceptos básicos de la ciberseguridad, incluidos los siguientes:
El uso de contraseñas seguras para dispositivos inteligentes y el uso de contraseñas complejas y largas para ayudar a mantener los dispositivos seguros.
Informe a los empleados que tengan cuidado con los archivos adjuntos de correo electrónico. El mejor enfoque es evitar por completo la descarga de archivos adjuntos y, cuando necesite descargar un archivo adjunto, investigue cuidadosamente y verifique la dirección de correo electrónico del remitente.
También considere usar un software antivirus que escanee proactivamente los archivos adjuntos en busca de malware antes de descargarlos.
Informe a los empleados que nunca deben hacer clic en enlaces en ningún mensaje de texto, correo electrónico o redes sociales. Ingresar manualmente el enlace en la barra de direcciones ayudará a evitar el envenenamiento de la caché de DNS y las descargas no autorizadas. También se recomienda que los empleados den el paso adicional de buscar una versión oficial del enlace.
También es importante asegurarse de que todos los dispositivos que se conectan a la red corporativa estén protegidos con una solución de seguridad de Internet adecuada.
Si esta pagina te ha sido util, compartela en las redes sociales, gracias
