APT
En las noticias de la semana, Microsoft inició acciones legales contra NoIP, una compañía de hosting que supuestamente ganaba dinero por alojar campañas maliciosas de un grupo de cibercriminales. Además, la campaña de amenazas avanzadas Miniduke reapareció esta semana luego de más de un año de ausencia.
NoIP
NoIP es un proveedor de DNS dinámicas. Su servicio les permite a los usuarios comprar nombres de dominio para sitios web. La diferencia con las DNS clásicas, es que las dinámicas les permiten a los administradores actualizar fácilmente sus nombres de dominio y direcciones IP. Esta herramienta resulta muy atractiva para los cibercriminales debido a que, entre otras cosas, les permite evadir la detección de los motores de antivirus. Para ponerlo en simples palabras, los antivirus identifican y bloquean las direcciones IP de sitios web que contienen malware o actúan como un servidor que controla una botnet. Desafortunadamente, en este escenario, muchas compañías legítimas no maliciosas utilizan DNS dinámicas y los servicios de NoIP.
Según Microsoft, “NoIP operaba como el dueño de una infraestructura utilizada por cibercriminales para infectar a víctimas inocentes con la familia de malware Bladabindi (Njrat) y Jenxcus (NJw0rm)”. Por su parte, NoIP niega las acusaciones.
Una de las formas en que Microsoft desbarató las operaciones del malware es por medio de la adquisición de una orden de restricción, una autorización legal que les duo la posibilidad de aprovechar los dominios utilizados para las operaciones maliciosas y redirigir el tráfico hacia dominios bajo el control de Microsoft. La tarea de “Sinkholing” llevada a cabo por Microsoft, es un método ampliamente aceptado para poner fin al accionar de las botnets y de las empresas de malware.
Según Threatpost, la decisión de Microsoft causó una gran controversia en la comunidad de seguridad. El principal problema es el siguiente: por qué Microsoft –una empresa privada con sus propios valores objetivos y no una fuerza de seguridad gubernamental- se adjudica la autoridad de emprender acciones legales sobre otra compañía o un grupo de individuos. Esencialmente, pareciera que Microsoft se puso el uniforme de policía para defender sus propios intereses económicos. Las quejas sobre el accionar de Microsoft se hicieron escuchar con mayor fuerza, luego de que un gran número de sitios legítimos dejaran de funcionar a raíz de la intervención de NoIP.
Si lo deseas, puedes leer las conclusiones del director del Global Research and Analysis Team de Kaspersky Lab aquí.
Miniduke regresó
La campaña APT (Advanced Persistent Threat) llamada Miniduke regresó. En febrero de 2013, los investigadores de Kaspersky Lab fueron los primeros en descubrir esta campaña de espionaje. En aquél momento, el malware era utilizado para espiar a los gobiernos de diferentes países de Europa. Miniduke era un caso único entre los contados agentes APT de ese año. El descubrimiento de esta campaña se produjo luego de que Miniduke utilizara Twitter y archivos .gif para transmitir el malware.
La segunda ola de ataques de Miniduke, descubierta esta semana, muestra que la campaña ha incrementado su alcance y complejidad. Esta vez, no sólo los ataques de Miniduke van dirigidos a gobiernos, agencias militares y compañías energéticas. También busca robar información de distintos traficantes de drogas de Internet. Si el malware logra robar la información que necesita, dividirá esa información en cientos de partes y las esconderá en distintos sitios a fin de dificultar la tarea de los investigadores de seguir la campaña.
El nuevo Miniduke, renombrado como Cosmicduke, posee nuevas herramientas diseñadas para robar más información y con mayor eficiencia. Si quieres saber más de esta campaña, puedes leer el reprote completo en Threatpost.
Traducido por: Guillermo Vidal Quinteiro
