¿Qué son las redes de bots DDoS?

En noviembre del año 2021, Microsoft mitigó un ataque récord de 3,47 Tbps de una red de bots masiva para ataques DDoS que operaba en Estados Unidos, China, Corea del Sur, India y otras naciones, el ataque duró 15 minutos y fue dirigido a un cliente de Azure con sede en Asia.

Este evento muestra cuán sofisticado y peligroso se ha vuelto el mundo del crimen cibernético, donde incluso los grandes magnates tecnológicos no están a salvo.

Incidentes como este solo sirven para resaltar la importancia de comprender los ataques DDoS y las redes de bots usadas para este tipo de ataques, en este blog vamos a aprender todo lo que necesitas saber sobre estas redes zombis y por qué son tan peligrosas.

DDoS es la abreviatura en inglés del término técnico “Distributed Denial-of-Service”, o Denegación de servicio distribuidos, es un tipo de ataque cibernético usado para abrumar un servidor con un fuerte flujo de tráfico malicioso. La meta de los eventos DDoS es hacer que un sitio web suspenda sus operaciones de temporal o permanentemente.

La pregunta más pertinente a continuación sería, ¿cómo funcionan los ataques DDoS? Los piratas informáticos se encargan de explotar dispositivos con conexiones activas a Internet, infectándolos con malware para obtener acceso remoto a estos, generalmente sin el conocimiento de los propietarios lo sepan; estos dispositivos contaminados son llamados “bots”, y un conjunto de ellos se le llama red de bots.

Vamos a profundizar un poco más para descubrir qué son las redes de bots DDoS, qué son capaces de hacer y cómo podemos evitar que nuestros dispositivos sean usados para fines funestos por actores maliciosos.

¿Qué es una red de bots DDoS?

Como indicamos anteriormente, una red de bots es un tramado de dispositivos infectados con malware que son controlados de forma remota por piratas informáticos para realizar actividades maliciosas. Los criminales informáticos suelen explotar estas “redes de bots” para enviar spam, suplantar identidades, ataques phishing, ransomware y ataques DDoS.

Las redes de bots usadas para ataques DDoS se denominan botnets DDoS, con estas herramientas los actores maliciosos eligen diversos tipos de malware según la industria que tengan bajo la mira y dependiendo del tipo de efecto que pretendan lograr; algunos programas maliciosos otorgan acceso remoto, mientras que otros roban o interceptan datos de forma encubierta.

Un hacker de sombrero negro que controla una red de bots se denomina pastor de bots o maestro de bots, en la actualidad las herramientas utilizadas durante los ataques DDoS están disponibles en el mercado negro por menos de $5, lo que hace que estos delitos cibernéticos sean uno de los más populares de aplicar.

¿Cómo funciona una red de bots DDoS?

Una red de bots DDoS ejecuta comandos remotos enviados por un pastor de bots para lanzar ataques distribuidos de denegación de servicio, dependiendo de lo que motive el ataque DDoS, la red de bots puede variar en tamaño, desde cientos hasta miles de dispositivos usados a la vez.

Los criminales informáticos saben cómo crear redes de bots para ataques DDoS sin ser descubiertos o identificados, por lo que sabe preguntarse ¿cómo funciona una red de bots o “red zombie”?

Todo comienza con la destreza de los piratas informáticos para aprovecharse de las vulnerabilidades de seguridad y saber usar el malware necesario para controlar los dispositivos de sus víctimas, entre los que se incluyen computadoras, teléfonos inteligentes, tabletas y dispositivos IoT tales como enrutadores WiFi; los métodos y vectores de infección comunes incluyen vulnerabilidades diversas en sitios web, enlaces fraudulentos, correos con phishing, redes inseguras, malware y troyanos.

El malware de las redes de bots DDoS pueden tomar completo control de un dispositivo infectado (o bot), o puede ejecutarse silenciosamente en segundo plano esperando órdenes de un pastor de bots.

Una vez infectado, un dispositivo puede intentar propagar el malware de botnet a otros dispositivos en la misma red por medio de la replicación, similar a como funcionan los gusanos informáticos.

Un dispositivo infectado con malware bajo este escenario puede formar parte de una red de bots y ejecutar comandos maliciosos, sin que el propietario del dispositivo se dé cuenta.

Redes de bots DDoS cliente/servidor

Los pastores de bots utilizan servidores de comando y control (C&C o C2) como intermediarios para dirigir y controlar los bots conectados de forma remota y anónima; para recibir instrucciones, cada bot se conecta a un recurso en un centro de comando, los medios de comunicación comunes entre los pastores de bots y las redes de bots incluyen sitios web HTTP, protocolos IRC, plataformas de redes sociales, entre otros medios.

Usando un servidor centralizado (tal como un dispositivo que es propiedad de un pastor de bots o que está infectado por este), un pirata informático puede actualizar fácilmente las instrucciones de manejo y emitir nuevos comandos, también pueden cambiar la funcionalidad de cada bot para que estos se adapten a las medidas de protección que adopte un sistema de destino de ser necesario.

Dicho esto, las redes de bots para DDoS con un servidor principal pueden ser eliminadas fácilmente con tan solo apagar el servidor. Debido a esta vulnerabilidad, algunos piratas informáticos optan por un modelo con múltiples puntos de fallo.

Redes de bots DDoS peer-to-peer

Los servidores de redes de bots pueden comunicarse y cooperar entre sí, lo cual permite a un actor malicioso o a varios pastores de bots controlar una sola red de bots. Esto se conoce como modelo botnet peer-to-peer (P2P), ya que no tiene un servidor centralizado, las redes de bots P2P no tienen una sola vía de acceso o punto de falla, lo cual dificulta su detección y mitigación.

Sin embargo, estas redes de bots descentralizadas también son vulnerables al control externo, por lo que los piratas informáticos suelen encriptarlas para limitar el acceso a estas.

Redes de bots DDoS populares 

La mayoría de los pastores de bots saben cómo hacer que una red de bots DDoS funcione de forma anónima, razón por la cual no muchos de estos son identificables, aquí te presentamos algunas de las redes más utilizadas:

Mr. Black

La red de bots Mr. Black y los ataques DDoS que la utilizan son bastante comunes en el mundo de la seguridad cibernética, esta red también es conocida como Trojan.Linux.Spike.A, ya que generalmente va dirigida a los sistemas operativos Linux, pero no es de uso exclusivo para este ecosistema, ya que la red ha sido utilizada para llevar cabo ataques a sistemas antiguos como Windows XP y Windows 2003.

Mr. Black funciona conectándose a un servidor remoto que envía información del sistema y recibe comandos de un pastor de bots para llevar a cabo el ataque DDoS o DoS a través de la descarga de un archivo de comando ejecutable, que lleva cabo el ataque y finaliza el proceso una vez que obtiene el control.

Mirai

Mirai, una de las redes de bots DDoS más notorias, ya que escanea dispositivos IoT que se ejecutan en procesadores ARC a través de Linux. Por lo general, sus objetivos son dispositivos IoT como enrutadores y cámaras IP con contraseñas de uso predeterminado.

Curiosamente, el malware Mirai supuestamente fue creado por tres personas, Dalton Norman, Paras Jha y Josiah White, dos de los cuales cofundaron Protraf Solutions, una empresa que brinda servicios de mitigación para ataques DDoS.

El mito urbano reza que estos programadores lanzaron ataques DDoS contra empresas que usaban la red de bots Mirai y luego se pusieron en contacto con ellos para ofrecer soluciones de mitigación pagas.

Nitol/IMDDoS/Avzhan/ChinaZ

Esta familia de red de bots DDoS se transforma y evoluciona periódicamente y reporta su accionar a China. El malware que contiene se conecta a un servidor C&C a través de un socket TCP para transferir la información del sistema de destino a su pastor de bots; en el año 2015, esta red de bots llevó a cabo por sí sola casi el 60 % de todos los eventos DDoS donde se registraron sus IP en redes de bots conocidas.

Pushdo/Cutwail

Pushdo no es la típica red de bots DDoS, esta es utilizada principalmente para enviar spam, fue creada en el año 2017, Cutwail apunta a las computadoras con Windows usando un troyano llamado Pushdo.

La red tiene en su haber aproximadamente 2 millones de bots, y hasta la fecha ha sido usada para atacar más de 300 sitios web, incluidos los portales del FBI, Twitter y Paypal. Se sabe que este ejército de zombis afecta principalmente a los usuarios de computadoras en India, Indonesia, Turquía y Vietnam, entre otros países asiáticos.

Cyclone 

Con detalles ofuscados de C&C, la red de bots Cyclone es conocida por llevar a cabo ataques DDoS como inundaciones HTTP y ataques SlowLoris. Esta red puede eliminar otros bots activos en el host de destino y extraer las credenciales del Protocolo de transferencia de archivos (FTP).

Evita convertirte en parte de una red de bots DDoS

Las repercusiones de los ataques DDoS son intensas y en ocasiones, irreversibles, por lo que saber cómo identificar un ataque DDoS es una parte esencial de la seguridad, así como también lo es proteger tus dispositivos para que no se conviertan en bots.

Aquí te presentamos algunas formas para aprender cómo evitar que una red de bots DDoS infecte y explote tus dispositivos con fines maliciosos.

Usa contraseñas seguras

Cambia tus contraseñas y credenciales predeterminadas en cualquier dispositivo recién comprado, mantén una rutina de renovación de contraseñas al menos cada tres meses. La creación de contraseñas seguras y su cambio regular evita los ataques de fuerza bruta, el cual es un método de piratería que se vale de tácticas de prueba y error para obtener acceso a tus cuentas en línea. 

Si un pirata informático intenta escanear direcciones IP en busca de un dispositivo que responda, intentará descifrar las contraseñas de todos aquellos que respondan su escaneo. Si tienes contraseñas débiles o predeterminadas en tu dispositivo, eres una víctima potencial mucho más fácil de piratear y explotar, con una contraseña fuerte, estos actores maliciosos se darán por vencidos y buscarán otros dispositivos más vulnerables.

Ejecuta código de terceros solo si son de confianza

Si tienes un modelo de teléfono inteligente con ejecución de software, solo funcionarán las aplicaciones permitidas y no se otorgará permiso a ningún software malicioso o que no sean de confianza. Lo mismo se aplica a las redes de bots, ya que los piratas informáticos sólo pueden explotar los dispositivos cuando el software de seguridad en estos ha sido comprometido.

Aunque esto hace que los dispositivos IoT sean más seguros, la mayoría de ellos carecen de este tipo de característica de seguridad.

Limpia y restaura tu sistema periódicamente

La restauración periódica ayuda a tus sistemas a eliminar aplicaciones basura, archivos y malware de redes de bots, lo cual funciona también con aplicaciones que funcionan en segundo plano y roban información para los pastores de bots.

Usa prácticas de filtrado

Comienza por filtrar los enrutadores de red y los cortafuegos si deseas aprender a detener un ataque DDoS de redes de bots, ten presente que la estratificación es la clave para tener una estructura de red segura.

No hay restricciones en torno a los recursos de acceso público, por lo que es necesario y esencial fortalecer tus protocolos de seguridad.

Mantén tu software actualizado

Programas de todo tipo, tales como tu navegador, Adobe Flash, Adobe Reader y Java son más propensos a convertirse en componentes para redes de bots, por lo que la actualización de todo este software de forma diligente te puede ayudar a bloquear hasta el 65 % de los ataques.

Por eso es que nunca debes ignorar las notificaciones de actualización, puedes encontrar múltiples herramientas gratuitas y pagas en línea que instalan automáticamente las actualizaciones de confianza requeridas por tus sistemas.

Usa programas Antivirus y Antispyware

Compra e instala programas antivirus y antispyware de proveedores reconocidos, no instales software antivirus gratuito, ya que es probable que contenga una carga de malware.

Si ya tienes estas soluciones en tus sistemas, recuerda mantenerlas actualizadas, parcheadas y activas en todo momento, ya que en ocasiones el malware de bots los desactiva para poder pasar desapercibidos.

Pensamientos finales

Una vez que sabes lo que es un ataque DDoS, resulta más interesante aprender cómo funcionan las redes de bots DDoS. Esta herramienta de ataques en línea es un grupo de dispositivos infectados con malware que asumen el rol de bots, siendo los más populares, programas como Mirai, Pushdo, MrBlack y Nitol/IMDDoS/Avzhan/ChinaZ.

Puedes evitar que tus dispositivos se conviertan en bots restableciendo regularmente las contraseñas y utilizando debidamente programas de antivirus, antispyware y firewall, recuerda mantenerlos actualizados regularmente para combatir las nuevas técnicas de explotación que continuamente surgen en línea.

¿Cuál es la diferencia entre SPF, DKIM y DMARC?

¿Cuál es la diferencia entre SPF, DKIM y DMARC?

SPF, DKIM y DMARC son los tres protocolos de autenticación de correo electrónico más...

Read More
Cómo detener los correos electrónicos no deseados y salvaguardar tu bandeja de entrada [Edición de correo electrónico corporativo]

Cómo detener los correos electrónicos no deseados y salvaguardar tu bandeja de entrada [Edición de correo electrónico corporativo]

Todo el mundo está de acuerdo en que el correo electrónico se ha convertido...

Read More
Siete ejemplos de ataques de Spear Phishing

Siete ejemplos de ataques de Spear Phishing

El año 2022 aún no ha terminado, pero ya se han reportado más de...

Read More