El pasado 13 de octubre, la policía estadounidense y británica tomaron medidas contra el famoso botnet DRIDEX con el objetivo de detener las actividades de la amenaza de banca en línea. El fiscal federal David J. Hickton del Distrito Oeste de Pennsylvania llamo la operación una “interrupción técnica y de golpe a una de las amenazas de malware más perniciosos en el mundo.”
La Agencia Nacional de la Delincuencia, por su parte, llamo la operación “parte de una campaña sostenida y continua dirigida a múltiples versiones de Dridex y a los cibercriminales detrás de él, que operan en partes del mundo difíciles de alcanzar.”
Si bien estas acciones han afectado a DRIDEX, el malware está lejos de estar muerto. Tras el derribo de DRIDEX, se estima que el número de usuarios afectados se ha reducido en un 24%. Esto se basa en el número de infecciones de DRIDEX vistas en el mundo real en períodos de dos semanas, tanto antes como inmediatamente después de que se derribó.
Mirando más de cerca estos datos, observamos que la distribución de las víctimas ha cambiado ligeramente. En particular, el porcentaje de víctimas estadounidenses cayó significativamente, pasando de casi el 30% de las víctimas en el período justo antes del derribo a menos del 14% inmediatamente después.
Sin embargo, aunque DRIDEX se vio herido por esta operación, no todos sus servidores se dieron de baja. Servidores fuera del alcance o el conocimiento de las agencias de la ley anterior continuaron funcionando. Además, sólo un miembro de la banda de DRIDEX fue detenido – un administrador del sistema llamado Andrey Ghinkul. Otros miembros siguen en libertad y han continuado sus actividades. Ya hemos visto las nuevas variantes implementadas sin grandes cambios (además de los cambios para los nuevos servidores C&C).
DRIDEX utiliza un modelo de servicio que lo pudo haber ayudado a sobrevivir a esta operación en particular. Está diseñado como botnet como servicio (BaaS) – en efecto, se compone de múltiples botnets donde cada uno tiene diferentes archivos de configuración. Además, intenta ocultar su rastro – utiliza una arquitectura peer-to-peer (como Gameover ZeuS) para ocultar sus servidores C&C, así como múltiples rutinas en el endpoint para ocultar su actividad. En conjunto, esto hace a DRIDEX muy resistente a la interrupción.
Acciones como éstas son eficaces para interrumpir las actividades de las operaciones de cibercrimen en el corto plazo, pero el éxito en el largo plazo no siempre está asegurado. Tienen el efecto de eliminar las amenazas menos eficaces permitiendo que los cibercriminales aprendan de sus errores. Se necesitan arrestos para detener realmente la actividad del cibercrimen.
DRIDEX se vio herido pero sigue siendo una amenaza. Seguiremos vigilando su actividad con el fin de proteger a nuestros usuarios y proporcionando la información que recolectamos para las agencias policiales.
Análisis adicionales de Anthony Joe Melgarejo y Michael Marcos
Leave a Reply