Las botnets que afectan a las empresas están dentro de videojuegos

Por Gunter Ollmann

Las botnets dirigidas a empresas tienden a ser de una raza especial. Al hacer uso de la funcionalidad específica de las empresas (por ejemplo, aprovechar el proxy y explotar vulnerabilidades dentro de la red que podrían ser bloqueadas por firewalls perimetrales), sus objetivos tienden a ser más "refinados" y claramente de índole criminal.

Eso no quiere decir que el promedio del gran volumen de redes botnet en Internet no llegan a encontrarse depositados dentro de una red empresarial.  Botnets públicamente conocidos como Taterf son encontrados cada vez con más frecuencia dentro de las redes de las empresas, a pesar de que estas no son sus albos de caza, y es probable que no sean rentable para el operador de botnet (hablé al respecto de este tema con Byron Acohido de USA Today  en el articulo "Los usuarios de PC abren las puertas a los gusanos como Conficker, Taterf").

Como verán Taterf es mucho mas una red centrada en el robo de credenciales de juegos en línea (como las usadas en el registro de World of Warcraft, EverQuest y Aion),  las cuales pueden ser utilizadas directamente por los amos de la botnet para su uso dentro del juego (por ejemplo, el robo de "oro" de los personajes virtuales secuestrados, o la venta de los activos virtuales de los personajes [por ejemplo, espadas mágicas]).

A menos que la red de la empresa en cuestión pase a pertenecer a una compañía de desarrolladora de juegos, es poco probable que haya mucho más que robar y lucrar con ella. No sólo eso, mis vectores de infección (por ejemplo, troyanos generadores de claves y generadores de dinero para los juegos en línea) ya se encuentran bloqueados por las defensas de las empresas, en las estrategias de profundidad. Sin embargo, todavía pude entrar.

Esto se debe principalmente, a lo que mejor puede describirse como botnet "Bleed-over", generada por los hábitos personales de los empleados,  por ejemplo,  las personas que trabajan a distancia usan los equipos  portátiles de trabajo para los juegos en línea o se conectan a redes domésticas contaminadas ,abriendo camino para que los gusanos infecten el equipo.

Una vez dentro de la portátil de trabajo suelen depositarse en la red de la empresa a través de la conexión VPN (usando recursos compartidos de archivos, etc.) o a través de medios para transportar datos (por ejemplo, dispositivos USB). Desde ahí infectan los archivos y otros equipos adicionales, cazando las credenciales de los juegos en línea, pero obteniendo muy poco aparte de dejar rastros de sus actividades.  O al menos eso se podría pensar ...

Pero los amos de las botnet son muy ingeniosos. Aunque probablemente no haya nada de valor en el contexto de los juego en línea, es muy fácil para el amo de una botnet ver (a través de su consola de gestión) los tipos de huéspedes comprometidos y dónde se localizan, e incluso que entidades empresariales son sus propietarias. Armado con esta información, el operador de la botnet puede vender o intercambiar estos huéspedes comprometidos a otro amo de una botnet diferente que le encuentre un mejor provecho. Por ejemplo, en ocasiones he encontrado a los amos de botnets discutiendo sobre el "valor" de los huéspedes de una botnet que ya no quieren en varios foros de hacking, algo como  5 robots Taterf “inútiles” por 1 nueva cuenta  secuestra de juego en línea.

Con esto en mente, las empresas deben tener cuidado en cómo van a responder a los huéspedes comprometidos con el malware de las redes botnets para juegos en línea. Estos huéspedes  pueden verse comprometidos por una determinada pieza de malware inicialmente, pero pueden (y serán) negociados y actualizados con nuevos agentes botnets que sean más útiles para el amo de una botnet , realizando esta acción de forma remota en cualquier momento. Al final del día, la red de la empresa se ha violado, independientemente de la intención de los atacantes.

* Gunter Ollmann es vicepresidente de investigación en Damballa.