Botnet
Las botnets son redes de computadoras que han sido secuestradas por malware y utilizadas para llevar a cabo ciberataques. La mayoría de las veces, los dispositivos que forman parte de la botnet o “bots”, no son el objetivo del ataque y solo pueden experimentar velocidades de procesamiento más lentas cuando el software del bot utiliza recursos.
Pero si su red o aplicaciones son el objetivo de una botnet, los bots de una botnet apuntarán toda su potencia de procesamiento hacia ese objetivo, creando mucho más daño del que una computadora puede infligir.
Las botnets, una versión abreviada de las “redes de robots”, pueden dar a un atacante una enorme cantidad de potencia de procesamiento que puede dirigir a cualquier objetivo que elija, generalmente por razones maliciosas. La amenaza de las botnets es uno de los problemas más graves que enfrentan las empresas en la actualidad.
¿Cómo se crean las botnets?
Para que una computadora se convierta en un bot en una red de bots, necesita tener instalado el software bot. Obviamente, nadie instalaría a sabiendas este software en su computadora, por lo que los atacantes recurren a la ingeniería social, esquemas de phishing y otras técnicas para engañar a las personas para que instalen el software.
Una técnica común es el uso de un esquema de phishing. Esto implica enviar a alguien un correo electrónico con un archivo adjunto que se instala en el sistema del usuario. Una vez que se instala el archivo adjunto, infecta el sistema.
A veces, el software bot se hace pasar por software legítimo e incluso puede funcionar, pero en segundo plano, es solo otro bot en una botnet.
Tipos de botnets
Los bots de una botnet necesitan recibir comandos para ejecutar acciones maliciosas. El origen de estos comandos es el servidor de comando y control o el servidor de C&C. Desde este servidor, el bot wrangler envía comandos a los bots de la red. Hay dos tipos principales de arquitecturas para una botnet.
Botnets Centralizados
Las botnets centralizadas utilizan un servidor para enviar comandos a todos los bots de la botnet. Este es un modelo más antiguo para botnets y ya no se usa con tanta frecuencia porque tiene un único punto de falla.
Las botnets IRC son uno de los primeros tipos de botnets centralizados. El bot herder envía comandos a través de un canal IRC y los bots de la red se conectan al canal y esperan los comandos.
Las botnets HTTP utilizan un servidor HTTP para enviar comandos. Los bots de estas botnets se conectan periódicamente al servidor para verificar si hay comandos. Estos bots pueden enmascarar su actividad como tráfico regular de Internet.
Botnets Descentralizados
Las botnets descentralizadas utilizan un modelo peer-to-peer. Todavía hay un solo servidor de comando y control en este tipo de botnet, pero el servidor solo tiene que conectarse a un bot en la botnet para enviar un comando a todos ellos. Cada bot actúa como cliente y servidor y propagará cualquier comando enviado por el servidor de comandos a cada dispositivo de la botnet.
¿Para qué se utilizan las botnets?
Se necesita tiempo para construir una botnet, pero puede tener mucha potencia de procesamiento. Los pastores de bots utilizan esta potencia de procesamiento y el anonimato que una red de bots les brinda para actos maliciosos que no podrían lograrse desde un solo dispositivo. A veces venden o alquilan su red a otras personas en el mercado negro que no tienen las habilidades técnicas para construir la suya propia.
Ataques DDoS
Denegación de servicio distribuida o DDoS, los ataques son uno de los usos más comunes de una botnet. Los ataques DDoS aprovechan la gran escala de una botnet para sobrecargar una red o servidor con una avalancha de solicitudes. Esto puede bloquear los servidores y bloquear el tráfico legítimo. Los ataques DDoS suelen estar motivados por razones personales, políticas y económicas cuando van acompañados de un rescate.
Correo no deseado
Es difícil ser un spammer de correo electrónico en estos días. Pero es más fácil si tienes cientos o miles de direcciones IP que proporciona una botnet para enviar correos electrónicos. Hay muchas menos posibilidades de ser incluido en la lista negra enviando spam.
Las infracciones financieras
Las botnets también han robado fondos y datos de tarjetas de crédito. Al infectar una red de computadoras con software para robar información, un pastor de bots puede cosechar los detalles financieros de miles de personas desprevenidas en minutos.
Minería de Criptomonedas
El proceso de “minería” que genera criptomonedas como Bitcoin requiere mucha potencia de procesamiento. A veces cuesta más en electricidad minar que el valor de la criptomoneda resultante. Un pastor de bots puede usar una botnet para extraer criptomonedas de forma gratuita.
Cómo proteger las redes y los dispositivos de las botnets
Hay dos lados para proteger un sistema o red de botnets. Por un lado, desea evitar que los dispositivos de su red se conviertan en bots en una botnet. Por otro lado, tampoco quieres ser un objetivo de una botnet. A continuación, se presentan algunas maneras de proteger sus sistemas:
- El software antivirus y antimalware debe ser un requisito de los dispositivos que se conectan a su red. Lo más probable es que el software antivirus actualizado pueda detectar y eliminar una amenaza de un dispositivo infectado antes de que pueda infectar otros dispositivos en la red.
- Los servidores y sistemas operativos deben mantenerse actualizados. Una forma común en que un atacante puede tomar el control de un dispositivo es mediante la explotación de fallas conocidas en los sistemas operativos. Si se parchean regularmente los sistemas, se eliminarán estos agujeros de seguridad.
- Educar a los usuarios para que sepan que no deben descargar archivos de sitios no confiables ni hacer clic en enlaces en correos electrónicos que no esperan. Los esquemas de phishing son uno de los vectores de ataque más comunes para las botnets.
- Utilice un firewall. Un firewall puede ayudar a prevenir infecciones de botnet y ataques DDoS si está configurado correctamente. Un firewall puede bloquear la navegación de sitios maliciosos y detectar cuándo los picos de tráfico se ajustan a un escenario de ataque de botnet y bloquean las llamadas de red.
- La microsegmentación puede ser una forma muy efectiva de prevenir infecciones de botnet y ataques de botnet. La microsegmentación puede segregar cada parte de su red hasta el nivel de carga de trabajo, evitando el movimiento lateral de malware y el movimiento de tráfico no autorizado.
- La protección DDoS basada en la nube aplicada en el borde de la red puede prevenir ataques incluso antes de que tengan la oportunidad de afectar su red.
Conclusión
Las botnets son una de las amenazas más graves que enfrentan las empresas en la actualidad. Una botnet es una red de computadoras infectadas con malware que pueden ser controladas desde una ubicación central por un pastor de bots y dirigidas a un objetivo específico por razones maliciosas. El poder de procesamiento y el anonimato de las botnets las hacen peligrosas.
Puede proteger sus redes y dispositivos de botnets con software antivirus, actualizaciones periódicas, educación sobre seguridad, firewalls, microsegmentación y protección DDoS basada en la nube.
Más información
Descubra cómo el Plataforma de Segmentación Illumio Zero Trust impide que el malware se propague.