Microsoft oscurece 4 millones de sitios en la lucha contra el malware – Krebs on Security

Millones de sitios web fueron cerrados el lunes por la mañana después de microsoft ejecutó un ataque furtivo legal contra una red de malware que se cree que es responsable de más de 7,4 millones de infecciones de PC con Windows en todo el mundo.

Un diagrama que muestra cómo los delincuentes abusaron de los servicios de no-ip.com para controlar las redes de malware.  Fuente: Microsoft.

Un diagrama que muestra cómo los delincuentes abusaron de los servicios de no-ip.com para controlar las redes de malware. Fuente: Microsoft.

En su último intento por aprovechar el poder del sistema legal de los EE. UU. para combatir el software malicioso y los ciberdelincuentes, Microsoft convenció a un tribunal de Nevada para que otorgara al gigante del software autoridad sobre casi dos docenas de dominios pertenecientes a no-ip.comuna empresa que brinda servicios de nombres de dominio dinámicos.

Los servicios de DNS dinámico se utilizan para asignar nombres de dominio a direcciones de Internet numéricas que pueden cambiar con frecuencia. Por lo general, los mayores usuarios de los servicios de DNS dinámico son los usuarios domésticos de Internet que desean tener un nombre de dominio que siempre apunte a la computadora de su hogar, sin importar cuántas veces su ISP cambie la dirección numérica de Internet asignada a esa computadora.

En este caso, sin embargo, los atacantes responsables de aprovechar dos familias de malware, los troyanos de acceso remoto conocidos como “njrat» y «njw0rm” — estaban usando no-ip.comLos servicios de para garantizar que las PC que infectaron siempre podrían llegar a los servidores de Internet.

Microsoft le dijo al tribunal que los delincuentes que usaban estas dos variedades de malware estaban aprovechando más de 18,400 nombres de host que pertenecían a no-ip.com. El 26 de junio, el tribunal otorgó a Microsoft la autoridad para tomar temporalmente el control de 23 dominios propiedad de no-ip.com, esencialmente todos los dominios que alimentan los servicios DNS dinámicos gratuitos de no-ip.com.

Se suponía que Microsoft filtraría el tráfico que fluye hacia y desde esos más de 18,400 nombres de host, y permitiría que el tráfico restante e inofensivo fluya hacia su destino legítimo. Pero según el director de marketing de no-ip.com Natalie Gogueneso no es en absoluto lo que pasó.

“Hicieron comentarios de que solo habían eliminado nombres de host malos y supuestamente estaban redirigiendo todo el tráfico bueno a los usuarios, pero eso no está sucediendo y no pueden manejar nuestros volúmenes de tráfico”, dijo Goguen. “Muchos usuarios legítimos que utilizan nuestros servicios han estado inactivos todo el día”.

Goguen dijo que mientras Microsoft afirmaba que había más de 18,000 nombres de host maliciosos involucrados, no-ip.com solo pudo encontrar un poco más de 2,000 de esa lista que todavía estaban activos el lunes por la mañana. Mientras tanto, unos cuatro millones de nombres de host permanecen fuera de línea, y las solicitudes de atención al cliente se acumulan.

“Entonces, para ir tras 2,000 o más sitios malos, [Microsoft] ha eliminado cuatro millones”, dijo Goguen.

Microsoft le dijo a la corte de Nevada que, a pesar de los numerosos informes publicados por empresas de seguridad de Internet durante el año pasado sobre grandes volúmenes de actividad maliciosa que emanaba del servicio de no-ip.com, la compañía «falló consistentemente en tomar las medidas necesarias para corregir, remediar o prevenir el abuso y mantener sus dominios libres de actividad maliciosa”.

Pero según Goguen, la primera vez que Microsoft expresó sus preocupaciones a no-ip.com fue a las 7 a. m. del 30 de junio, cuando el director ejecutivo de la compañía recibió un golpe en la puerta de la casa de su familia y recibió una copia de la orden judicial. otorgando autoridad a Microsoft sobre los 23 dominios no-ip.com.

“Trabajamos con la policía todo el tiempo y nuestro departamento de abuso responde a las solicitudes de abuso dentro de las 24 horas”, dijo Goguen. “Es bastante triste que Microsoft haya tenido que tomar medidas tan extremas para hacer esto”.

Goguen no es el único que cree que Microsoft aplastó una mosca con el equivalente a una bomba atómica. Algunos de los ataques furtivos legales anteriores de Microsoft se dirigieron a proveedores de alojamiento «a prueba de balas», aquellos que prometen mantener en línea a los clientes incompletos (y que pagan mucho) a pesar de la presión de las empresas de seguridad y las fuerzas del orden. Pero según Dmitri Alperovitchco-fundador de la firma de seguridad multitudhuelgatratar a no-ip.com como uno de estos proveedores dudosos es un error.

“Siempre han sido muy receptivos con los investigadores de seguridad y las fuerzas del orden”, dijo Alperovitch sobre no-ip.com. “No los considero un anfitrión a prueba de balas o de abusos”.

Mientras tanto, Goguen dijo que no-ip.com está considerando sus opciones legales para responder a la interrupción y a las acusaciones de Microsoft de que la compañía de alguna manera hace la vista gorda ante las quejas de abuso.

“Estamos hablando con nuestros abogados sobre esto, pero en este momento estamos haciendo todo lo posible para solucionarlo y necesitamos que nuestros usuarios lo entiendan”.

Junto con la acción contra no-ip.com, Microsoft también nombró y acusó a dos hombres, desarrolladores de software que se cree que residen en Kuwait y Argelia, de crear y vender njrat y njw0rm.

La denuncia contra no-ip, los autores de malware acusados ​​y el resto de las diversas presentaciones legales de Microsoft en este caso están disponibles en este enlace.

Capacidades del "njrar" malware, como se describe en la presentación judicial de Microsoft.

Capacidades del malware «njrat», como se describe en la presentación judicial de Microsoft.

¿Que te ha parecido?

Deja un comentario