Una botnet es un grupo de computadoras comprometidas que se utilizan para lanzar ataques coordinados desde un centro de comando y control. Las computadoras comprometidas pueden ser secuestradas a través de vulnerabilidades en clientes de correo electrónico, navegadores web, aplicaciones maliciosas, archivos de sonido o audio comprometidos, o documentos que explotan las aplicaciones de productividad de la oficina. Cualquier documento o aplicación descargada de Internet puede abrir un vector de ataque potencial en un software común y ampliamente implementado.
Los delincuentes que ejecutan botnets suelen ser poco sofisticados, utilizan exploits conocidos para secuestrar computadoras aleatorias. Ensamblan exploits (para comprometer la computadora de cada víctima), software de puerta trasera (para mantener el control de la computadora de cada víctima y lanzar ataques) y centros de comando + control (algún tipo de servidor (s) en Internet) utilizando software fácilmente disponible. Este software no está exento de defectos propios: https://www.blackhat.com/docs/us…
Los operadores de botnets obtienen servicios de proveedores de servicios que pueden atender a clientes que prefieren el anonimato, tomando el pago en bitcoin u otra moneda anónima. Estos recursos pueden reunirse en sitios web del mercado negro (que operan a través de los servicios ocultos de Tor) o mediante una colección de software disponible al público. El comando y el control se proporcionan a través de servidores comprometidos, o incluso proveedores de servicios que alojan en países fuera del alcance de las agencias policiales occidentales (Rusia, China).
- ¿Dejas una puerta trasera en tu código?
- ¿Cuál es el impacto económico del ataque DDoS contra Dyn?
- ¿Es cierto que los datos de los usuarios de Jio están pirateados y se filtran datos personales? Si se filtra un número adhaar, ¿qué sucede?
- Cómo recibir de forma segura un análisis gratuito de virus y malware en línea
- Cuando intento ver una página segura, el navegador se queja de que el certificado del sitio no coincide con el servidor y me pregunta si deseo continuar. ¿Debería?
Las botnets requieren una sofisticación técnica mínima. Son operaciones criminales que explotan las debilidades en el diseño de Internet y en el software que opera en dispositivos conectados a Internet. Las botnets se usan clásicamente para lanzar ataques de denegación de servicio distribuida (DDoS), donde miles, cientos de miles o quizás millones de computadoras se coordinan a través de una cadena de servidores de comando y control para dirigir el tráfico a una víctima en particular.
Los primeros ataques DDoS (1990-2000) generalmente fueron llevados a cabo por piratas informáticos adolescentes y adultos jóvenes que querían demostrar su destreza en conversaciones de chat en línea o en otras disputas. DDoS ahora es utilizado típicamente por empresas criminales como parte de esquemas de extorsión. Los sitios web de juegos / apuestas en línea son objetivos frecuentes de extorsión. Como resultado, los proveedores de servicios de Internet llenan el vacío al proporcionar servicios de red sofisticados para absorber los ataques DDoS antes de que lleguen a la víctima deseada. Los operadores de sitios web prefieren pagar por estos servicios troncales de alta gama, en lugar de enviar su dinero a esquemas de extorsión criminal. Esto provoca una escalada en el tamaño y la duración de los ataques.
Los ataques DDoS más grandes hasta la fecha superan los 400 Gbps en rendimiento agregado, y ni siquiera requieren una botnet. Usan debilidades muy simples, conocidas (y olvidadas) en protocolos como NTP y DNS. Ver: El ataque DDoS más grande del mundo alcanzó los 400 Gbps, dice Arbor Networks. Arbor Networks tiene una gran cantidad de información sobre ataques DDoS: Arbor Networks. A principios de 2016, solo los grandes proveedores de backbone pueden mitigar los ataques por encima del rango de 200 Gbps. Incluso puede ahogar secciones enteras de su columna vertebral durante los períodos más pesados de ataque. Las redes más grandes de la actualidad utilizan múltiples enlaces de 100 Gbps entre enrutadores.
Empresas como Arbor Networks recopilan datos sobre ataques DDoS y compilan listas de bots de ataque que usan en sus propios productos para proteger a los clientes del tráfico de bots. Los bots pueden ejecutar cualquier variación de software que un atacante quiera usar aparte de DDoS. Se pueden usar para enviar spam (Spambot), recopilar información de la computadora comprometida de la víctima (a menudo información bancaria o de tarjeta de crédito), o incluso lanzar ataques directos contra la víctima del bot individual (comúnmente Ransomware como CryptoLocker). Los servicios de listas de spam como SpamCop proporcionan listas de spambots comprometidos.
