1

Desmantelan botnet venezolana que robó información en la región

Latinoamérica no es solo una región que recibe amenazas cibernéticas desde otros lugares del mundo, por el contrario, hemos sido testigos del incremento de ataques y amenazas desarrolladas en la región. En un trabajo conjunto, el Laboratorio de ESET Latinoamérica e Hispasec, desmantelan una botnet dedicada al robo de información que afectaba en 98% de los casos a usuarios latinoamericanos.

CIO América Latina/Mario A. Beroes R.

La información conocida como “Operación Liberpy”,abarca un período de más de 8 meses de actividades de una botnet en Latinoamérica, sus acciones, campañas de propagación, técnicas de persistencia y los pasos que se han llevado a cabo para desmantelar una familia de códigos maliciosos que robaba credenciales, cuentas y otra información directamente desde las máquinas de los usuarios.

Diego Pérez y Pablo Ramos, los autores de dicho informe en ESET Latinoamérica, realizaron un Sinkhole de la botnet, lo que les permitió en primera instancia, dimensionar parte de su tamaño y además, coordinar el cese de las operaciones de estos cibercriminales en la región. Desde el envío de falsos correos con un software para seguir envíos de un courier conocido, hasta la infección de sistemas a través de dispositivos USB, le permitieron a estos cibercriminales, controlar más de 2.000 equipos en toda la región.

El descubrimiento en Venezuela

A mediados de Abril de 2015, en el Laboratorio de ESET Latinoamérica recibe un reporte de un ejecutable con el nombre “Liberty2- 0.exe“, detectado como Python/Liberpy.A. Se trataba de un Keylogger, una amenaza que una vez que vulnera la seguridad de un sistema, envía un reporte de todos los eventos de teclado que el usuario presiona como así también los movimientos del mouse a un servidor controlado por los atacantes.

El análisis preliminar de la amenaza, arrojó fuertes indicadores de que fue desarrollada en la región. En base a la información de ESET Live Grid, el 98% de las detecciones de estas amenazas eran en Venezuela, y en base a las palabras y lenguaje que encontramos en los comentarios de la amenaza, confirmaban que este malware tenía como objetivo principal a usuarios de este país. Dicho Liberpy era una operación dirigida a usuarios de un país de Latinoamérica con el fin de robar información de los usuarios.

La gente de ESET se puso en contacto con un equipo de seguridad de Venezuela, quienes ayudaron a coordinar y planificar la acciones a seguir junto con Hispasec, para el reporte y baja de las URLs en cuestión. Esta botnet utilizó dos dominios falsos para la descarga de las amenazas, dos dominios para el envío de comandos de actualización a los bots, y dos dominios hacia donde las máquinas afectadas subían la información. En otras palabras, cada versión de estos keyloggers, utilizaba una URL para propagarse, otra para recibir los comandos y una para subir la información que registraba en los equipos afectados.

Dicha botnet desarrollada en Python, que se comunica utilizando el protocolo HTTP, a través del puerto 80, suele estar habilitado en las empresas y permite así que un equipo infectado se comunique con el panel de control, y saltee diferentes mecanimos de control.

Por otro lado, este mismo mecanismo de control de la Botnet, utilizando una dirección fija y un protocolo sin cifrado, les permitió a los expertos de ESET Latinoamérica reducir los tiempos de análisis de su funcionamiento y definir los lineamientos para realizar el Sinkhole, con el objetivo que mencionamos anteriormente: desmantelar la botnet.

Liberpy fue una Botnet que estuvo activa por más de 8 meses en la región, orientada a robar información de usuarios de Latinoamérica, y en particular de Venezuela. Recopilaba datos privados como usuarios, contraseñas, accesos a home banking y tarjetas de crédito de los más de 2000 equipos infectados.

A través de la colaboración entre diferentes organismos de seguridad y empresas, ESET Latinoamérica desmanteló esta red mediante el análisis y la comprensión de su funcionamiento. Este tipo de acciones, permitió a la empresa de seguridad desarticular a los cibercriminales en la región, alertar a los usaurios afectados y comprender cuáles son las acciones que toman para luego ayudar a empresas y usuarios a protegerse.

 

Mario Augusto Beroes Ríos

Periodista graduado en la UCV en la mención Audiovisual.