Google ha tomado medidas para interrumpir una botnet que aprovechaba la cadena de bloques de Bitcoin para propagar malware entre miles de dispositivos Windows. Así lo anunció el gigante tecnológico el martes en un informe.

La botnet, o botnet masiva llamada Glupteba, se ejecutaba automáticamente para infectar de forma remota las computadoras de miles de usuarios con software malicioso y se basaba en un mecanismo novedoso respaldado por Blockchain. Cabe señalar que el término 'botnet' se refiere a un grupo de robots informáticos (bots) que esencialmente forman un ejército de equipos infectados.

En su informe, Google indicó que la operación permitió a los piratas informáticos cometer delitos como el robo de información personal a la minería secreta de criptomonedas. La compañía ahora ha presentado una demanda contra dos personas con sede en Rusia, a quienes acusa de ser responsables de los ciberataques.

Después de una extensa investigación, determinamos que la botnet Glupteba actualmente involucra aproximadamente un millón de dispositivos Windows comprometidos en todo el mundo y, a veces, crece a un ritmo de miles de dispositivos nuevos por día.

"Sin embargo, es probable que los operadores de Glupteba intenten recuperar el control de la botnet utilizando un comando de reserva y un mecanismo de control que utiliza datos codificados en la cadena de bloques de Bitcoin", agregaron los expertos en ciberseguridad de Google al modo de advertencia.

Según el informe, los piratas informáticos propagan el malware a través de sitios de "descarga gratuita" de terceros que ofrecen videos y juegos pirateados. Los usuarios desprevenidos hicieron clic en el enlace de descarga para, sin saberlo, recibir un virus troyano que infectó sus computadoras.

En un caso, los atacantes incluso utilizaron un sitio de descarga de videos de YouTube falso para engañar a las víctimas para que instalen su código malicioso. Una vez en la computadora, el malware se esconde e intenta propagarse a cualquier dispositivo conectado. Los piratas informáticos pueden usar el malware para instalar cargas útiles maliciosas adicionales, que pueden robar credenciales de inicio de sesión y extraer criptomonedas en la máquina infectada. 

Según Google, los ataques se han dirigido principalmente a usuarios de Estados Unidos, India, Brasil y el sudeste asiático. Los expertos en ciberseguridad advirtieron además que "el poder de la botnet Glupteba podría aprovecharse para su uso en un poderoso ransomware o ataque distribuido de denegación de servicio (DDoS)".

La botnet Glupteba no es exactamente nueva. Esta operación maliciosa ha sido rastreada por expertos en seguridad informática y las fuerzas del orden durante años, según el Washington Post.

Google descubrió que Glupteba ha infectado alrededor de un millón de dispositivos Microsoft Windows en todo el mundo, lo que la ubicaría entre las redes de bots más grandes analizadas por expertos en seguridad. Además, también descubrió que los piratas informáticos utilizaban los propios servicios de Google para distribuir el malware. Google eliminó aproximadamente 63 millones de Google Docs, más de 1,000 cuentas de Google y más de 900 proyectos de Google Cloud que se estaban utilizando para difundir Glupteba, dijo la compañía.

Uno de los aspectos quizás más interesantes de la operación maliciosa es su uso sofisticado de la red Bitcoin, que se aprovechó como mecanismo de respaldo para proteger las líneas de comunicación entre los servidores de los piratas informáticos y el resto de la botnet.

"A diferencia de las botnets convencionales, la botnet Glupteba no se basa únicamente en dominios predeterminados (web) para garantizar su supervivencia", escribió Google en la demanda, citado por PC Magazine. La empresa agregó: 

En cambio, cuando el servidor C2 (comando y control) de la botnet se interrumpe, el malware Glupteba se codifica para 'buscar' en la cadena de bloques pública de Bitcoin transacciones que involucren tres direcciones de Bitcoin específicas que están controladas por Glupteba Enterprise. .

Como resultado, los piratas informáticos detrás de Glupteba pueden restaurar el control de su botnet escribiendo instrucciones cifradas en un servidor de respaldo en la cadena de bloques de Bitcoin. Esto hace que la botnet sea "particularmente difícil de interrumpir", dijo Google.

"Por lo tanto, la botnet Glupteba no se puede erradicar por completo sin neutralizar su infraestructura basada en Blockchain", agregó la compañía. 

El gigante tecnológico dijo que había colaborado con empresas de infraestructura de Internet para eliminar los servidores utilizados por los piratas informáticos para controlar la botnet. Con esto, la red de dispositivos infectados no puede recibir nuevos pedidos de sus controladores, al menos temporalmente.

Como parte de los esfuerzos para desmantelar la botnet, Google presentó una demanda en el Distrito Sur de Nueva York contra los ciudadanos rusos Dmitry Starovikov y Alexander Filippov, a quienes acusa de operar la red maliciosa.

Los dos están siendo demandados por fraude y abuso informático, infracción de marca registrada, violaciones bajo la Ley de Organizaciones Corruptas e Influenciadas por Racketeer (RICO), interferencia ilícita en las relaciones comerciales, enriquecimiento injusto y otras acusaciones, según Threat Post.

"Nuestro litigio fue presentado contra los operadores de la botnet, que creemos tienen su sede en Rusia", escribieron los expertos en seguridad de Google, según lo citado por ese medio. “También presentamos una orden de restricción temporal para reforzar nuestro esfuerzo técnico de detención. Si tiene éxito, esta acción creará una responsabilidad legal real para los operadores. "

Google dijo que espera que la demanda "sentará un precedente, creará responsabilidad y riesgos legales para los operadores de botnets y ayudará a disuadir la actividad futura".

Artículo de Hannah Estefanía Pérez / DiarioBitcoin