Logran desactivar Andromeda, una de las mayores familias de malware vinculadas a las botnets

Una operación internacional llevada a cabo en coordinación por Europol y otras fuerzas del orden ha terminado con la desactivación de una de las mayores familias de malware existentes: Andromeda.

Andromeda, también conocido como Win32/Gamarue, ha sido una de las herramientas utilizadas para crear una de las mayores botnets modulares basadas en HTTP, la cual llevaba varios años en activo e infectando computadoras para incrementar así el tamaño de la botnet. El objetivo principal de un bot de Andromeda era distribuir otras familias de malware para llevar a cabo un ataque masivo a nivel global.

La botnet estaba asociada con al menos 80 familias de malware, habiendo sido detectada o bloqueada su acceso a un millón de ordenadores mensuales de media en los últimos seis meses. Por otro lado, las agencias gubernamentales y fuerzas de la ley desactivaron el año pasado la botnet Avalanche en una operación similar, siendo Andromeda una de las familias de malware esparcidas por Avalanche.

Mientras se avanzaba en la investigación de la botnet Avalanche, las autoridades de Alemania obtuvieron una información que fue compartida con el FBI a través de Europol, la cual terminó siendo determinante para acabar con Andromeda la pasada semana. En la operación conjunta se tumbaron servidores y más de 1.500 dominios web que estaban siendo usados para distribuir y controlar Andromeda.

Tras hacerse con los dominios, la táctica de los investigadores que trabajaban para las fuerzas de la ley fue redirigir el tráfico desde las máquinas infectadas a sistemas autocontrolados. Las autoridades encontraron más de 2 millones de direcciones IP únicas en más de 200 países asociados a víctimas de Andromeda en tan solo 48 horas. Otra línea de investigación culminó con el arresto de un sospechoso en Bielorrusia presuntamente implicado en el grupo criminal tras Andromeda.

Las botnets se están convirtiendo en amenazas cada vez más peligrosas, habiendo sido usadas en tiempos pasados para lanzar potentes ataques DDoS contra las DNS de Dyn y el servicio de hosting web OVH.

Fuente: muyseguridad.net

Visitas: 15