Presentan nueva división de investigación y operaciones sobre amenazas: Black Lotus Labs


CenturyLink revela datos sobre nuevas técnicas de ocultamiento de la Botnet Necurs

Más allá de su dedicación en ayudar a proteger la internet de actores maliciosos, CenturyLink, Inc. comparte nuevos datos a nivel global sobre la Botnet Necurs, descubierta por su nueva división de investigaciones y operaciones sobre amenazas, Black Lotus Labs.

Necurs es un malware de tipo troyano desarrollado para infectar a usuarios con computadoras con sistema operativo Windows, utilizado frecuentemente para el robo de información bancaria o la distribución de ransomware, que permite al cyberdelincuente controlar tu ordenador para cometer acciones criminales o maliciosas, incluso le permite bloquear el dispositivo desde una ubicación remota.

La misión de Black Lotus Labs consiste en aprovechar la visibilidad de la red de CenturyLink para ayudar a proteger a los usuarios y mantener la internet limpia. Entre las estrategias utilizadas por Black Lotus Labs para llevar a cabo esta acción, se encuentra el rastreo y la disrupción de botnets tales como Necurs, una botnet de distribución de spam y malware esparcida globalmente, que recientemente demostró una técnica de ocultamiento tanto para evitar la detección como para generar más bots inadvertidamente.

Necurs es la multiherramienta de las botnets que evolucionó de operar como una botnet de spams, que enviaba troyanos y ransomware bancarios, a desarrollar un servicio proxy, como así también capacidades de criptominería y de DDoS,” comentó Mike Benjamin, líder de Black Lotus Labs.

El principal método de infección de Necurs es a través de una descarga desde Internet, como por ejemplo, a través de enlaces a archivos en campañas de spam. Algunos malware también pueden descargar automáticamente los archivos infectados cuando se visita un sitio web comprometido.

Botnet es un término que hace referencia a un conjunto o red de robots informáticos o bots, que se ejecutan de manera autónoma y automática.​ El artífice de la botnet puede controlar todos los ordenadores infectados de forma remota.

“Resulta particularmente interesante la medida habitual de Necurs de ocultarse para evitar la detección, reemergiendo para enviar nuevos comandos a los hosts infectados y luego ocultarse nuevamente. Esta técnica es una de las muchas razones por las cuales Necurs ha podido expandirse a más de medio millón de bots en todo el mundo.”

Más Información

  • Desde mayo de 2018, Black Lotus Labs observó un tiempo de inactividad regular y sostenido de aproximadamente dos semanas, seguido de aproximadamente tres semanas de actividad para los tres grupos más activos de bots, entre los que se encuentra Necurs.
  • Las casi 570.000 bots de Necurs están distribuidas globalmente y alrededor de la mitad de ellas está ubicada en países como India, Indonesia, Vietnam, Turquía e Irán.
  • Necurs utiliza un algoritmo de generación de dominio, DGA por su sigla en inglés, para ocultar sus operaciones y evitar el derribamiento de las mismas. Sin embargo, el DGA es un arma de doble filo, porque los dominios de DGA que utilizará Necurs se conocen con antelación y los investigadores de seguridad pueden usar métodos tales como sumidero (sinkholing) de dominios DGA y analizar el tráfico de red y de DNS para enumerar las infraestructuras de bots, así como de comando y control (C2).