Un día nuevo y como es costumbre siempre nos aguarda alguna sorpresa.. En esta ocasión, expertos en seguridad han descubierto una botnet de dimensiones incalculables con 500.000 bots activos en la actualidad. Ponmocup, que así es como se conoce, afecta a una gran cantidad de países y en los últimos nueve años ha infectado a más de 15 millones de equipos.
Aunque pueda parecer una desconocida para muchos,la verdad es que si mencionamos el nombre de Vundo o Virtumonde (sobre todo este último) muchos habrán oído hablar de ella o incluso sufrir la infección del malware que provoca que el equipo quede vinculado a esta. Tras casi nueve años pasando desapercibida en Internet, expertos en seguridad han dado con ella y han conseguido extraer algunos datos muy curiosos, como por ejemplo el pico de infecciones, alcanzado el mes de julio de 2011.
Mientras muchas compañías de seguridad han luchado durante años para bloquear los bots que llegaban a los equipos de los usuarios y empresas, los responsables de Ponmocup han conseguido mantener a flote la red y no solo eso, sino conseguir que el número de equipos que formaban parte de ella no dejase de crecer.
Hablando de cifras, la botnet ha dispuesto de más de 4.000 tipos diferentes de bots que afectaban únicamente a sistemas operativos Windows. Además, estos formaban parte de 25 plugins diferentes de los que se ayudaban los ciberdelincuentes para que configurar los equipos y conseguir que desempeñasen la tarea deseada.
Cuando llegaban a los equipos, estos inyectaban su código en procesos de Windows, de tal manera que conseguían ser persistentes, modificando incluso la información del registro del sistema operativo Windows, realizar comunicaciones cifradas con el servidor de control o cargar otros módulos.
Detrás de la botnet Ponmocup se encuentra un grupo de ciberdelincuentes rusos
Los expertos en seguridad encargados de realizar un dossier de 40 páginas sobre el funcionamiento de la botnet y cómo se llevaba a cabo la distribución de los bots, apuntan que los responsables de la misma era un grupo de delincuentes rusos que durante años han esquivado las persecuciones del gobierno de dicho país.
Estos eran capaz de monitorizar todas las actividades llevadas a cabo por el usuario en el equipo infectado, modificando la configuración de red para que todas las comunicaciones pasasen a través de un proxy, permitiendo analizar los datos de una forma mucho más sencilla.
Para todos aquellos que estén interesados en conocer más detalles pueden leer todo el dossier aquí.
Fuente | Softpedia