ISP estonio corta servidores de control para Srizbi Botnet

Un ISP estonio que alojó temporalmente los servidores de comando y control para la botnet Srizbi, responsable de una gran parte del spam mundial, cortó esos servidores, según los analistas de seguridad informática..

Starline Web Services, con sede en Tallin, capital de Estonia, había hospedado cuatro nombres de dominio identificados como los puntos de control de Srizbi, según investigadores de la empresa de seguridad informática FireEye.

Cientos de miles de PC en todo el mundo infectadas con Srizbi, un rootkit difícil de eliminar que se utiliza para enviar correo no deseado, se programaron para buscar nuevas instrucciones de los servidores en esos dominios.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Srizbi es consi creó una de las botnets más potentes, con al menos 450,000 PC infectadas. Se estima que la mitad del spam mundial se originó en computadoras infectadas con Srizbi. El spam sigue siendo un negocio rentable para los ciberdelincuentes.

Pero los spammers perdieron el control de Srizbi cuando el ISP que anteriormente alojaba sus servidores de comando y control fue desconectado de Internet. McColo, cuyos servidores tienen su sede en San José, California, fue interceptado por sus proveedores previos a principios de este mes luego de ser expuesto por expertos en seguridad informática y el Washington Post. Eso dejó a los spammers incapaces de controlar las computadoras infectadas por Srizbi. Pero el código de Srizbi contenía un mecanismo alternativo en el que los spammers podían reconectarse con las máquinas varadas si ocurría tal situación.

Un algoritmo dentro de Srizbi generaría periódicamente nuevos nombres de dominio donde el malware buscaría nuevas instrucciones si esos dominios estuvieran en vivo en Internet. Armados con el mismo algoritmo, los spammers solo tenían que registrar los nombres de dominio apropiados y apuntarlos a sus servidores.

Los spammers, sin embargo, necesitaban un nuevo ISP para alojar esos servidores, al menos por un tiempo. Encontraron a Starline Web Services, un ISP muy pequeño, pero ese proveedor también les cortó.

"Me satisfizo que esos sitios se cerraran", dijo Hillar Aarelaid, jefe de seguridad del Equipo de Respuesta a Emergencias Informáticas de Estonia (CERT), el jueves.

Los intentos de contactar a Starline Web Services no tuvieron éxito. Pero Aarelaid dijo que CERT ha estado en contacto con la compañía y que parece responder a las quejas sobre abusos.

Starline Web Services compra su conectividad a Compic, otra compañía estonia. El CERT de Estonia ha señalado que Compic tiene sitios web que alojan software malicioso, dijo Tarmo Randel, un experto en seguridad de la información de la organización.

Randel dijo que CERT ha notificado constantemente a Compic sobre el malware que han alojado. Compic tomará medidas para eliminar los sitios dependiendo de "cuán fuerte gritemos", dijo Randel. Por lo general, Compic reacciona rápidamente cuando CERT envía un correo electrónico de reclamo y copia a la Policía Criminal estonia, dijo Randel.

El jueves, el proveedor de upstream de Compic, Linxtelecom, envió un correo electrónico a la comunidad ISP de Estonia que decía que estaban planeaba cortar el Compic, dijo Randal.

Linxtelecom vende servicios de tránsito IP que conectan a los ISP locales y operadores de telecomunicaciones con grandes proveedores de datos. Linxtelecom dijo en el correo electrónico que el 99 por ciento de las quejas que recibe por abuso están relacionadas con Compic, dijo Randel.

Un funcionario de Linxtelecom dijo que no sabía del correo electrónico. Compic responde a las quejas dentro de dos días, pero Linxtelecom en el pasado cortó la conectividad a los sitios web alojados por Compic después de las quejas, dijo el funcionario.

Los expertos en seguridad informática dicen que hay un puñado de ISP y registradores de nombres de dominio que Trabajar estrechamente con ciberdelincuentes para respaldar operaciones de correo no deseado, sitios web que venden software falso y otras estafas.

Las operaciones son difíciles de detener debido a su naturaleza internacional, la velocidad con que los ciberdelincuentes reaccionan a los cierres y la falta de recursos o interés policial.

El cierre de McColo se produjo después de que se publicara una investigación que mostraba el grado de implicación de la empresa en el mundo clandestino.

De manera similar, otro proveedor de Internet mal conocido, conocido como Atrivo o Intercage, fue interceptado por sus proveedores iniciales en septiembre como resultado de la creciente presión de la comunidad de seguridad informática.

casos recientes de McColo y Atrivo / Intercage sacados de Internet, será más fácil en el futuro ejercer más presión sobre otros proveedores de programas maliciosos conocidos para que tomen medidas o se desconecten ", dijo Toralv Dirro, estratega de seguridad de Avert Labs de McAfee, sobre Jueves.