ISP desconectado de internet después de problemas de seguridad

Un proveedor estadounidense de servicios de Internet sospechoso de ayudar a los ciberdelincuentes en estafas en línea y alojar pornografía infantil fue interceptado al menos parcialmente de Internet el martes por la noche.

El proveedor de servicios de Internet (PSI), McColo, había estado bajo el ojo vigilante de los analistas de seguridad informática durante años. Es uno de los pocos proveedores de hosting llamados "a prueba de balas" que proporcionan refugio seguro en línea para cibercriminales que venden Viagra y software de seguridad falso.

Los ISP se pueden conectar entre sí para intercambiar tráfico de Internet, una práctica conocida como "peering". " Hurricane Electric, un ISP que transportaba una porción del tráfico de McColo, se desconectó con McColo el martes por la noche. Global Crossing, un proveedor de servicios de red IP (Protocolo de Internet) también conectado a McColo no hizo ningún comentario.

[Lectura adicional: Cómo eliminar el malware de su PC con Windows]

"Todo lo que puedo decir es que nos comunicamos y cumplimos completamente con autoridades legales, pero no hacemos comentarios sobre clientes individuales e incidentes individuales ", dijo Richard Larris, gerente sénior de relaciones con los medios en Global Crossing.

El cierre coincide con un nuevo informe redactado por varios investigadores de seguridad informática que detallan cómo McColo y otros proveedores de servicios cuestionables están relacionados con el spam y el cibercrimen.

El cierre de McColo "demuestra que cuando se presentan pruebas apropiadas de actividades delictivas, la comunidad de Internet puede generar las fuerzas positivas necesarias para purgarlo", escribieron los analistas.

McColo, cuyos servidores estaban ubicados dentro de los EE. UU., En un momento hospedaron hasta 40 sitios web con pornografía infantil, según el informe.

McColo también jugó un papel importante en la distribución de spam. dijo Richard Cox, CIO de Spamhaus, que rastrea las operaciones de spam. Hospedaba sitios web que podían infectar las computadoras de las personas con software malicioso utilizado para enviar spam.

Las computadoras pirateadas se vuelven parte de una botnet o redes de PC que pueden usarse para enviar spam o atacar otros sitios web.

McColo alojó los llamados servidores de comando y control para botnets que se usan para instruir a las PC para que envíen spam. Las botnets incluían a Rustock, Srizbi, Pushdo / Cutwail, Ozdok / Mega-D y Gheg, según el informe.

Cuando recibía quejas, McColo se desplazaba por los sitios web sospechosos en su red y trataba de borrar los rastros de irregularidades., Dijo Cox.

"Básicamente, muchos de estos proveedores saben lo que hacen sus clientes y tratan de protegerlos", dijo Cox.

Los analistas predicen una caída en el spam y la actividad de botnets mientras McColo está fuera de línea. Joe Stewart, director de investigación de malware para SecureWorks, dijo el miércoles que había recibido solo un mensaje de spam de la botnet Rustock, mientras que en un día normal podría obtener hasta 20.

La muerte de McColo va a ser "amable" una reivindicación para muchos investigadores que se han estado quejando de McColo durante años y por qué las autoridades no estaban haciendo nada al respecto ", dijo Stewart.

SecureWorks ha rastreado la mala actividad en McColo, pero la aplicación de la ley siempre ha sido" con los labios apretados "sobre las investigaciones, dijo.

Pero pueden pasar solo unos días antes de que aquellos que usan servicios de hospedaje de McColo encuentren otros proveedores de servicios a prueba de balas. "Hay todo tipo de aspirantes McColos que están en los foros de piratas informáticos, los foros de spammers", dijo Stewart.

De hecho, la mala actividad en McColo aumentó después del cierre en septiembre de Intercage, una empresa de alojamiento de California también conocida como Atrivo, dijo Cox. Los proveedores upstream de Intercage dejaron de transportar su tráfico tras años de quejas de que el ISP admitía spam y sitios web dañinos.

La creciente actividad de McColo mostraba que los spammers acababan de mudarse de Intercage a allí, y probablemente se muevan rápido, dijo Cox. Los delincuentes cibernéticos probablemente tienen sitios web "en espera activa" listos para funcionar con otros proveedores de servicios para mantenerse en el negocio, dijo Cox.

The Washington Post informó que los servidores de McColo se encuentran en San José, California. El sitio web del ISP enumera una dirección postal en Delaware. Los esfuerzos para llegar a McColo a través de un número de área de Nueva York no tuvieron éxito.