Peligrosa Botnet DDoS de Android llamada Wirex fue detenida por gigantes de la seguridad informática

0
561
views

Los vendedores de seguridad de TI neutralizaron con éxito WireX botnet en android a través de la colaboración.

Los ataques como los lanzados a través de la botnet Mirai en 2016 o WannaCry y NotPetya en 2017 tuvieron un impacto global. Como era de esperar, un número enorme de organizaciones fueron afectadas, y los expertos en seguridad fueron criticados.Esto es lo que obligó a las empresas de tecnología a iniciar una investigación colaborativa informal para encontrar maneras de neutralizar otro bot importante llamado WireX.

Las firmas que se unieron contra WireX incluyeron Akamai, FlashPoint, RiskIQ y CloudFlare. Los investigadores de seguridad y los expertos de estas empresas colaboraron y publicaron una serie de blogs para explicar cómo ellos y los investigadores de otras organizaciones como Google identificaron, estudiaron y neutralizaron WireX.

WireX fue utilizado por primera vez el 2 de agosto, pero no creó mucho estrago ya que los ataques fueron de baja escala, lo cual es probablemente porque el malware en ese momento estaba en sus etapas de desarrollo. Sin embargo, volvió a aparecer una vez más alrededor de dos semanas atrás, y no fue posible ignorarlo esta vez.

A partir del 15 de agosto, explicaron los expertos, los ataques se intensificaron y se prolongó con algunos de origen de al menos 70.000 direcciones IP sincronizadas, lo que resultó en el cierre de varios sitios web de alto perfil del sector medico. Los ataques se volvieron cada vez más potentes con el paso del tiempo. Estos atacaron la capa de aplicación enviando tráfico de aspecto legítimo que era solicitudes HTTP GET .En esta etapa, varios expertos en ciberseguridad detectaron los ataques y se planificó y organizó el esfuerzo de colaboración.

La mayoría de estas aplicaciones malintencionadas eran gestores de almacenamiento de medios o video, aplicaciones de ringtone, etc., pero éstas contenían “funciones ocultas adicionales” que los usuarios no conocían y el malware “permanecía vivo y activo en segundo plano”. Aparentemente, los aparatos eran en gran número desde que los ataques fueron lanzados desde más de un centenar de países diferentes, lo que significó que la aplicación maliciosa se distribuyó a nivel mundial.

Una vez que las aplicaciones infectadas fueron identificadas, Google no sólo bloqueó las 300 aplicaciones maliciosas de su Play Store, sino que también está en proceso de borrarlas de todos los dispositivos afectados. “Las conclusiones de los investigadores, junto con nuestro análisis, nos han permitido proteger mejor a los usuarios de Android en todas partes”, dijo Google.

Actualmente, las herramientas anti-malware disponibles identificaron el malware oculto en las aplicaciones como “Android Clicker”. La aplicación comenzó como un malware de fraude de clics, pero posteriormente se utilizó como una herramienta de distribución de denegación de servicio (DDoS). Este tipo de colaboración entre los expertos de las empresas de tecnología, sin embargo, es un paso nuevo y un nuevo fenómeno emocionante. Como lo declaró el director de investigación de seguridad de Flashpoint, Allison Nixon:

“Esta investigación es emocionante porque es un estudio de caso en cuán efectiva es la colaboración en toda la industria. Esto era más que un informe de análisis de malware. El grupo de trabajo fue capaz de conectar los puntos de la víctima con el atacante. El grupo también utilizó la información para mitigar mejor el ataque y desmantelar la botnet – y esto se completó muy rápidamente “.

Mientras que el investigador de seguridad y arquitecto senior de red en Akamai, Jared Mauch, señaló que en el caso de WireX el equipo fue capaz de “descubrir completamente” el funcionamiento de este software malicioso a través del rápido intercambio de información y la investigación colaborativa entre los expertos.

El CEO de CloudFlare, Matthew Prince, se sintió orgulloso de la investigación, así como del esfuerzo del equipo involucrado en la rápida investigación y migración de este “peligroso descubrimiento”.

El investigador de amenazas de RiskIQ, Darren Spruell, afirma que la operación de WireX demuestra el “valor de la respuesta colaborativa de las empresas de seguridad, proveedores de servicios y la aplicación de la ley”.

W3Schools