Aunque los atacantes todavía controlan algunos dominios empleados por el botnet Virut, Spamhaus ha conseguido frenar el avance de un malware que se extiende insertándose en archivos ejecutables y copiándose en los sistemas.
Muchos de los nombres de dominio utilizados por una banda de cibercriminales para controlar ordenadores infectados con la botnet Virut se han desactivado gracias a un esfuerzo coordinado por la organización Spamhaus.
Virut es un malware que se disemina infectando archivos ejecutables, si bien algunas variantes también infectan archivos HTML, ASP y PHP con código malicioso que distribuye la amenaza. Una vez instalado en un ordenador, el malware conecta con un servidor IRC (Internet Relay Chat) usando una conexión encriptada y espera a recibir instrucciones, permitiendo a los atacantes controlar los equipos infectados como un botnet.
El botnet Virut emplea principalmente varios docenas de nombres de dominios .pl (Polonia), .ru (Rusia) y .at (Austria) como parte de su infraestructura de comando y control (C&C), según ha señalado Thomas Morrison, miembro del equipo de Spamhaus. Para ponerle freno, Spamhaus colaboró con el equipo de respuesta a emergencias cibernéticas (CERT) polaco para asegurarse de que no se recibierá más tráfico por los dominios .pl empleados por el botnet, y también trabajó con Group-IB, una compañía de seguridad rusa que fue capaz de cerrar los dominios .ru utilizados por Virut.
Aunque de momento el botnet se ha paralizado, la infraestructura C&C de Virut no está completamente fuera de las manos de los atacantes, a quienes aún les quedan los nombres de dominio .at, afirma Morrison, quien espera que el CERT austriaco siga el ejemplo de sus colegas polaco y ruso.
"El esfuerzo de desmontaje de Virut ilustra claramente el importante papel que los registros y registradores de dominios pueden desempeñar en la lucha contra el cibercrimen. Estas organizaciones deben ser proactivas y agregar cláusulas en sus contratos que les permitan tomar rápidamente medidas contra los nombres de dominio utilizados con fines maliciosos”, añade Thomas Morrison.
– CSO España