Investigadores de seguridad de ESET en colaboración con Microsoft y agencias de seguridad, el FBI, Interpol, Europol y otras partes interesadas en ciberseguridad, desmantelaron una importante operación de botnet conocida como Gamarue, que ha estado infectando a millones de víctimas desde 2011.
El 29 de noviembre de 2017 comenzó un coordinado trebajo de desmontaje que posibilitó que agencias policiales de todo el mundo pudieran detener e interrumpir la actividad de esta familia de malware responsable de infectar a más de 1,1 millones de sistemas por mes; en el caso de Latinoamérica Perú y México se encuentran dentro del Top 5 de los países con mayor cantidad de detecciones de esta familia de códigos maliciosos.
Los investigadores de ESET y Microsoft compartieron análisis técnicos, información estadística y dominios de servidores de Comando y Control (C&C) para ayudar a interrumpir la actividad maliciosa del grupo. ESET también compartió su conocimiento histórico de Gamarue, obtenido del monitoreo continuo del malware y su impacto en los usuarios en los últimos años.
Gamarue fue creado por delincuentes cibernéticos en septiembre de 2011 y vendido en foros clandestinos de la Dark Web como un kit de delincuencia. El objetivo de la familia Gamarue era robar credenciales y descargar e instalar malware adicional en los sistemas de los usuarios.
Esta familia de malware es del tipo Botnet, y le permite al atacante que la utilice el crear y usar complementos personalizados. Dentro de las características de esta amenaza se encuentran complementos que permiten al cibercriminal robar el contenido ingresado por los usuarios en formularios web, y algunos otros que permiten el acceso remoto al sistema infectado para controlarlo.
Su popularidad ha dado lugar a una serie de botnets Gamarue independientes. De hecho, ESET descubrió que sus muestras se distribuyeron en todo el mundo a través de redes sociales, mensajería instantánea, dispositivos USB, spam y exploitkits.
Los investigadores de ESET y Microsoft recolectaron información utilizando el servicio ESET Threat Intelligence. Desde ESET se desarrolló un programa que se comporta como un bot y de esta manera poder comunicarse con el servidor de comando y control (C&C)de la amenaza, a partir de estas conexiones se pudieron seguir de cerca los comportamientos de las botnets de Gamarue durante el último año y medio. A partir de la información recolectada durante ese tiempo se pudieron identificar los servidores comando y control (C&C) para luego desmontarlos, además de monitorear la forma en que operaba y de esta manera localizar otros dominios utilizados por los ciberdelincuentes como C&C.
«En el pasado, Wauchos ha sido la familia de malware más detectada entre los usuarios de ESET, así que cuando se nos acercó Microsoft para que juntos generemos su interrupción y así proteger mejor a nuestros usuarios y al público en general, enseguida estuvimos de acuerdo», dijo Jean-Ian Boutin, Senior Malware Research en ESET. «Esta amenaza en particular ha existido por varios años y se reinventa constantemente, lo que puede dificultar su monitoreo. Pero al usar ESET Threat Intelligence y al trabajar en colaboración con los investigadores de Microsoft, hemos sido capaces de realizar un seguimiento de los cambios en el comportamiento del malware y, en consecuencia, proporcionar datos procesables que han resultado invaluables en estos esfuerzos de eliminación».
Los ciberdelincuentes han utilizado tradicionalmente Gamarue para apuntar a usuarios hogareños para robar credenciales de los sitios web a través de su complemento de captura de formularios. Sin embargo, los investigadores de ESET han visto recientemente que el malware se usa para instalar varios bots de spam en máquinas comprometidas en el llamado esquema de pago por instalación.
