El Departamento de Justicia de los Estados Unidos (DoJ, por sus siglas en inglés) anunció el miércoles su esfuerzo por "mapear y alterar aún más" una red de bots vinculada a Corea del Norte que ha infectado a numerosas computadoras con Microsoft Windows en todo el mundo durante la última década.
Apodada Joanap , se cree que la botnet es parte de " Cobra Oculta ", un grupo de actores de Amenaza Persistente Avanzada (APT) a menudo conocido como Grupo Lazarus y Guardianes de la Paz y respaldado por el gobierno de Corea del Norte.
Hidden Cobra es el mismo grupo de piratería que supuestamente se ha asociado con la amenaza de ransomware WannaCry en 2016, el ataque de SWIFT Banking en 2016 y el hackeo de Sony Motion Pictures en 2014.
Data de 2009, Joanap es una herramienta de acceso remoto (RAT) que se conecta al sistema de la víctima con la ayuda de un gusano SMB llamado Brambul , que se rastrea de una computadora a otra mediante el uso compartido de archivos de Windows Server Message Block (SMB). Servicios que utilizan una lista de contraseñas comunes.
Una vez allí, Brambul descarga Joanap en las computadoras Windows infectadas, abriendo efectivamente una puerta trasera para sus cerebros intelectuales y dándoles control remoto de la red de computadoras Windows infectadas.
Si quieres vencerlos, primero únete a ellos
Curiosamente, las computadoras infectadas por la botnet Joanap no toman comandos de un servidor centralizado de comando y control; en su lugar, se basa en la infraestructura de comunicaciones P2P (peer-to-peer), lo que hace que cada computadora infectada forme parte de su sistema de comando y control.
A pesar de que Joanap está siendo detectado actualmente por muchos sistemas de protección contra malware, incluido Windows Defender, la infraestructura de comunicaciones peer-to-peer (P2P) del malware aún deja una gran cantidad de computadoras infectadas conectadas a Internet.
Así que para identificar a los hosts infectados y eliminar la red de bots, el FBI y la Oficina de Investigaciones Especiales de la Fuerza Aérea (AFOSI) obtuvieron órdenes legales de búsqueda que permitieron a las agencias unirse a la red de bots creando y ejecutando computadoras "intencionalmente infectadas" que imitan a sus compañeros para recolectar La información de identificación técnica y "limitada" en un intento de mapearlos, dijo el DoJ en su comunicado de prensa .
"Si bien la botnet Joanap fue identificada hace años y puede ser derrotada con un software antivirus, identificamos numerosas computadoras no protegidas que alojaban el malware subyacente en la botnet", dijo la fiscal federal Nicola T. Hanna.
"Las órdenes de registro y las órdenes judiciales anunciadas hoy como parte de nuestros esfuerzos para erradicar esta botnet son solo una de las muchas herramientas que utilizaremos para evitar que los ciberdelincuentes utilicen botnets para poner en escena intrusiones informáticas perjudiciales". La información recopilada sobre las computadoras infectadas con el malware Joanap incluía direcciones IP, números de puerto y marcas de tiempo de conexión que permitieron al FBI y AFOSI construir un mapa de la red de bots Joanap actual.
Las agencias ahora están notificando a las víctimas de la presencia de Joanap en sus computadoras infectadas a través de sus Proveedores de Servicios de Internet (ISP) e incluso enviando notificaciones personales a las personas que no tienen un enrutador o firewall que proteja sus sistemas.
El Departamento de Justicia de los EE. UU. Y el FBI también coordinarán la notificación a las víctimas extranjeras del malware Joanap al compartir los datos con el gobierno de otros países.
Los esfuerzos para interrumpir la botnet Joanap comenzaron después de que Estados Unidos desveló los cargos contra un programador informático norcoreano llamado Park Jin Hyok en septiembre del año pasado por su papel en la creación de los ataques de ransomware Sony Pictures y WannaCry .
Joanap y Brambul también fueron recuperados de las computadoras de las víctimas de las campañas enumeradas en la acusación de Hyok en septiembre, lo que sugiere que ayudó al desarrollo de la botnet Joanap.
Extrato de The Hacker News
Entradas
0 Comentarios