Botnet de Simda

Simda es una botnet amenazante cuyo propósito principal, según los investigadores de infosec, es entregar malware adicional a las computadoras comprometidas. Este es un comportamiento bastante único para una botnet, pero la razón más probable es que las personas detrás de ella ofrecieron vender su acceso a sistemas comprometidos a un solo cliente, asegurando que solo el malware del cliente estaría presente en el sistema.

Durante la mayor parte del tiempo que estuvo funcionando, Simda Botnet había logrado atraer poca atención sobre sí misma, permaneciendo principalmente fuera del radar de la comunidad de ciberseguridad. La razón detrás del sigilo de la botnet fueron sus poderosas técnicas anti-análisis. Simda fue capaz de detectar entornos sandbox y procedió a consumir todos los recursos de la CPU o hacer ping a la botnet principal sobre la dirección IP externa de la red del investigador. Simda también estaba equipado con polimorfismo del lado del servidor.

El vector de infección para difundir la botnet incluía sitios web de terceros que empleaban kits de explotación para distribuir el malware. Uno de los aspectos característicos de Simda fue la forma en que modificó el archivo de hosts del usuario. Si bien muchas amenazas de malware abusan del archivo de los hosts para bloquear la apertura de ciertos sitios web, principalmente los sitios de proveedores de ciberseguridad, Simda hizo que las direcciones de google-analytics.com y connect.facebook.net comenzaran a apuntar a direcciones IP amenazantes. de la manipulación de archivos de los hosts es que los usuarios que no actualizan su software podrían volver a infectarse en el futuro.

Antes de su eliminación, Simda Botnet se había extendido por 190 países en todo el mundo. Una gran parte de los usuarios de computadoras comprometidos estaban ubicados en los Estados Unidos y Rusia. Para que la botnet fuera desmantelada, se necesitaron los esfuerzos combinados de Kaspersky, TrendMicro, el FBI, la Policía Grand-Ducale Section Nouvelles Technologies en Luxemburgo, oficiales de la Unidad Nacional Holandesa de Delitos de Alta Tecnología (NHTCU), el Instituto de Defensa Cibernética, y el Departamento de Delitos Cibernéticos del Ministerio del Interior de Rusia, con la ayuda de la Oficina Central Nacional de INTERPOL en Moscú. Como consecuencia de la operación, se incautaron 14 servidores de cinco países diferentes: Países Bajos, Estados Unidos, Luxemburgo, Rusia y Polonia.