DeNunCianDo - Golpe al spam: Desactivan la botnet Grum

Golpe al spam: Desactivan la botnet Grum

Las botnets son la principal fuente de distribución de spam, y la conocida como Grum se encontraba entre las más grandes. Pero Grum ha caído, y con ella, se ha desvanecido en el aire cerca del 18 por ciento del spam a nivel mundial.

Perseguir a los responsables de las botnets que envían spam a cada casilla de correo que tienen a su alcance puede convertirse rápidamente en una cacería global. Quienes administran las botnets saben muy bien lo que están haciendo, y cuanto más segmentada esté su operación, más difícil será detenerla por completo. Es ciertamente una buena noticia saber que la botnet Grum, la tercera más grande en cuanto a direcciones IP asociadas, ha sido desactivada. Sin embargo, el proceso no fue sencillo. Demandó varios días, y los administradores de la botnet intentaron mantenerla en funcionamiento hasta el último momento. Los primeros indicios sobre la existencia de Grum fueron reportados en febrero de 2008, por lo que contó con más de cuatro años de perturbadora actividad.

El primer movimiento se llevó a cabo el pasado 16 de julio, cuando las autoridades holandesas desactivaron a dos de los servidores de control y comando de la botnet. Lamentablemente no podían detenerse allí, ya que Grum también tenía servidores activos en Panamá y Rusia, ambos considerados “servidores maestros”, debido a que entregaban elementos de alto perfil como archivos de configuración. Los dos servidores de Holanda eran “secundarios”, los cuales se concentraban sobre el spam. Cuando el servidor de Panamá fue desconectado por el proveedor de Internet al día siguiente, las mentes detrás de Grum reaccionaron rápido, activando seis nuevos servidores en Ucrania.

Se necesitó del esfuerzo coordinado del CERT-GIB en Rusia, la compañía de seguridad FireEye, la organización Spamhaus y un experto en seguridad que ha permanecido anónimo para rastrear y desactivar a estos seis nuevos servidores, junto al servidor que quedaba en Rusia, el cual probó ser el más complicado debido a la falta de cooperación de la empresa que se encargaba del hosting.

Al no contar con ningún mecanismo de respaldo, se ha declarado a Grum como completamente desactivada. La cantidad de ordenadores infectados enviando spam se ha reducido a cero, y como si fuera poco, también se ha detectado que la botnet Lethic parece haber interrumpido sus actividades (probablemente como medida preventiva ante la anulación de Grum), por lo que la reducción en el volumen de spam ha alcanzado el cincuenta por ciento, un mínimo histórico. Aún así, los estudios indican que estas caídas en el spam comienzan a recuperar sus valores previos unas seis semanas luego de que una botnet es desactivada. Tal y como está, es muy poco probable que Grum regrese, pero ha dejado un vacío que seguramente será ocupada por otra red maliciosa, la cual podría ser incluso mucho más robusta. La batalla contra el spam, está lejos de terminar.