El FBI, junto con las autoridades de Estonia, ha logrado el desmantelar la botnet más grande en la historia. La operación concluyo tras cinco años de vigilancia e investigación y con la detención de seis estonios, que habían logrado más de $ 14 millones de dolares mediante ingresos fraudulentos de publicidad en Internet.
La operación de Ghost (Operación Fantasma) fue ejecutada el pasado martes 9 de noviembre cuando los oficiales del FBI en coordinacion con la policía nacional de Estonia detuvieron en Tartu, Estonia varias personas dirigían la red fraudulenta utilizaba centros de datos en Nueva York y Chicago servian como infraestructura de comando y control de la botnet.
Rove Digital, un servidor web de Estonia, era el que estaba detrás de todo el sofisticado plan de expansión de un malware, conocido como DNS Changer (intercambiador de DNS) que alteraba el sistema de nombres de dominio (DNS) en los ordenadores infectados para que siempre apuntaran hacia direcciones IP extranjeras. Los ciberdelincuentes tenían el control ilegal de 14.000 dominios; y las máquinas infectadas eran utilizadas para suplantar anuncios de publicidad legítim por los falsos anuncios de los delincuentes, que obtenían beneficios económicos mediante el fraude de clics. La botnet de intercambio de DNS tenia cuatro millones de computadoras infectadas en todo el mundo, incluyendo mas de medio millón de máquinas en los Estados Unidos, declaro un responsable del FBI.
"El malware puede ser eliminado de las máquinas infectadas con un simple antivirus", dijo Paul Ferguson investigador de Trend Micro, que investiga las amenazas mas avanzadas. "El único problema es, que una vez que el virus DNS Changer de la botnet cambia las DNS en el ordenador victima, tras eliminar el virus estas DNS no vuelve a cambiar a las DNS originales." Ferguson dijo que los proveedores de internet ISP, tendrán que ayudar a completar la limpieza; el FBI también ha proporcionado una herramienta en su sitio web que detecta las infecciones del DNS Changer.
Ferguson dijo tambien que la empresa Trend Micro fue de los primeros en descubrir la infección del virus DNS Changer (cambiador de DNS) y en el 2006 alertó a las autoridades. Los ataques fueron atribuidos a Rove Digital, una empresa legal establecida en Estonia que tenía bajo su control millones de ordenadores infectados, mediante los cuales redirigía los sitios de alojamiento web para ganar dinero con sus anuncios ilegítimos. Rove digital era una empresa matriz de varias empresas ficticias ilegales, dijo Trend Micro en un blog, incluyendo Esthost, que fue tomada en 2008 cuando su proveedor de San Francisco Atrivo fue cerrado. En ese momento, Rove Digital trato de extender su infraestructura de C & C por todo el mundo, incluido el Centro de Pilosoft de datos en Nueva York.
La operación de Ghost (Operación Fantasma) fue ejecutada el pasado martes 9 de noviembre cuando los oficiales del FBI en coordinacion con la policía nacional de Estonia detuvieron en Tartu, Estonia varias personas dirigían la red fraudulenta utilizaba centros de datos en Nueva York y Chicago servian como infraestructura de comando y control de la botnet.
Rove Digital, un servidor web de Estonia, era el que estaba detrás de todo el sofisticado plan de expansión de un malware, conocido como DNS Changer (intercambiador de DNS) que alteraba el sistema de nombres de dominio (DNS) en los ordenadores infectados para que siempre apuntaran hacia direcciones IP extranjeras. Los ciberdelincuentes tenían el control ilegal de 14.000 dominios; y las máquinas infectadas eran utilizadas para suplantar anuncios de publicidad legítim por los falsos anuncios de los delincuentes, que obtenían beneficios económicos mediante el fraude de clics. La botnet de intercambio de DNS tenia cuatro millones de computadoras infectadas en todo el mundo, incluyendo mas de medio millón de máquinas en los Estados Unidos, declaro un responsable del FBI.
"El malware puede ser eliminado de las máquinas infectadas con un simple antivirus", dijo Paul Ferguson investigador de Trend Micro, que investiga las amenazas mas avanzadas. "El único problema es, que una vez que el virus DNS Changer de la botnet cambia las DNS en el ordenador victima, tras eliminar el virus estas DNS no vuelve a cambiar a las DNS originales." Ferguson dijo que los proveedores de internet ISP, tendrán que ayudar a completar la limpieza; el FBI también ha proporcionado una herramienta en su sitio web que detecta las infecciones del DNS Changer.
Ferguson dijo tambien que la empresa Trend Micro fue de los primeros en descubrir la infección del virus DNS Changer (cambiador de DNS) y en el 2006 alertó a las autoridades. Los ataques fueron atribuidos a Rove Digital, una empresa legal establecida en Estonia que tenía bajo su control millones de ordenadores infectados, mediante los cuales redirigía los sitios de alojamiento web para ganar dinero con sus anuncios ilegítimos. Rove digital era una empresa matriz de varias empresas ficticias ilegales, dijo Trend Micro en un blog, incluyendo Esthost, que fue tomada en 2008 cuando su proveedor de San Francisco Atrivo fue cerrado. En ese momento, Rove Digital trato de extender su infraestructura de C & C por todo el mundo, incluido el Centro de Pilosoft de datos en Nueva York.
"DNS Changer ha sido tan inteligente como rentable", dijo Ferguson. "Probablemente pensaron que estaban a salvo porque no tenían grandes objetivos, a diferencia de otros ciberdelincuentes que roban cuentas bancarias y utilizan cibermulas para mover el dinero. Sin duda creían que estaban por debajo de la posibilidad de detección, ya que la monetización y la sustitución de los ingresos por publicidad casi era imperceptible. "
Años de trabajo de investigación culminaron el martes, cuando los funcionarios arrestaron a los seis estonios responsables del fraude. Los EE.UU. pedirán la extradición, dijo el FBI. Los servidores Rogue DNS que fueron capturados en las redadas de Nueva York y Chicago; los servidor originales fueron restituidos antes de que se procediera al derrumbamiento de los falsos servidores para evitar la interrupción del servicio de Internet, dijo el FBI.
"La coordinación fue perfecta. El FBI tomó un avión y se presento ante la Policía Nacional de Estonia para ejecutar conjuntamente la detención el martes por la mañana, hora local ", dijo Ferguson. "Poco a poco, estamos logrando mas éxito en la captura de lo cibercriminales como estos incluso fuera de las jurisdicciones. Es bueno lograr una victoria, porque demás esto envía un mensaje al resto de los ciberdelincuentes que están ocultos en Europa del Este, dándoles a entender que no están a salvo".
Años de trabajo de investigación culminaron el martes, cuando los funcionarios arrestaron a los seis estonios responsables del fraude. Los EE.UU. pedirán la extradición, dijo el FBI. Los servidores Rogue DNS que fueron capturados en las redadas de Nueva York y Chicago; los servidor originales fueron restituidos antes de que se procediera al derrumbamiento de los falsos servidores para evitar la interrupción del servicio de Internet, dijo el FBI.
"La coordinación fue perfecta. El FBI tomó un avión y se presento ante la Policía Nacional de Estonia para ejecutar conjuntamente la detención el martes por la mañana, hora local ", dijo Ferguson. "Poco a poco, estamos logrando mas éxito en la captura de lo cibercriminales como estos incluso fuera de las jurisdicciones. Es bueno lograr una victoria, porque demás esto envía un mensaje al resto de los ciberdelincuentes que están ocultos en Europa del Este, dándoles a entender que no están a salvo".