En una operación conjunta entre cuerpos policiales como el FBI y el European Cybercrime Center de la Europol combinando esfuerzos con empresas especializadas como Kaspersky, Shadowserver y McAfee; se ha desactivado, al parecer completamente, la botnet polimórfica Beebone.

CBHL0S5WkAAfQRo

 

Los primeros datos apuntan a que los C&C desactivados controlaban alrededor de 12.000 máquinas, un dato que no es demasiado espectacular en terminos de botnets, pero se continua investigando dado que previamente se habían obtenido varios millones de muestras únicas del gusano W32/Worm-AAEH.

La botnet Beebone se caracteriza por su resistencia a ser detectada ya que el malware polimórfico de descarga se actualizaba de manera regular, llegado a 19 actualizaciones por día, y por la característica de funcionar con dos programas que automaticamente volvían a descargar su par en caso de que este hubiera sido desactivado o borrado y de esta manera disponer de esta doble seguridad. Además de esto las víctimas se encontraban con que el malware bloqueaba diferentes páginas de antivirus.

Otro dato interesante de esta acción contra esta botnet es que se ha vuelto a realizar como en otras ocasiones a través de una técnica denominada Sinkholing que viene a ser básicamente requisar todos los nombres de dominio y direcciones IP utilizados como C&C, mientras que los encargados de la operación redirigen el tráfico y montan una especie de C&C alternativo para no perder de vista los nodos infectados. De esta manera y como parece que se va a proceder en este caso, se informará a las diferentes ISP afectadas para que por su parte avisen a los usuarios afectados por este malware.

Sin duda una buena noticia, ahora solo esperar que prosiga la investigación y se detenga a los criminales detrás de esta botnet.

Fuente Europol