El Día Internacional de la Mujer se celebra cada año el 8 de Marzo, pero además de esta celebración este próximo 8 de Marzo muchos usuarios no podrán leer sus sitios web favoritos ni acceder a nada en Internet, no quiera culpar a su proveedor de Internet, ni nada por el estilo; se trata del FBI (Buro de la Policía Federal Estadounidense), a ellos deberá culpar, aunque es por buenas razones según vera más adelante, pues en esa fecha el FBI desconectará múltiples servidores de dominios, dejando fuera de servicio a todos las computadoras que los usen.

Más de dos meses después de que las autoridades cerraran un esquema masivo de secuestro en el tráfico de Internet, el software malintencionado que acciona la red delictiva sigue ejecutándose en la mitad de los equipos de las empresas Fortune 500s, y en casi el 50 % de los equipos en todos los organismos del Gobierno Federal de los Estados Unidos de América según muestra una nueva investigación.

El malware, conocido como el “troyano DNSChanger,” discretamente altera la configuración de Internet del equipo host para secuestrar los resultados de búsqueda y bloquear a las víctimas visitar sitios de seguridad que podrían ayudar a eliminar las infecciones. Con el troyano DNSChanger frecuentemente fueron incluidos otros tipos de malware, lo que significa que sistemas infectados con el troyano a menudo también sean anfitriones de otros infames parásitos digitales.

A principios de noviembre del 2011, las autoridades de Estonia detuvo a seis hombres sospechosos de usar el troyano para controlar más de cuatro millones de ordenadores en más de 100 países — incluyendo un estimado en Estados Unidos de 500.000. Los investigadores habían temporizado las detenciones con un ataque coordinado sobre la infraestructura del malware. El ataque desde dos frentes pretendía impedir que los ciberdelincuentes continuaran controlando la red de PCs hackeados y para dar a los proveedores de servicios de Internet una oportunidad de alertar a los clientes con equipos infectados.

Pero ese proceso de limpieza ha sido lento, por lo menos según una empresa de seguridad Internet Identity, una empresa de Tacoma, Washington que vende servicios de seguridad, encontró evidencia de al menos una infección de DNSChanger en equipos, en por lo menos la mitad de todas las empresas de Fortune 500 y en 27 entidades de Gobierno principales de un total de 55.

“Sí, hay problemas con la eliminación de este malware, pero uno pensaría que las personas quieren conseguir esto limpió” dijo Rod Rasmussen, Presidente y Jefe Oficial de Tecnología de Internet Identity. “Este programa malicioso a veces estuvo liado con otras cosas, pero también desactiva el software antivirus en los equipos infectados y bloquea obtener actualizaciones de seguridad de Microsoft”.

Equipos sigue infectados con el troyano DNSChanger están frente a un reloj de cuenta regresiva. Como parte de la desactivación de la botnet DNSChanger, el FBI consiguió una orden judicial para reemplazar la infraestructura DNS del troyano con servidores DNS alternativos, legítimos. Pero esos servidores sólo se permiten operar hasta el 08 de marzo del 2012. A menos que la Corte extiende ese orden, cualquier computadora que siga infectada con DNSChanger ya no podrá ser capaz de navegar por la Web.

Rasmussen dijo que todavía hay millones de ordenadores infectados con DNSChanger. “A este ritmo, muchos usuarios van a ver su salida de Internet el 8 de marzo.”

Tom Grasso Jr., un agente de vigilancia del FBI en el National Cyber Forensics & Training Alliance en Pittsburgh, Pennsylvania., dijo que el DNSChanger Working Group (Grupo de trabajo de DNSChanger) — la industria y la coalición de aplicación de la ley que está manejando la corrección — ha estado discutiendo qué hacer acerca de la próxima fecha límite, pero declinó ofrecer detalles.

“Sin duda estamos explorando todas las diferentes opciones para minimizar cualquier impacto que va a tener un montón de gente”, dijo Grasso.

Incluso si el DNSChanger Working Group (Grupo de trabajo de DNS Changer) logra conseguir ampliar el plazo, el proceso de limpieza probablemente tomará muchos años. Al menos, esa ha sido la experiencia del Conficker Working Group (Grupo de trabajo de Conficker), un consorcio similar de la industria, que fue creado para ayudar a contener y limpiar infecciones del infame Gusano Conficker. Ese grupo de trabajo fue formado en 2009, sin embargo, según las estadísticas más recientes del grupo, casi 3 millones de sistemas siguen siendo infectados con Conficker.

Dada la experiencia del  Conficker Working Group, cerrando la red DNS suplente el 8 de marzo puede ser aun más rápido — aunque más dolorosa: una forma de limpiar el problema.

“Supongo que mucha más gente le importaría en ese momento”, dijo Rasmussen. “Ciertamente sería un experimento social interesante si estos sistemas se cortaran solos.”

Personas a cargo de una red de gran tamaño pueden aprender si cualquier sistema está infectado con el troyano DNSChanger enviando una solicitud a uno de los miembros del DNSChanger Working Group (Grupo de trabajo de DNS Changer). Los usuarios domésticos pueden acogerse a las instrucciones paso a paso en este enlace para obtener información de posibles infecciones de DNSChanger.

Traducción: Velcro

Fuente: Krebs on Security Blog

Anuncios