Noticias de la semana: NoIP y el regreso de Miniduke

Microsoft se enfrenta a una empresa de alojamiento web, NoIP, causando daños colaterales en el proceso. La campaña ATP de Miniduke ha regresado

NoIP

Esta semana: Microsoft tomó acciones legales contra No-IP, una empresa de alojamiento web que supuestamente permite que los cibercriminales se aprovechen de su servicio para albergar campañas maliciosas. También ha resurgido la amenaza avanzada persistente (APT) Miniduke.

No-IP

No-IP es un proveedor de servicios de nombres de dominio dinámicos (DNS). Ofrecen un servicio que permite a los usuarios comprar nombres de dominio de páginas web, igual que cualquier otro proveedor de DNS. La diferencia, básicamente, está en que los sistemas de DNS dinámicos permiten a los administradores actualizar fácilmente sus nombres de dominio y direcciones IP. Esta característica, puede ser una herramienta valiosa para los cibercriminales, que tratan de evitar que el antivirus les detecte, lo que bloquearía las direcciones IP de los sitios web que contienen malware, o que actúan como un servidor que controla un botnet. Por desgracia, muchas empresas no maliciosas que utilizan DNS dinámicos y también No-IP, se encuentran en esta situación.

Microsoft reclama que “ha llamado la atención a No-IP como propietaria de la infraestructura frecuentemente explotada por cibercriminales para infectar a víctimas inocentes con la familia de malware Bladabindi (NJrat) y Jenxcus (NJw0rm)”

Microsoft alega que “ha llamado la atención a No-IP como propietaria de la infraestructura frecuentemente explotada por cibercriminales para infectar a víctimas inocentes con la familia de malware Bladabindi (NJrat) y Jenxcus (NJw0rm)”. No-IPrechaza las acusaciones de apoyo a campañas de malware.

Una de las maneras en que Microsoft interviene en las operaciones de malware, es con la adquisición de una orden de restricción temporal, una autoridad legal que le da a la compañía la capacidad de aprovechar los dominios y redirigir el tráfico de los dominios y sinkholes utilizados en operaciones maliciosas, a los dominios controlados por Microsoft. Los sinkholes, sobre los que ya hemos hablado anteriormente, son un método generalmente aceptado de interrumpir la operación de botnets y malware, y se utilizan de múltiples maneras.

Como explican en Threatpost, los investigadores trabajan a menudo con proveedores de alojamiento web para redirigir el tráfico desde dominios maliciosos, a aquellos controlados por investigadores o por organismos competentes, ayudando a acabar con el ciclo de vidade las campañas. El problema es que No-IP afirma que Microsoft no le contactó en este caso.

La decisión causó un gran revuelo en la comunidad de seguridad. Una razón típica que causa controversia, es la autoridad de Microsoft – una empresa privada con su propio conjunto de valores y objetivos, no un organismo encargado de hacer cumplir la ley – para tomar lo que equivale a una acción de cumplimiento contra otra empresa o grupo de individuos. En esencia, a algunos les parece que Microsoft está haciendo de policía en Internet, según sus propios intereses. Desafortunadamente, esta vez las acusaciones fueron más importantes, porque Microsoft causó accidentalmente daños colateralesa cierto número de sitios legítimos en este particular proceso por acabar con No-IP.

Puedes leer aquí lo que dijo el director de Global Research y Analysis Team de Kaspersky Lab, Costin Raiu.

Miniduke ha regresado

La amenaza avanzada persistente (APT) Miniduke ha regresado. Los investigadores de Kaspersky Lab descubrieron por primera vez la operación de espionaje de malware en febrero del año pasado. En ese momento, se estaba usando principalmente para espiar a los gobiernos de Europa. En el momento inicial de su descubrimiento Miniduke era único entre todas las APT, por una serie de razones, entre las que se incluye que el malware se comunicaba usando en parte Twitter y enviando archivos ejecutables diseñados para actualizar el malware en los ordenadores infectados ocultos en archivos GIF.

Esta segunda ronda – examinada en un artículo en Securelist del jueves pasado – muestra que la campaña se ha incrementado tanto en alcance, como en complejidad, tras un largo paréntesis de un año. Además de acechar al gobierno, militares y empresas energéticas, la campaña también está robando datos de traficantes de productos online como hormonas y esteroides. Es más, una vez que el malware desplegado por la campaña roba información a sus objetivos, desgrana la información en pequeños trozos y esparce las partes para ponerles más difícil a los investigadores indagar acerca de la campaña.

El nuevo Miniduke, llamado Cosmic Duke, tiene nuevas herramientas diseñadas para robar información de manera más eficiente. Puedes leer un reportaje completo con todas las novedades en Threatpost.

Consejos