Desmantelan una botnet basada en Linux con víctimas en 63 países diferentes

Según cálculos de ESET, la botnet Mumblehard que acaba de ser neutralizada se componía de unos 4.000 sistemas.

Mumblehard ha dejado de existir. En una operación combinada de la firma CyS-CERT, la Policía Cibernética de Ucrania, que es el lugar donde se ubicaba el servidor de Comando y Control, y la compañía de seguridad ESET, que había detectado esta botnet en 2015, se ha conseguido su deshabilitación.

Esto significa, según ha anunciado la propia ESET, que “miles de servidores Linux dejan de enviar spam, ya que Mumblehard se basaba en máquinas Linux infectadas para operar, distribuyendo correos electrónicos no deseados. “El análisis forense reveló que, en el momento del desmantelamiento, había cerca de 4.000 sistemas de 63 países diferentes en la red de bots”, concreta Marc-Etienne Léveillé, investigador sobre malware en ESET.

“Se necesitó de mucho esfuerzo de diversas partes para que el cierre de esta botnet fuera posible”, continúa Léveillé. “Quizá no sea la más extendida, peligrosa o sofisticada de las que existen en la actualidad, pero aun así es un paso en la dirección correcta y demuestra que, si los investigadores de seguridad trabajan en conjunto con otras entidades, pueden tener un impacto para reducir las actividades delictivas en Internet”. En este sentido, este experto se ha mostrado orgulloso “de que nuestros esfuerzos hagan de Internet un lugar más seguro”.

Con la técnica de funcionamiento de Mumblehard analizada y comprendida, se estaría notificando a los administradores de los servidores implicados para que tomen cartas en el asunto y acabar definitivamente con dicha botnet. “Si recibe una notificación de que su servidor está infectado”, dice Léveillé, “diríjase a nuestros indicadores de compromiso en el repositorio de Github para más detalles acerca de cómo encontrar y eliminar Mumblehard en su sistema”.

Ya a nivel general, Léveillé y los suyos hacen un llamamiento para asegurar los sistemas, evitando que este tipo de acciones se vuelvan a repetir. Esto pasaría por actualizar las aplicaciones web alojadas en los servidores y blindar las cuentas de administrador a través de la verificación en dos pasos.