¿Qué es un «servidor de comando y control» para malware?

Ya se trate de violaciones de datos en Facebook o ataques globales de ransomware, el ciberdelito es un gran problema. Los malintencionados utilizan cada vez más el malware y el ransomware para explotar las máquinas de las personas sin su conocimiento por diversas razones.

¿Qué es mando y control?

Un método popular utilizado por los atacantes para distribuir y controlar el malware es «comando y control», que también se denomina C2 o C&C. Esto ocurre cuando los delincuentes utilizan un servidor central para distribuir de forma encubierta malware a las máquinas de las personas, ejecutar comandos para el programa malicioso y tomar el control de un dispositivo.

C&C es un método de ataque especialmente insidioso porque solo una computadora infectada puede destruir una red completa. Una vez que el malware se ejecuta en una máquina, el servidor de C&C puede ordenarle que se duplique y se propague, lo que puede suceder fácilmente, porque ya pasó el firewall de la red.

Una vez que la red está infectada, un atacante puede apagarla o cifrar los dispositivos infectados para bloquear a los usuarios. Los ataques de ransomware WannaCry en 2017 hicieron exactamente eso al infectar computadoras en instituciones críticas como hospitales, bloquearlas y exigir un rescate en bitcoin.

¿Cómo funciona C&C?

Los ataques de C&C comienzan con la infección inicial, que puede ocurrir a través de canales como:

  • correos electrónicos de phishing con enlaces a sitios web maliciosos o que contienen archivos adjuntos cargados con malware.
  • vulnerabilidades en ciertos complementos del navegador.
  • descargar software infectado que parece legítimo.
Anuncio publicitario

El malware se infiltra más allá del firewall como algo que parece benigno, como una actualización de software aparentemente legítima, un correo electrónico que suena urgente que le dice que hay una brecha de seguridad o un archivo adjunto inocuo.

Una vez que un dispositivo ha sido infectado, envía una señal al servidor host. El atacante puede tomar el control del dispositivo infectado de la misma manera que el personal de soporte técnico puede asumir el control de su computadora mientras soluciona un problema. La computadora se convierte en un «bot» o un «zombi» bajo el control del atacante.

Luego, la máquina infectada recluta otras máquinas (ya sea en la misma red o con las que puede comunicarse) al infectarlas. Eventualmente, estas máquinas forman una red o «botnet» controlada por el atacante.

Este tipo de ataque puede ser especialmente dañino en un entorno empresarial. Los sistemas de infraestructura como las bases de datos de hospitales o las comunicaciones de respuesta a emergencias pueden verse comprometidos. Si se viola una base de datos, se pueden robar grandes volúmenes de datos confidenciales. Algunos de estos ataques están diseñados para ejecutarse en segundo plano a perpetuidad, como en el caso de las computadoras secuestradas para extraer criptomonedas sin el conocimiento del usuario.

En relación :  Cómo migrar de Gmail a ProtonMail

Estructuras de C&C

Hoy en día, el servidor principal suele estar alojado en la nube, pero solía ser un servidor físico bajo el control directo del atacante. Los atacantes pueden estructurar sus servidores C&C de acuerdo con algunas estructuras o topologías diferentes:

  • Topología en estrella: los bots se organizan alrededor de un servidor central.
  • Topología de varios servidores: se utilizan varios servidores C&C para la redundancia.
  • Topología jerárquica: varios servidores C&C están organizados en una jerarquía de grupos por niveles.
  • Topología aleatoria: los equipos infectados se comunican como una botnet de igual a igual (botnet P2P).

Los atacantes utilizaron el protocolo de chat de retransmisión de Internet (IRC) para ataques cibernéticos anteriores, por lo que hoy en día es ampliamente reconocido y protegido. C&C es una forma para que los atacantes eviten las salvaguardas dirigidas a las ciberamenazas basadas en IRC.

Anuncio publicitario

Desde 2017, los piratas informáticos han estado usando aplicaciones como Telegram como centros de comando y control para el malware. En 130 instancias solo este año.

Qué pueden hacer los atacantes una vez que tienen el control

Una vez que un atacante tiene el control de una red o incluso de una sola máquina dentro de esa red, puede:

  • robar datos transfiriendo o copiando documentos e información a su servidor.
  • obligar a una o más máquinas a apagarse o reiniciarse constantemente, interrumpiendo las operaciones.
  • realizar ataques distribuidos de denegación de servicio (DDoS).

Cómo protegerse

Como ocurre con la mayoría de los ciberataques, la protección contra los ataques de C&C se reduce a una combinación de buena higiene digital y software de protección. Debería:

  • conocer los signos de un correo electrónico de phishing.
  • tenga cuidado al hacer clic en enlaces y archivos adjuntos.
  • actualice su sistema con regularidad y ejecute software antivirus de calidad.
  • considere usar un generador de contraseñas o tómese el tiempo para crear contraseñas únicas. Un administrador de contraseñas puede crearlas y recordarlas por usted.

La mayoría de los ciberataques requieren que el usuario haga algo para activar un programa malicioso, como hacer clic en un enlace o abrir un archivo adjunto. Abordar cualquier correspondencia digital con esa posibilidad en mente lo mantendrá más seguro en línea.