Los laboratorios de seguridad de Blue Coat han identificado más de 1.500 redes de malware (malnets) durante 2012, el triple que el año anterior, según su Informe de Seguridad 2012. Las malnets infectan a los usuarios con troyanos, que producen una botnet para lanzar nuevos ataques, creando así un círculo vicioso del malware que se perpetúa en la red. Para protegerse de forma efectiva frente a esta amenaza, la clave está en romper el ciclo malicioso de estas redes de malware, responsables de más de dos tercios de todos los ataques de malware basados en la web.
Por ejemplo, en 2012, la botnet Zeus fue el objetivo de las soluciones de seguridad, lo que provocó una disminución en su actividad. Sin embargo, los operadores de malnets simplemente cambiaron sus recursos a la botnet Aleuron, desarrollando y lanzando sus ataques desde esta plataforma. En sólo seis meses, la actividad de la botnet Aleuron aumentó un 517 %, superando a Zeus, y convirtiéndose en la botnet más activa. La botnet Aleuron se propagó a través del correo no deseado, motores de búsqueda y redirección maliciosa, para obtener ganancias financieras.
Mientras las malnets sigan llevando a los usuarios hacia los sitios web donde se aloja el malware, las botnets seguirán siendo un problema importante en la red. La naturaleza dinámica de las malnets permite a los cibercriminales cambiar fácilmente la carga viral de un tipo de botnet a otro. De hecho, muchas malnets ya distribuyen diferentes tipos de botnets.
El sistema del usuario recibe instrucciones de los servidores de comando y control del malnet. Una malnet como Shnakule utiliza activamente los sistemas que ha infectado, comunicándose con ellos con frecuencia. Durante 2012, se produjeron casi un millón de solicitudes a los servidores de comando y control que formaban parte de la malnet, lo que indica que estos sistemas fueron utilizados con frecuencia para alojar software malintencionado o participar en ataques hacia otros usuarios.
Shnakule también cambió los nombres de host de sus servidores de comando y control más de 56.000 veces durante el período analizado. Esto muestra cómo la naturaleza dinámica de la malnet hace que sea más difícil mantener el ritmo de control por parte de los sistemas de seguridad.
Incluso después de que los fabricantes liberen los parches correspondientes, los sistemas infectados siguen comunicando con los servidores de comando y control de las redes maliciosas. Por ejemplo, dos meses después de que Apple publicara el parche que resolvía la vulnerabilidad de Flashback en Mac OS, Blue Coat Security Labs registró cerca de 6.000 solicitudes al día a los servidores de comando y control asociados a la botnet. Un mes más tarde, las comunicaciones cayeron a 3.000 solicitudes por día y han continuado su tendencia hacia abajo desde entonces. Para las empresas, cada una de esas comunicaciones es una oportunidad de perder datos privados.
