Construir una botnet en condiciones no es tarea fácil. Si bien una de básica se puede perpetrar mediante tutoriales en línea, la mayoría de los delincuentes, en lugar de crear las suyas propias, optan por alquilarlas en Telegram o en mercados underground.
Por lo tanto, lo que antes requería de ciertas habilidades, ahora está disponible por el precio de un par de pizzas.
Por unos 40 euros, cualquiera puede alquilar una botnet, e inundar los servidores de una empresa con suficiente tráfico, para dejarla fuera de juego.
Ya sea de alquiler o de propiedad, los servidores de Comando y Control (C&C) son esenciales para gestionar las redes de dispositivos comprometidos.
Estos servidores actúan como centro de mando de las redes de bots, dirigiendo las actividades de los equipos infectados (cualquier cosa con conexión a internet).
Funcionan mediante un modelo de cliente/servidor.
- El cliente se encuentra alojado en el dispositivo infectado, y recibe órdenes desde el servidor.
- El servidor es controlado por el ciberdelincuente.
El servidor puede utilizarse para diversos fines.
Por ejemplo:
Emitir comandos: los servidores C&C envían instrucciones específicas a cada bot de la red, para lanzar diversos tipos de ataques.
Recibir informes: los dispositivos infectados envían datos al servidor C&C, como por ejemplo, actualizaciones de estado, o confirmaciones sobre el éxito de las tareas.
Actualizar malware: para contrarrestar las medidas de seguridad que podrían eliminar o bloquear el malware, los servidores C&C pueden enviar actualizaciones para modificar el código malicioso.
Controlar el tráfico: los servidores C&C administran el tráfico de red entre los dispositivos infectados, coordinando ataques a gran escala.
La seguridad de las comunicaciónes entre el servidor de comando y control y la botnet (conjunto de bots) es crucial para que todo funcione correctamente.
La ventaja del modelo cliente-servidor reside en su simplicidad.
Sin embargo, los servidores centralizados son relativamente fáciles de detectar y desactivar.
Como resultado, una botnet mal protegida se vuelve vulnerable, por lo que puede ser cerrada por los profesionales de ciberseguridad, o las fuerzas del orden.
Además, el perpetrador corre el riesgo de ser identificado, ya que, algunas veces, aunque cifre el trafico, el servidor podría exponer su dirección IP.
Es por eso, que algunos pastores de bots optan por el Modelo peer-to-peer (P2P)
En una estructura peer-to-peer (P2P), cada bot funciona como cliente y servidor, lo que permite la distribución de comandos y datos a través de la red.
Dicho de otra manera: el pastor de bots envía un comando a uno o más bots, y estos lo entregan a sus vecinos.
Por otro lado, cada bot mantiene una lista de pares de confianza.
La ausencia de un servidor central reduce la vulnerabilidad de la red y dificulta que los especialistas en seguridad desactiven el chiringuito.
A diferencia del modelo centralizado, el enfoque P2P se considera más seguro.
Sin embargo, la gestión y monitorización de dicha estructura requiere mayores recursos para propagar comandos por toda la botnet.
Recientemente, los ciberdelincuentes han estado utilizando servicios públicos en la nube
Los servicios públicos en la nube ofrecen ventajas como flexibilidad y rentabilidad, pero la actividad maliciosa, puede ser detectada por los proveedores del servicio, y en este caso, seguramente tomarán medidas para cortarle el rollo a los delincuentes.
Otros villanos combinan servidores centralizados con nodos P2P (también conocidos como nodos C2) para crear una arquitectura de red de comando y control más compleja y resistente.
En otro contexto, algunas VPN gratuitas pueden vender el ancho de banda de los dispositivos de sus usuarios para alimentar botnets.
Pero esa, es otra historia.