10/17/2007

¿Es la Russian Business Network el centro de operaciones mundial del malware ?


Brian Krebs publica una serie de interesantes artículos sobre la
Russian Business Network (más conocida como la RBN), una compañía que
supuestamente proporciona alojamiento e infraestructura web a la
creciente industria del malware, convirtiéndose así en una especie de
centro de operaciones mundial desde donde se descargan los troyanos y
hacia donde viaja la información robada.

La RBN se encuentra en St. Petersburg y proporciona alojamiento web. Su
actividad parece estar íntimamente relacionada con la industria del
malware, hasta el punto de que muchos han decidido bloquear
directamente toda conexión con direcciones pertenecientes a esta red. Y no sólo malware. Se dice que la mitad del phishing mundial está alojado
impunemente en alguno de sus servidores.

En los últimos años no es fácil encontrar un incidente criminal a gran
escala en la que no aparezcan por algún sitio las siglas RBN (o
"TooCoin" o "ValueDot", nombres anteriores con los que ha sido
conocida). En 2005 se estaba aprovechando de forma masiva una
vulnerabilidad en Internet Explorer para instalar un keylogger. Se
demostró que la mayoría de datos robados iban a parar a un servidor de
la RBN. Los servidores de la RBN estaban detrás del incidente contra la

HostGator en 2006. Aprovechando un fallo en Cpanel, consiguieron tener
acceso a cientos de webs de la compañía. En 2007, la empresa de posting

gratuito IPOWER también fue atacada y se instalaron en sus páginas
"frames" que de forma transparente redirigían a sitios en la RBN donde
se intentaban instalar troyanos. Malware como Gozi, Grab, Metaphisher,
Ordergun, Pinch, Rustock, Snatch, Torpig... todos se han servido de los

servidores de la RBN para "alojarse" o alojar datos. Los ejemplos son
muchos y variados. Mpack la herramienta usada en varios ataques masivos

durante 2007, es vendida desde uno de los servidores de la RBN.

Ante tanta evidencia, son muchos los administradores que han decidido
bloquear por completo el acceso a los servidores alojados en la RBN.
Pero no ha servido de mucho. Han aprendido a enrutar las conexiones a
través de otras webs comprometidas en Estados Unidos y Europa de forma
que, aunque sea dando un rodeo a través de otras IPs (habitualmente
usuarios residenciales troyanizados o webs atacadas), siguen operando
de forma normal.
Por ejemplo, en el reciente ataque al Banco de la India,
al seguir el rastro del malware que se intentaba instalar en los
sistemas Windows que visitaban la web, se observó que tras pasar la
información a través de varios servidores, finalmente acababa en un
servidor de la RBN.

Tras las acusaciones publicadas en el Washinton Post, un tal Tim Jaret
que decía pertenecer a la RBN lo negaba todo. Decía que no podía
entender por qué se le acusaba basándose en suposiciones. El tal Jaret
incluso se queja de que intentó colaborar con el grupo antispam
Spamhaus (que tiene continuamente bloqueadas nada menos que más de 2.000 direcciones IP de la RBN clasificadas como origen de correo basura) sin éxito.

En SANS Internet Storm Center tienen una clara opinión al respecto, no
van a tirar piedras sobre su tejado. Y es que según Verisign, la RBN
cobra hasta 600 dólares mensuales por un alojamiento "a prueba de
balas" lo que en este caso significa que no cederá a presiones legales ni será
cerrado por muy inapropiado o "infeccioso" que sea su contenido.
Aun así, el tal Jaret afirma que la RBN tiene el nivel de "criminalidad"
habitual en cualquier proveedor web, y que habitualmente cierra las
webs en menos de 24 horas, facilitando el trabajo a los profesionales de la
seguridad. Sin embargo, es posible que la única acción de la RBN cuando
recibe presiones para cerrar un sitio web, sea aumentar el "alquiler" a
los delincuentes que se basan en ella para operar.

Por último, se le pidió al tal Jaret que ofreciera nombres de usuarios
legítimos de sus redes, y contestó que razones legales se lo impedían.

La RBN (rusa, cómo la gran escuela creadora del malware 2.0) se ha
convertido así en cómplice y centro de operaciones web para la
industria del malware, que encuentra un aliado que sabe mantener la boca cerrada y las manos quietas si se le paga lo suficiente. Symantec lo llama "el
refugio para todo tipo de actividades ilegales en la Red".

Por si queda alguna duda sobre su intención de permanecer "anónimos",
basta con comprobar hacia qué IP apunta su dominio principal


Opina sobre esta noticia :



Más información:Mapping the Russian Business Network



Taking on the Russian Business Network



The Russian Business Network Responds



01/09/2007 El Banco de la India, foco (involuntario) de infección



Sergio de los Santos

No hay comentarios:

Links







Abrir en una nueva ventana

.

.

FIRMA