¿Qué es un "servidor de comando y control" para malware?

BeeBright / Shutterstock.com

Ya se trate de violaciones de datos de Facebook o ataques de ransomware global, el ciberdelito es un gran problema. Los atacantes utilizan cada vez más el malware y el ransomware para explotar las máquinas de las personas sin su conocimiento por diversas razones.

¿Qué es mando y control?

Un método popular utilizado por los atacantes para distribuir y controlar el malware es "comando y control", también llamado C2 o C&C. Este es el momento en que los atacantes utilizan un servidor central para distribuir de forma encubierta malware a las máquinas de las personas, ejecutar comandos para el programa malicioso y tomar el control de un dispositivo.

C&C es un método de ataque particularmente insidioso porque una sola computadora infectada puede destruir una red completa. Una vez que el malware se ejecuta en una máquina, el servidor de C&C puede ordenar que se duplique y se propague, lo que puede suceder fácilmente, porque ya ha eliminado el firewall de la red.

Una vez que la red está infectada, un atacante puede apagarla o cifrar los dispositivos infectados para bloquear a los usuarios. Los ataques de ransomware WannaCry en 2017 hicieron exactamente eso al infectar las computadoras de instituciones críticas como hospitales, bloquearlas y exigir un rescate en bitcoin.

¿Cómo funciona C&C?

Los ataques de C&C comienzan con la infección inicial, que puede ocurrir a través de canales como:

  • Correos electrónicos de suplantación de identidad con enlaces a sitios web maliciosos o que contienen archivos adjuntos cargados con malware.
  • vulnerabilidades en algunos complementos del navegador.
  • descargar software infectado que parezca legítimo.

El malware se cuela más allá del firewall como algo que parece benigno, como una actualización de software aparentemente legítima, un correo electrónico que suena urgente que le informa que hay una brecha de seguridad o un archivo adjunto inofensivo.

Una vez que un dispositivo está infectado, envía una señal al servidor host. El atacante puede entonces tomar el control del dispositivo infectado de la misma manera que el personal de soporte técnico puede tomar el control de la computadora al solucionar un problema. La computadora se convierte en un "bot" o un "zombi" bajo el control del atacante.

La máquina infectada luego recluta otras máquinas (en la misma red o con las que puede comunicarse) infectándolas. Eventualmente, estas máquinas forman una red o "botnet" controlada por el atacante.

Este tipo de ataque puede ser particularmente dañino en un entorno empresarial. Los sistemas de infraestructura, como las bases de datos de hospitales o las comunicaciones de respuesta a emergencias, pueden verse comprometidos. Si se piratea una base de datos, se pueden robar grandes volúmenes de datos confidenciales. Algunos de estos ataques están diseñados para ejecutarse en segundo plano para siempre, como en el caso de las computadoras secuestradas para extraer criptomonedas sin el conocimiento del usuario.

Instalaciones de C&C

Hoy en día, el servidor principal suele estar alojado en la nube, pero anteriormente era un servidor físico bajo el control directo del atacante. Los atacantes pueden estructurar sus servidores C&C de acuerdo con algunas estructuras o topologías diferentes:

  • Topología en estrella: los bots se organizan alrededor de un servidor central.
  • Topología de varios servidores: se utilizan varios servidores C&C para la redundancia.
  • Topología jerárquica: varios servidores C&C están organizados en una jerarquía de grupos de varios niveles.
  • Topología aleatoria: las computadoras infectadas se comunican como una botnet de igual a igual (botnet P2P).

Los atacantes utilizaron el protocolo Internet Relay Chat (IRC) para ciberataques anteriores, por lo que hoy en día es ampliamente reconocido y protegido. C&C es una forma para que los atacantes eludan las protecciones contra amenazas cibernéticas basadas en IRC.

Desde 2017, los piratas informáticos han utilizado aplicaciones como Telegram como centros de comando y control de malware. Un programa llamado ToxicEye, que es capaz de robar datos y registrar personas sin su conocimiento a través de sus computadoras, fue encontrado en 130 instancias solo este año.

Qué pueden hacer los atacantes una vez que tienen el control

Una vez que un atacante tiene el control de una red o incluso de una sola máquina dentro de esa red, puede:

  • robar datos transfiriendo o copiando documentos e información a su servidor.
  • forzar el apagado o reinicio constante de una o más máquinas, interrumpiendo las operaciones.
  • realizar ataques de denegación de servicio distribuido (DDoS).

Cómo protegerse

Como ocurre con la mayoría de los ciberataques, la protección contra los ataques de C&C se reduce a una combinación de un buen software de seguridad e higiene digital. Debería:

La mayoría de los ataques cibernéticos requieren que el usuario haga algo para activar un programa malicioso, como hacer clic en un enlace o abrir un archivo adjunto. Abordar cualquier correspondencia digital con esta posibilidad en mente lo mantendrá más seguro en línea.

RELACIONADOS: ¿Cuál es el mejor antivirus para Windows 10? (¿Windows Defender es lo suficientemente bueno?)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir