Los cibercriminales hoy crean y utilizan redes bot para perpetrar sus actividades maliciosas. Tanto utilizando kits de spam con exploits blackhole asociados, o puntos de entrada en las organizaciones, la constante común de todos los bots es que los sistemas víctima se comunican con servidores de comando y control (servidores C&C), que lideran y dirigen la red. Las comunicaciones entre la víctima y el servidor son llevadas a cabo puntualmente en momentos en los que el usuario puede que no se percate de esto, pareciendo, así, que el PC del usuario está protegido.
Trend Micro publica un nuevo mapa global que muestra servidores activos C&C. En el mapa estos C&C están representados por puntos rojos; y los propios bots (sistemas víctima), marcados con puntos azules. Así, Trend Micro muestra cómo se encuentran repartidas estas redes alrededor del mundo. Si se utiliza en su consulta como navegador Chrome o Firefox, se puede apreciar que algunos puntos irradian, mostrando cómo esa red se extiende. Todos los usuarios pueden pasar el ratón sobre estos puntos y verán que aparece un pop-up con un mensaje que muestra la localización del servidor, dónde fue observado por primera vez, los países más afectados y el número total de víctimas que hemos encontrado asociados con dicho servidor. Al observar estos datos se aprecia que, en la mayoría de los casos, los puntos representan más de una víctima.
Trend Micro utiliza esta inteligencia global frente a amenazas, derivada de Smart Protection Network, y disponible 24×7, para proteger a todos sus clientes. La dirección IP/Dominio de los servidores C&C está incluida en nuestras bases de datos de reputación Web/Dominio/IP para bloquear el acceso de los usuarios a dichos servidores. Esto se manifiesta bloqueando nuevo malware que intenta ser descargado desde el servidor, o bien bloqueando una carga de información robada desde un sistema infectado al servidor C&C.
Trend Micro descarga todas las muestras de malware desde estos servidores de C&C y añade firmas y reglas heurísticas en su base de datos de reputación de ficheros para asegurarse de que sus usuarios detectan cualquiera de los ficheros que pudieran ser descargados. El tráfico de red es analizado y añadido a la solución Trend Micro Deep Discovery para detectar cualquier comunicación desde tus sistemas a los servidores C&C (IP y datos de registro en el dominio). De este modo, es posible monitorizar otros sistemas que pueden llegar a estar online en el futuro.
