También conocida como Tedroo o Reddyb, esta botnet utilizaba el mailing spam a través de productos farmacéuticos y réplicas de relojes para infectar a sus victima e incluirlas en su red. Las primeras noticias que se tienen de ella se remontan al año 2008. En el momento de su desarticulación, julio de 2012, Grum era considerada la tercera botnet más grande del mundo y representaba el 18% del spam mundo. Fue capaz de enviar 18.000 millones de mensajes de spam por día e infectar más de 180.000 equipos.
Para llevar a cabo sus operaciones la botnet utilizaba dos tipos de servidores de control.
- Servidores maestro: Estos servidores se encargaban de enviar el registro inicial y los archivos de configuración.
- Servidores secundarios: Estos servidores se encargaban de enviar toda la información relacionada con las operaciones de spam.
Debido a cuestiones legales, la mayoría de ciberdelincuentes alojan sus servidores en EEUU y Europa. En los últimos años, el endurecimiento de las leyes y el aumento de la persecución por parte de las instituciones públicas de este tipo de delitos han hecho que muchos de los delincuentes migren su infraestructura a otros países. Por esta razón los principales servidores CnC de Grum estaban alojados en países como como Panamá, Costa Rica, Países Bajos o Ucrania.
A continuación se muestra una captura de la interfaz PHP utilizada para controlar los servidores.
Los usuarios afectados por esta botnet comenzaron a recibir correos electrónicos de la dirección admin@microsoft.com con el asunto Internet Explorer 7 Downloads. Después de hacer clic en el enlace, al usuario se le muestra una presentación donde se le ofrece la posibilidad de descargar la última versión de Internet Explorer.
La descarga generaba un archivo llamado ie7.0.exe que tras ejecutarlo no realizaba ninguna acción aparente, esto provoco que muchos usuarios restaran importancia a la descarga.
La desarticulación de la botnet se llevó a cabo gracias a la colaboración de varias empresas de seguridad informática como FireEye, Spamhaus Project, el CERT de Rusia y algunos ISP’s holandeses. En julio de 2012 comenzaron las operaciones para cerrar la botnet. FireEye junto a un ISP holandés empezó a deshabilitar los servidores ubicados en Holanda para continuar con uno de los grandes centros de gestión de la botnet situado en Panamá. Estas acciones hicieron que los ciberdelincuentes intentaran migrar toda su infraestructura a Ucrania a través del ISP SteepHost pero la rápida intervención de las instituciones públicas contra el proveedor de servicios frenó el traspaso de infraestructura.
Una vez se desactivaron todos los servidores CnC, las maquinas zombis que quedaron, aproximadamente unas 20.000, no podían comunicarse con los servidores secundarios y esto provoco que las maquinas se quedaran huérfanas, dejando de recibir actualizaciones sobre las instrucciones de spam.
La botnet estuvo activa durante 4 años, en los cuales fue considera la responsable del envío del 30% del spam mundial. Este mismo año también tuvieron lugar otras operaciones similares. Microsoft consiguió desactivar las botnets Zeus y Kelihos, la primera en cooperación con el FBI y la segunda mediante una orden judicial que le permitió desconectar 21 direcciones de un dominio situado en la Republica Checa.
___________________________________
Recordaros que podéis seguirnos en nuestro Twitter, Instagram y Telegram.
Si te gusta la labor que realizamos a diario…
AUTOR
Técnico superior en administración de sistemas informáticos / Certificado Cisco CCNA / Auditor de seguridad informática /
