® 
Botnet
Definicion
Una botnet es una red de ordenadores infectados con malware controlados por un atacante. Se usan para ataques DDoS, envio de spam y robo de datos.
Una botnet es una red de ordenadores, servidores y dispositivos IoT infectados con malware controlados por un atacante (botherder). Las botnets se utilizan para ataques DDoS, envio de spam, criptomineria y robo de datos. La botnet Mirai demostro el poder devastador de las botnets IoT en 2016 con un ataque DDoS de 1,2 Tbps.
Como funciona una botnet?
Los dispositivos se convierten en parte de una botnet a traves de infecciones de malware: correos de phishing, descargas drive-by, vulnerabilidades sin parchear o contrasenas por defecto en dispositivos IoT. Tras la infeccion, el malware se conecta a un servidor de Comando y Control (C2). Las botnets modernas usan arquitectura peer-to-peer (P2P) para mayor resiliencia.
Tipos de botnets
Botnets DDoS abruman objetivos con trafico masivo. Botnets de spam distribuyen millones de correos diarios. Botnets de robo de credenciales recopilan datos de inicio de sesion. Botnets de criptomineria abusan de la capacidad de computo. Botnets conocidas incluyen Emotet, Mirai, TrickBot y Gameover Zeus.
Impacto para las organizaciones
Las organizaciones pueden ser tanto objetivo como participante involuntario de una botnet. NIS2 exige proteccion adecuada contra botnets.
Proteccion
Implemente segmentacion de red para limitar la propagacion lateral. Monitorice el trafico saliente en busca de comunicacion C2 mediante SIEM y NDR. Mantenga todos los sistemas y dispositivos IoT actualizados. Cambie las contrasenas por defecto. Utilice EDR para la deteccion de malware de botnet. Bloquee infraestructura C2 conocida mediante feeds de inteligencia de amenazas.
Como ayuda DEFION
DEFION detecta actividad de botnet a traves de Managed Threat Detection y monitoriza comunicaciones C2 como parte del servicio SOC 24/7. Las pruebas DDoS evaluan la resiliencia de la infraestructura.