Todo lo que necesita saber sobre la botnet 3ve

Publicado: 2021-07-08

Los anunciantes modernos tienen que lidiar con mucho más que simplemente convertir prospectos, ya que el aumento de las botnets y el fraude de clics continúa afectando el éxito de las campañas publicitarias.

Las redes de bots son ahora responsables de una gran cantidad de estos clics fraudulentos. Y en los últimos años, la botnet 3ve fue una de las operaciones de botnet más sofisticadas jamás vistas.

Se ejecutó de 2013 a 2018 e infectó a más de 1,7 millones de PC en todo el mundo, causando estragos y costando millones a los anunciantes.

Pero, ¿cómo se convirtió en un dilema tan global? Estamos aquí para detallar su auge y caída, así como para resaltar los problemas que crean las botnets, con consejos sobre cómo proteger su negocio.

Cómo se descubrió 3ve

3ve mapa de calor

Pronunciada como eve, la botnet estuvo en funcionamiento de 2013 a 2018, pero solo fue descubierta en 2016 por HUMAN (antes White Ops), el especialista en ciberseguridad.

La firma colaboró ​​con Google y el FBI para derribar la red de fraudes, con contribuciones de organizaciones como Adobe, McAfee y Amazon.

3He utilizado paquetes de malware Boaxxe / Miuref y Kovter para infectar PC con correos electrónicos no deseados y archivos adjuntos de correo electrónico infectados.

Fue detectado por primera vez por HUMAN cuando la red Methbot estaba bajo investigación. Inicialmente, 3ve parecía ser una granja de bots estándar sin nada especial.

Pero en 2017 su actividad creció y estaba generando miles de millones de solicitudes de ofertas publicitarias diarias. Esto fue entre 3 y 12 mil millones todos los días.

El malware descubierto utilizó anti-forense, una táctica de evasión en la que el malware realiza un escaneo de los procesos, el hardware, el nombre de usuario y la dirección IP de una PC. Cualquier cosa que lo haga identificable.

Una vez solucionado ese problema, Google y HUMAN descubrieron gradualmente la escala completa de la operación 3ve. Como Google explicó en su documento técnico, la búsqueda de 3ve :

“Una forma de reducir las operaciones de los bots es poner en una lista negra todas sus direcciones IP conocidas. Sin embargo, debido a la agresividad de la operación, así como a su capacidad para adquirir rápidamente nuevas direcciones IP, nos dimos cuenta de que una lista negra solo interrumpiría temporalmente la actividad de 3ve. Para eliminarlo permanentemente, necesitábamos entender cómo estaba estructurado y organizado 3ve, teníamos que asegurarnos de que los operadores pensaran que estaban pasando desapercibidos para poder observarlos y aplicar nuestros aprendizajes a los esfuerzos de seguridad futuros, y necesitábamos ampliar nuestro esfuerzo. más allá de Google y [HUMAN] ".

Google comenzó a construir una infraestructura de socios para poner fin a 3ve. Pero mientras lo hacía, el gigante de las búsquedas tenía que asegurarse de que la botnet creía que aún no había sido detectada.

Lo que siguió fue una empresa gigantesca que involucró a organizaciones importantes, todas trabajando en conjunto para derribar posiblemente la botnet más sofisticada de la historia.

La operación 3ve

Operación 3ve

3ve funcionado de una manera interesante, utilizó sitios web falsos y de baja calidad que eran participantes de Google AdSense. Luego vendió tráfico premium falso a los anunciantes.

Podría falsificar con éxito los dominios de editores prestigiosos y de alto rango, sin que los anunciantes se dieran cuenta de que habían sido engañados.

La capacidad de 3ve para infectar a decenas de miles de PC le permitió crear una masa de clics ilegítimos en los anuncios, que es la forma en que la operación generó beneficios.

Como señaló Google en el documento técnico The Hunt for 3vE:

“Los operadores de 3ve tuvieron mucho cuidado al tratar de evitar que las redes publicitarias se dieran cuenta de su actividad ilícita. Esta es la razón por la que, por ejemplo, el malware de 3ve solo se ejecuta completamente en países donde es probable que los usuarios orgánicos de Internet naveguen por los mismos sitios premium que 3ve está falsificando, incluidos los EE. UU., Canadá y el Reino Unido. La población de víctimas de 3ve se muestra en la siguiente figura ".

Cuanto más exitoso resultó esto, más escala se volvió la operación.

Sus operadores también pudieron evadir constantemente la detección disfrazando los bots de 3ve. Por lo tanto, incluso después de que partes de su tráfico se incluyan en la lista negra, podrían volver a materializarse en otro lugar.

Los operadores de 3ve utilizaron varias tácticas para pasar desapercibidos. Incluyendo la evasión de etiquetas, imitando el comportamiento humano antes de hacer clic en los anuncios y regenerando rápidamente las direcciones IP residenciales.

En su apogeo, la botnet 3ve:

  • Se generaron más de 3000 millones de solicitudes de oferta diarias.
  • Comprometido 1 millón de direcciones IP
  • Infectado más de 700.000 PC
  • Más de 10.000 sitios web falsos

Cómo fue derribado 3ve

derribo del fbi

Google, HUMAN y el FBI se dieron cuenta de que la operación debía cerrarse definitivamente para que ya no siguiera evolucionando.

En total, 15 partes importantes de la industria trabajaron con Google, Human y el Centro de Quejas de Delitos en Internet del FBI para derribar la operación.

La lista de organizaciones que ayudaron a eliminar 3ve incluye:

  • Adobe
  • Mesa de comercio
  • Amazonas
  • Juramento
  • Malwarebytes
  • ESET
  • Proofpoint
  • Symantec
  • F-Secure
  • McAfee
  • Trend Micro
  • Departamento de Seguridad Nacional

Con un sistema de inteligencia colaborativa, el grupo de trabajo pasó meses observando a 3ve en acción para determinar cómo funcionaba.

Las organizaciones combinadas pudieron profundizar la investigación 3ve para mapear su infraestructura, estrategias de monetización y componentes principales.

Por ejemplo, McAfee y otros especialistas en antivirus trabajaron para comprender el malware con el que 3ve estaba infectando las PC.

Esto condujo a un desmontaje técnico coordinado de la infraestructura, lo que impidió que los operadores reconstruyeran 3ve.

En 18 horas, Google informaba que el tráfico de solicitudes de oferta de 3ve se acercaba al 0%.

Al final de la investigación, el Departamento de Justicia de Estados Unidos emitió 13 acusaciones contra 8 personas. 6 de estos estafadores son de Rusia, y los otros 2 de Kazajstán.

El comunicado de prensa del Departamento de Justicia de noviembre de 2018 Ocho acusados ​​acusados , reveló los nombres de las personas y declaró:

“También se revelaron hoy en la corte federal de Brooklyn las órdenes de incautación que autorizan al FBI a tomar el control de 31 dominios de Internet y las órdenes de registro que autorizan al FBI a tomar información de 89 servidores informáticos, que formaban parte de la infraestructura de las redes de bots dedicadas a la publicidad digital. actividad de fraude. El FBI, en colaboración con socios del sector privado, redirigió el tráfico de Internet que se dirigía a los dominios (una acción conocida como "hundimiento") para interrumpir y desmantelar estas redes de bots ".

Los cargos fueron por la pérdida de decenas de millones de dólares en fraude publicitario digital.

Los resultados de detener a 3ve ciertamente proporcionaron una llamada de atención para las industrias de la publicidad y la tecnología, destacando por qué es importante mantenerse proactivo en la batalla contra los estafadores en línea.

Proteja sus anuncios del próximo 3ve

Protégete a ti mismo

Desafortunadamente, aunque 3ve puede haber sido eliminado, todavía hay muchas otras botnets activas por ahí.

Y todos los anunciantes que publican anuncios de video, de display o de búsqueda pagados corren el riesgo de perder dinero debido a estos esquemas de fraude publicitario.

En 2019, Spamhaus (una organización de inteligencia de amenazas) publicó su Informe de amenazas de botnet. Sus hallazgos mostraron un aumento dramático en los nombres de dominio registrados para alojar botnets. El aumento fue un 100% superior a las estadísticas de 2017.

Y como reveló nuestro Informe Global de Fraude de Clics 2021 , las botnets siguen siendo la forma más dañina de fraude de clics.

Es un juego del gato y el ratón. Todo el tiempo se descubren nuevas botnets. Por ejemplo, en marzo de 2021, se desenterró una botnet específica de Windows y se descubrió que estaba aumentando de tamaño.

Llamado el malware Purple Fox , utiliza correos electrónicos de phishing y kits de explotación para infectar máquinas y se propaga rápidamente de una PC a otra. El malware se dirige a las computadoras Windows con acceso a Internet que usan contraseñas débiles.

Cuantos más anuncios publique en la Red de Display de Google, más sitios web se anuncian y cuanto más dinero gaste, mayor será la probabilidad de que sea víctima de fraude.

Los operadores de redes de bots están trabajando arduamente para que sus bots sean lo más indistinguibles del comportamiento humano como sea posible.

Eso hace que sea muy difícil incluso detectar actividades ilegítimas en sus campañas publicitarias, y mucho menos evitar que suceda.

Es importante estar alerta. Y para proteger sus campañas publicitarias y su negocio con los últimos datos disponibles. Eso puede darle una ventaja enorme para bloquear a los estafadores.

Lecciones aprendidas de 3ve

Lamentablemente, las botnets llegaron para quedarse, justo cuando 3 demostraron cuán sofisticadas se están volviendo las operaciones para evadir la detección.

Se necesitó toda una fuerza laboral de miles de personas de los principales actores globales para derribar la red. El poder combinado de Google, HUMAN, el FBI y muchos otros, para detener las acciones de propagación de malware de bots no humanos.

Las lecciones aprendidas de 3ve han ayudado en la lucha contra los defraudadores y seguramente ayudarán en futuras investigaciones.

Pero también puede proteger sus campañas publicitarias tomando medidas proactivas. Tenemos una lista de exclusión gratuita de más de 60.000 para aplicaciones, canales y sitios web que impiden que sus anuncios se muestren en sitios web sospechosos o de bajo rendimiento.

Agregue esto a su cuenta de Google Ads e inmediatamente excluirá a los estafadores y mejorará la calidad de su tráfico.

Eso ayuda a proteger la imagen de su marca, evitar sitios web irrelevantes, detener los clics ilegítimos y mejorar su ROI.

Descargue la lista de exclusión completa a continuación.

Descargar la lista de exclusión