No-IP: millones de usuarios desconectados por operación anti-malware

La conexión remota a millones de servidores ha quedado inhabilitada para usuarios que hacen uso de No-IP. Este servicio, que ofrece DNS dinámicos para la resolución automática de direcciones IP, ha sido limitado por Microsoft, que se ha apoderado de 22 de sus dominios a través de una orden federal.

Según Microsoft, los 22 dominios de los que se ha apoderado, correspondientes a No-IP, estaban siendo utilizados para llevar a cabo ataques informáticos, así como distribución de malware, en contra de los usuarios de Windows. Por ello, o al menos así lo justifica la compañía de Redmond, han emitido una orden federal contra No-IP consiguiendo así el control de sus servidores. Todo ello, en base a las declaraciones de No-IP, para identificar y desviar estos ataques informáticos.

Medidas legales y técnicas de Microsoft

El 19 de junio Microsoft presentó una orden de restricción temporal a instancia ex parte (TRO) en la Corte de Distrito de EE.UU. para Nevada contra No-IP. El 26 de junio el tribunal accedió a nuestra petición y nombró a Microsoft la autoridad de DNS para los 23 dominios libres No-IP de la empresa, lo que nos permite identificar y enrutar todo el tráfico malo conocido al sumidero de Microsoft y clasificar las amenazas identificadas. La nueva información sobre amenazas se añadirá al Programa de Inteligencia de amenazas cibernéticas de Microsoft (CTIP) y se proporcionará a los Proveedores de servicios de Internet (ISP) y a los Equipos de Respuesta a Emergencias Comunitarias (CERTs) en todo el mundo para ayudar a reparar los daños causados por Bladabindi-Jenxcus y otros tipos de malware. La Unidad de delitos digitales de Microsoft trabajó en estrecha colaboración con el Centro de protección contra malware de Microsoft (Malware Protection Center) para identificar, realizar ingeniería inversa y desarrollar un remedio para las amenazas y limpiar los PCs infectados. También trabajamos con A10 Networks, aprovechando Microsoft Azure, para configurar un sistema sofisticado para manejar el alto volumen de conexiones de cómputo generadas por botnets, como Bladabindi-Jenxcus.

La investigación reveló que de todos los proveedores de DNS dinámico, los dominios de No-IP se utilizan el 93 por ciento de las veces para las infecciones Bladabindi-Jenxcus, que son las más frecuentes entre los 245 diferentes tipos de malware que actualmente explotan los dominios de No-IP. Microsoft ha visto más de 7.4 millones de detecciones Bladabindi-Jenxcus en los últimos 12 meses, lo que no da cuenta de las detecciones por parte de otros proveedores de antivirus.

Millones de usuarios sin acceso a la red

A pesar de los numerosos informes (reports) de la comunidad de seguridad sobre el abuso de dominios No-IP, la empresa no ha tomado medidas suficientes para corregir, remediar, prevenir o controlar el abuso o ayudar a mantener sus dominios a salvo de la actividad maliciosa.

Como consecuencia de esta “medida de seguridad” tomada por Microsoft, millones de usuarios se han quedado, por el momento, sin acceso a la red y sin posibilidad de acceder de forma remota a sus servidores. Con respecto a todo lo anterior, No-IP ya se ha pronunciado acusando directamente a Microsoft como culpable de estos resultados y, además, han señalado que la compañía de Redmond, a pesar de mantener una línea abierta de contacto con No-IP, ha tomado tales decisiones y las ha llevado a la práctica sin informar en ningún momento a No-IP.

Microsoft ya había avisado, ahora ha actuado

El pasado 19 de junio Microsoft movía cartas en este asunto por primera vez. En tal fecha, la compañía de Redmond emitió una queja señalando que 245 piezas de malware de distintos tipos estaban trabajando en contra de su sistema operativo Windows sobre sus dominios dinámicos gratuitos. Dada la falta de reacción por parte de No-IP, después de varias semanas Microsoft ha decidido actuar, aunque tomando esta iniciativa ha ocasionado “males mayores” a millones de usuarios que, como adelantábamos, no pueden acceder a la red ni utilizar sus servidores de forma remota. Por el momento, Microsoft no ha dado ninguna explicación a través de un comunicado oficial y, evidentemente, tampoco ha aclarado aún cuándo se solucionarán estos problemas ocasionados.

Listado de dominios afectados: