Los laboratorios McAfee Labs de Intel Security han desempeñado un papel destacado en la Operación Fuente, una colaboración global que desmanteló con éxito la Botnet Polymorphic, conocida como Beebone. Al difundir el gusano downloader conocido como W32 / Gusano-AAEH, Beebone facilitó la descarga de una gran variedad de malware, como ladrones de banca ZBot, contraseñas, Necurs y rootkits ZeroAccess, Spambots Cutwail, antivirus falso y ransomware. W32 / Gusano-AAEH incluye funcionalidades de gusano para propagarse rápidamente por las nuevas máquinas, y contiene una rutina de actualización cíclica para reemplazarlos por las versiones más recientes para aumentar la probabilidad de permanecer sin ser detectados por el software anti-virus.
En uno de sus picos de funcionamiento en septiembre de 2014, más de 100.000 infecciones de la botnet Beebone fueron detectados por el equipo de McAfee Labs. En la última grabación de las tasas de infección, en marzo de este año 2015, McAfee Labs ha detectado 12.000 infecciones en vivo. Esta cifra incluye sólo la telemetría de Intel Security, asi que probablemente sea mucho mayor..
La operación ha sido liderada por el Comité Mixto de Cyber Acción Taskforce (J-CAT), ubicado en la sede de Europol, una cooperación entre EC3, la mayoría de los Estados miembros de la UE y socios de todo el mundo. Combinando los recursos, el J-CAT es una plataforma multilateral eficaz en la lucha contra la ciberdelincuencia. El J-CAT trabaja en conjunto con entidades públicas y privadas y la academia en un nivel muy operativo, con el fin de identificar y mitigar las amenazas cibernéticas más grandes de todo el mundo, y detener a las personas responsables de las mismas.
El derribo de AAEH es el resultado de una estrecha colaboración entre un J-CAT-operación dirigida por holandeses e Intel Seguridad y otros socios operativos. Combinando técnicas de investigación y técnicas, así como el intercambio de información y experiencias, llevado a la reciente destrucción de la botnet.
Por supuesto el desmantelamiento de la infraestructura de comunicaciones es sólo una parte de la respuesta, con la rehabilitación de los sistemas infectados como un paso crítico en el desmantelamiento de una red de bots. Esto es particularmente más difícil con los pasos evasivos tomados por el botnet con respecto a la limpieza. No sólo nos enfrentamos a múltiples DGA (algoritmo de generación de dominio), sino también a la red de bots que bloquea activamente conexiones a sitios web proveedores de antivirus (incluido el nuestro).
