Cerrar Menú Blogs
Las opiniones de los blogueros son de su estricta responsabilidad y no representan la opinión de este portal.
Profile image

Ingresa o regístrate acá para seguir este blog.

Seguir este blog
@isitreallysafe

@isitreallysafe

En la tarde del pasado viernes (hora del este) fueron exitosamente ejecutadas dos operaciones lideradas por el FBI en contra de dos de los más perversos tipos de malware existentes en la actualidad: Gameover Zeus y Cryptolocker. Como resultado de estas operaciones, los delincuentes que controlaban estas dos botnets perdieron el control sobre ellas. Adicionalmente, el sector privado, que asistió al Bureau en la investigación y de forma operativa, está colaborando activamente en la mitigación de los daños que aún pueden sufrir los usuarios de las máquinas infectadas (ver acá alerta del US-CERT sobre mitigación del malware).

La conferencia de prensa acaba de tener lugar, posteriormente publicaré un análisis de la temporary restraining order (TRO – ¿Qué es una TRO?).

Pantallazo de cryptolocker

La industria de seguridad estima que actualmente existen entre 500.000 y un millón de dispositivos infectados con Gameover Zeus y las pérdidas ocasionadas a sus víctimas acumulan más de USD 103 millones. Cryptolocker, por su parte, ha infectado alrededor de 234.000 dispositivos y, solamente durante los primeros dos meses desde que inició su actividad, generó más de USD 27 millones de ingresos para sus operadores.

El Departamento de Justicia acaba de publicar esta información sobre las acciones tomadas en el caso y Europol, por su parte, publicó hace minutos este comunicado de prensa.

La acción legal del FBI se dirige en contra del ciudadano ruso Evgeniy Mikhailovich Bogachev, conocido como Slavik o Pollingsoon, y contra otras cuatro personas identificadas por sus respectivos alias. Mikhailovich fue incluido en la lista cyber de los más buscados por el FBI.

Bogachev, in FBI's cyber most wanted list

La siguiente es información de contexto sobre estas dos formas de malware:

El malware más avanzado que existe actualmente, y probablemente uno de los más perversos, es el llamado “Gameover Zeus”. Zeus es una familia de troyanos utilizados para robar información bancaria de sus víctimas, entre otras varias actividades maliciosas.

Zeus fue inicialmente detectado por la Counter Threat Unit (CTU) de Dell SecureWorks en 2007 cuando fue usado para dirigir un ataque en contra del Departamento de Transporte de los Estados Unidos. Posteriormente, el código fuente de la versión 2.0.8.9 del malware fue robada y distribuida en foros ilegales (este blog de Peter Kruse fue el primero a nivel mundial en reportar la noticia).

Gameover Zeus, arquitectura

Gameover Zeus, arquitectura. Fuente: FBI

La fuga del código fuente de Zeus dio lugar al surgimiento de dos nuevas botnets, Citadel y ICE IX, además de nuevas variantes que incorporaban un algoritmo de generación de dominios (domain generation algorythm o DGA) y la capacidad de comunicarse vía P2P, eliminando su single point of failure – que era debido a su previa dependencia a un único servidor de comando y control (C2) – y haciéndolas más robustas. Una de estas variantes enviaba una solicitud http post a su servidor de C2 incluyendo la palabra ‘gameover’, que terminó dándole el nombre.

Gameover Zeus fue detectado como el troyano bancario más activo en todo el mundo durante el año 2013 y hace sólo un par de meses sus creadores continuaron ampliando su mercado de víctimas al enfocarse en los usuarios del sitio monster.com vía ataques de inyección web.

Gameover Zeus, que utiliza infraestructura de la botnet Cutwail, además de los exploit kits Blackhole y Magnitude y el pony loader para su distribución, es a su vez usado para distribuir otra modalidad de malware, esta vez de la categoría denominada en inglés ransomware. Ransom quiere decir rescate y la razón por la que esta forma de malware recibió este nombre es porque, precisamente, lo que hace es secuestrar (vía encripción) los archivos más importantes para los usuarios de las máquinas infectadas (archivos que tengan las extensiones de Microsoft Office, Open Office y AutoCAD).

Una vez Cryptolocker encripta los archivos de sus víctimas, les informa que deben realizar un pago en las siguientes 72 horas si quieren recuperarlos. Los administradores del malware montaron toda una infraestructura de servicio al cliente buscando que al recibir el pago, los archivos fueran realmente desencriptados y que las quejas de las víctimas cuyos archivos no eran desencriptados tras realizar el pago, fueran atendidas.

Carlos S. Álvarez
blogladooscuro @ gmail.com
@isitreallysafe

(Visited 253 times, 1 visits today)
PERFIL
Profile image

    Sigue a este bloguero en sus redes sociales:

  • twitter

Más posts de este Blog

Ver más

Lo más leído en Blogs

1

Acabo de recetarle esta dosis de Metformina para adelgazar, a una(...)

2

Un médico logró combinar los remedios más conocidos para controlar el(...)

3

El primer día de tomar 15 mg de Acxion para adelgazar(...)

0 Comentarios
Ingresa aquí para que puedas comentar este post
Reglamento de comentarios

ETCE no se responsabiliza por el uso y tratamiento que los usuarios le den a la información publicada en este espacio de recomendaciones, pero aclara que busca ser la sombrilla de un espacio donde el equilibrio y la tolerancia sean el eje. En ese camino, disponemos de total libertad para eliminar los contenidos que:

  1. Promuevan mensajes tipo spam.
  2. El odio ante una persona o comunidad por su condición social, racial, sexual, religiosa o de situación de discapacidad.
  3. Muestren o impulsen comportamientos o lenguajes sexualmente explícitos, violentos o dañinos.
  4. Vulneren o atenten contra los derechos de los menores de edad.

Además, tenga en cuenta que:

  • - El usuario registrado solo podrá hacer un voto y veto por comentario.
Aceptar
¿Encontraste un error?

Para EL TIEMPO las observaciones sobre su contenido son importantes. Permítenos conocerlas para, si es el caso, tomar los correctivos necesarios, o darle trámite ante las instancias pertinentes dentro de EL TIEMPO Casa Editorial.


Debes escribir el comentario
¡Gracias! Tu comentario ha sido guardado
Tu calificación ha sido registrada
Tu participación ya fue registrada
Haz tu reporte
Cerrar
Debes escribir tu reporte
Tu reporte ha sido enviado con éxito
Debes ser usuario registrado para poder reportar este comentario. Cerrar