Zeus es una familia de malware que se encuentra con frecuencia debido
a su popularidad entre los grupos cibercriminales.
Desde que el código fuente
de Zeus se filtró en 2011, ha habido muchas nuevas variantes. Una de éstas,
bautizada 'GameOver', recientemente ocupó los titulares de los medios, luego de
que su infraestructura fuera descubierta por las autoridades.
Websense® ThreatSeeker® Intelligence Cloud supervisa activamente este
tipo específico de amenaza. A continuación, ilustramos algunos indicadores
clave sobre Zeus GameOver.
Existe una diferencia importante entre GameOver y otras variantes de
Zeus. En un malware típico Zeus (Zbot), se utiliza un punto central de Comando
y Control (C&C) para enviar datos y recibir comandos. Sin embargo, en
GameOver la infraestructura es descentralizada y utiliza en su lugar tecnología
peer-to-peer (P2P), por sus capacidades de C&C.
Este cambio en la
infraestructura de C&C se ha convertido en un gran desafío para la
industria de la seguridad, debido a que no hay ningún punto único de fallo, tal
como la capacidad de acabar con un sólo comando y nodo de control. Websense® ThreatSeeker® Intelligence Cloud es consciente de esta red y actúa contra
ella en la mayoría de las 7 etapas de la cadena de ataque.
Es muy importante tener en
cuenta que Zeus GameOver no se envía directamente a una víctima potencial. En
lugar de ello, está implicado un descargador en la infección inicial, tal como Pony Loader y más recientemente, Upatre.
Históricamente, los vectores de ataque han sido en su mayoría correos
electrónicos, por lo general enviados desde botnet spam Cutwail.
En el pasado, una mezcla de
archivos adjuntos directos así como direcciones URL para kits de explotación que
se descargaban en la computadora de la víctima. Más recientemente, con Upatre
ganando impulso debido a su habilidad para evadir la detección antivirus, la
atención se ha centrado sobre todo en los archivos adjuntos.
Sin embargo, en
las últimas semanas hemos visto señuelos de correo electrónico que contienen
direcciones URL utilizando sitios como Dropbox para servir archivos Zip que contienen
Upatre.
Lo que es particularmente desagradable acerca de Upatre es que descarga
Zeus GameOver de forma encriptada con el fin de evitar los firewall y otros
tipos de detecciones del sistema que previenen intrusiones. Otro problema, es
que a veces viene con el troyano rootkit Necrus, lo que ayuda a que la
infección sea persistente.
En los últimos dos meses hemos
visto un aumento en la actividad de las descargas de malware a través de
GameOver Upatre, siendo particularmente activa la última semana. La siguiente
tabla muestra a los 10 principales países afectados por Zeus GameOver. Si bien
Estados Unidos ha sido el país más atacado de esta campaña, la amenaza tiene
ahora un alcance global más amplio:
|
Estados
Unidos
|
|
97.587%
|
|
Reino
Unido
|
|
13.505%
|
|
Italia
|
|
9.960%
|
|
Malasia
|
|
6.086%
|
|
Canadá
|
|
5.173%
|
|
México
|
|
3.054%
|
|
Jordania
|
|
2.619%
|
|
Turquía
|
|
2.615%
|
|
Costa
Rica
|
|
2.168%
|
|
Nueva
Caledonia
|
|
2.137%
|
El siguiente video muestra cómo ha actuado la variable dominante de
GameOver durante los meses de abril y mayo de este año: https://www.youtube.com/watch?v=EJeK8MRgWdM
Curiosamente, el principal
objetivo de las campañas Zeus GameOver ha sido la industria financiera, con una
tendencia hacia las víctimas en empresas del sector de gestión de pensiones de
la industria financiera.
|
Gestión
de Pensiones
|
|
72.072%
|
|
Educación
|
|
55.193%
|
|
Servicios
|
|
15.072%
|
|
Manufactura
|
|
13.431%
|
|
Finanzas,
Seguros y Bienes Raíces
|
|
11.803%
|
“Es hora de actuar.
Hay una pequeña ventana aprovechada por Zeus GameOver para tomar control de la
infraestructura. Este es el momento para que las personas ejecuten tecnologías para
detener las amenazas.
Las empresas también deben revisar sus cuadros de mando
de amenaza e indicadores de compromiso. Debido a que estamos monitoreando esta
actividad en tiempo real, hemos encontrado que los autores de malware son
dinámicos al utilizar Zeus y siempre están buscando nuevas oportunidades para
construir sus robots maliciosos.
“Si su empresa
está infectada, es necesario que haga su mejor esfuerzo para remediar cuanto
antes esta situación, ya que los criminales cibernéticos harán todo lo posible
para recuperar el control de su botnet.
Lo que posiblemente puede ser un
obstáculo menor para los autores de malware, podría ser un tiempo muy valioso para
que usted tome medidas. Aunque ésta no será la última variante que veremos,
siempre es mejor prevenir que curar.
Las empresas infectadas deben aprovechar
la oportunidad para asegurar que tienen la solución adecuada que detenga la
infección antes de que tenga la oportunidad de escalar”, dijo Carl Leonard,
investigador de seguridad de Websense.
Para obtener más
información, visite el blog Websense Security Labs Blog en: http://community.websense.com/blogs/securitylabs/archive/2014/06/03/zeus-gameover.aspx
0 comentarios:
Publicar un comentario