El auge de la botnet de apuntar y hacer clic

En 2005, un grupo de piratas informáticos ruso conocido como UpLevel desarrolló Zeus, un programa de apuntar y hacer clic para crear y controlar una red de sistemas informáticos comprometidos, también conocida como botnet. Cinco años de desarrollo después, la última versión de este software, que se puede descargar de forma gratuita y requiere muy poca habilidad técnica para operar, es una de las plataformas de botnets más populares para spammers, estafadores y personas que se ocupan de información personal robada.





Agarrar dinero: El software Zeus crea un ladrón de contraseñas que apunta a las credenciales de inicio de sesión de Citibank, WebMoney y Wells Fargo, entre otras compañías financieras.

La semana pasada, la empresa de seguridad NetWitness , con sede en Herndon, VA, publicó un informe que destaca el tipo de estragos que puede causar el software. Documenta una botnet Zeus que controlaba casi 75.000 computadoras en más de 2.400 organizaciones, incluido el productor de medicamentos Merck, el fabricante de equipos de red Juniper Networks y el estudio de Hollywood Paramount Pictures. Durante cuatro semanas, el software se utilizó para robar más de 68.000 credenciales de inicio de sesión, incluidos miles de inicios de sesión en Facebook e inicios de sesión en correo electrónico de Yahoo.

Habían comprometido sistemas tanto dentro de las empresas como en las agencias gubernamentales, dice Alex Cox, analista principal de NetWitness.



Una encuesta realizada por otra empresa de seguridad con sede en Atlanta Damballa –En 2009, descubrió que los programas controlados por Zeus eran los segundos más comunes dentro de las redes corporativas. Damballa rastreó más de 200 botnets basadas en Zeus en las redes empresariales. La botnet individual más grande controlada mediante la plataforma Zeus estaba formada por 600.000 ordenadores comprometidos.

El software Zeus es menos importante por sus conquistas que por su alta estima entre los ciberdelincuentes. Zeus es increíblemente popular entre las personas que quieren jugar y comenzar su propia pequeña empresa, por así decirlo, dice Gunter Ollman, vicepresidente de investigación de Damballa.

Un grupo de cuatro o cinco desarrolladores comenzaron a trabajar en Zeus en 2005. Al año siguiente lanzaron la primera versión del programa, un troyano básico diseñado para esconderse en un sistema infectado y robar información. En 2007, el grupo presentó una versión más modular, que permitió a otros desarrolladores clandestinos crear complementos para agregar a su funcionalidad.



La última plataforma Zeus permite a los usuarios crear software malicioso personalizado para infectar sistemas de destino, administrar una red lejana de máquinas comprometidas y utilizar la botnet resultante para obtener ganancias ilegales. El kit de construcción contiene un programa para construir el software del bot y los scripts web para crear y alojar un servidor central de comando y control.

Los desarrolladores independientes han creado paquetes de exploits compatibles capaces de infectar los sistemas de las víctimas utilizando vulnerabilidades en el sistema operativo o el navegador. Otros desarrolladores se centran en crear software complementario para ayudar a los posibles ciberdelincuentes a ganar dinero con una botnet de Zeus. Algunos complementos se centran en ataques de phishing, por ejemplo, en la entrega de imágenes y páginas web necesarias para crear sitios bancarios fraudulentos. Otros complementos brindan a los operadores de bots las herramientas para crear campañas de spam. Existe toda una industria artesanal en torno a la creación de complementos para Zeus, dice Don Jackson, un investigador de seguridad con el Unidad de contraamenazas en SecureWorks, una empresa con sede en Atlanta.

La disponibilidad del código fuente de Zeus ha atraído a muchos desarrolladores, dice Jackson. Los malhechores en línea que buscan controlar su propia botnet comienzan con Zeus, porque es fácil de usar, dice, mientras que los complementos y extensiones satisfacen a los usuarios más sofisticados. Es muy fácil de usar desde el principio, dice Jackson. Pero cuando agrega la funcionalidad avanzada que cuesta miles de dólares, se convierte en una herramienta para operadores avanzados.



Incluso los kits básicos de Zeus incluyen técnicas de ofuscación para ayudar a escapar de la detección por parte del software antivirus y otras medidas de seguridad. En un experimento, el consultor Alex Heid de Information Security Services descubrió que solo aproximadamente la mitad del software antivirus detectaba una carga útil conocida de Zeus. Después de emplear algunas técnicas simples para enmascarar el código, la tasa de detección se redujo aún más, al 10 por ciento. Las tecnologías de ciberdelincuencia avanzan más rápido que las tecnologías de seguridad, dice Heid.

Una vez que Zeus ha comprometido un sistema, no le da al usuario ninguna señal de que está allí, según Jackson. ¿Cómo se ve Zeus cuando infecta su computadora? Bueno, mira fijamente tu computadora ahora, y eso es lo que parece, dice Jackson. Está diseñado para hacer su trabajo, hacerlo con éxito y hacerlo en silencio.

Si bien tanto Damballa como NetWitness venden tecnologías y servicios para detectar compromisos en las redes corporativas, no brindan software para los usuarios finales.



La mayoría de las empresas con las que trabajamos tienen una gran cantidad de usuarios, por lo que básicamente renuncian a defender sus computadoras, dice Ollmann. Usted hace el mejor intento con antivirus y firewalls, pero ellos aceptan que un porcentaje de sus sistemas se infectarán, por lo que se enfocan en detectar y reconstruir los sistemas (comprometidos) en lugar de defenderse de todas las amenazas.

Cox agrega que concentrarse en las comunicaciones entre los sistemas infectados y un servidor de comando y control suele ser la mejor manera de detectar infecciones. Comprender cómo se ve la normalidad en su red para que pueda identificar anomalías es lo que es realmente importante en el entorno de amenazas actual, dice. No confíe solo en sus controles de seguridad existentes y ponga los ojos en su red.

esconder