Una noticia acaparó la atención de los medios tecnológicos las últimas dos semanas. La cadena internacional de noticias BBC, a través de su programa BBC Click, realizó una tarea de investigación bastante particular respecto al cibercrimen.

Para probar y estudiar el escenario actual, los periodistas adquirieron una red Botnet con 21,696 equipos infectados. No trascendieron los detalles de la compra pero la empresa anunció que llegaron a la red a través de salas de chat.

En una segunda etapa se dedicaron a “probar” la red botnet: enviaron spam a cuentas de correo de su propio dominio y realizaron un ataque de denegación de servicio (DoS – Denial of Service) a un servidor de backup de una empresa de seguridad (con su concentimiento).

Posteriormente, trabajaron para informar a los usuarios. Desde el tablero de Comando y Control (C&C) modificaron el fondo de pantalla de todos los equipos colocando allí un logo de la BBC y un link a un sitio web que contenía detalles para el usuario respecto a lo sucedido, y un procedimiento para desinfectar el equipo.

Finalmente se dedicaron a la difusión del trabajo realizado, comenzando por una noticia publicada en el sitio de la BBC. Posteriormente, y durante los siguientes días, la cadena fue mostrando detalles de las tareas realizadas a través de una serie de artículos y videos en el sitio de BBC Click.

La investigación realizada demuestra los hechos que ya hemos tratado en ESET Latinoamérica:

• Las redes botnet son una de las principales recursos del cibercrimen en la actualidad.
• La principal barrera de prevención ante las botnets es contar con un antivirus con capacidades proactivas de detección. La infección de sistemas es el primer paso para armar redes botnet.
• Los creadores de estas redes persiguen un único y claro objetivo: ganar dinero. Una vez armadas las redes, se venden al mejor postor.
• Para adquirir una red botnet, controlar miles de equipos y realizar acciones maliciosas, no es necesario tener conocimientos avanzados de hacking. Solo es necesario contar con el dinero para comprar la red y hacer uso de ella.

Sebastián

Actualización: la serie de post continúa en El poder de las botnets II: el caso Matthew Bandy

Categories: Malware
3 Comments »

En los últimos días ha sido publicada, por innumerable cantidad de medios, la noticia de una nueva variante de Conficker, que se “activará el 1 de abril”. Hemos recibido gran cantidad de consultas de usuarios preocupados por lo que pudiera pasar a partir de ese día (curiosamente el día de los inocentes en Estados Unidos).

En primer término dejemos en claro qué ocurrirá ese día: una familia de variantes de Conficker, creadas en el mes de marzo, ha sido realizada con una modificación respecto a sus predecesoras. Las primeras variantes consultaban diariamente un listado de dominios en búsqueda de actualizaciones del malware desde el momento en que se alojaban en el sistema. En este caso, el malware comenzará a consultar dominios pseudo-aleatorios a partir del primer día del mes de abril (y el número de dominios a consultar será mayor).

Esta nueva variante es detectada proactivamente por ESET NOD32 como Win32/Conficker.X (dese diciembre de 2008), y a la fecha no ocupa siquiera el 2% de detecciones, según nuestro Servicio Estadístico de Alerta Temprana, ThreatSense.Net, en el mes de Marzo.

Es decir, que esta nueva variante no debería preocupar más que el resto de las versiones de Conficker, que es encontrada en mayor proporción (aún ocupando los primeros lugares de detección a nivel mundial) y que todos los días están buscando actualizaciones.

Incluso esta nueva variante explota únicamente la vulnerabilidad en productos Microsoft, como lo hacía Conficker.A, sin explotar otras técnicas como la utilización del archivo autorun en dispositivos USB o la propagación por recursos compartidos con contraseñas débiles. Es decir que esta “nueva” variante podría ser más peligrosa  como no, ya que no se sabe que funciones puede incorporar.

Es igualmente probable que variantes anteriores actualicen hoy, como que esta nueva lo haga el primero de abril, como que esto ocurra el 10 de abril o cualquier otra fecha. Cualquiera de estas situaciones es posible. La realidad indica que más allá de cualquier noticia oportunista, Conficker continúa infectando equipos y sigue siendo una amenaza latente para los usuarios.

Por lo tanto, recuerden las medidas de seguridad para estar protegidos:

• Tener actualizados todos los sistemas Windows en la red, específicamente la actualización crítica MS08-067 .
• Deshabilitar la ejecución automática de dispositivos USB, para evitar la infección a través del archivo autorun.
• Proteger los recursos compartidos en red con contraseñas fuertes, para evitar la propagación por este medio.
• Tener instalada una solución antivirus con capacidades proactivas de detección ante amenazas nuevas y desconocidas.

Sebastián

Categories: Alertas, Malware
7 Comments »

Una de las recomendaciones más habituales por parte de nuestros especialistas es no descargar programas desde sitios web que no sean los oficiales y, aunque parezca una cuestión trivial, constituye un problema importante debido a la masificación de sitios maliciosos que intentan día a día infectar los equipos manipulando (Ingeniería Social) las debilidades del factor humano (usuarios).

Muchos son los ejemplos que hemos señalado a lo largo de la existencia de este Blog, y muchos son los que hemos detectado desde nuestro Laboratorio de Latinoamérica; sin embargo, solemos encontrar a diario algunos de estos sitios maliciosos particularmente creados para la propagación de malware por intermedio de alguna estrategia de engaño:

En este ejemplo, no tan diferente a otros tantos, la página simula ser para la descarga de diferentes programas de seguridad, y la estrategia de engaño consiste en la descarga de supuestas alternativas para poder “registrar” el programa sin poseer una Licencia:

La cuestión es que, desde cada una de las “alternativas”, el usuario descarga un malware que ESET NOD32 detecta bajo el nombre de Win32/Agent.XXX, (donde XXX es una variante distinta cada vez) un troyano diseñado para, una vez lograda la infección, descargar otros códigos maliciosos.

Este tipo de engaños, como lo dije en un principio, son muy habituales en la actualidad, por lo que no nos cansaremos de recomendar la descarga de programas desde los sitios oficiales de los productos y, si por algún motivo no lo desean, antes de ejecutar lo descargado, someter el archivo al análisis de ESET Online Scanner para evitar ser víctimas de los engaños.

Jorge

Categories: Alertas, Ingeniería Social, Malware
No Comments »

Los signos de admiración en el título no son un error de gramática, sino que refieren al ideario común respecto al malware: ¿puede infectarse un router? ¿puede infectarse un módem? ¿puede infectarse un GNU/Linux?

La respuesta a todas estas preguntas es sí, y esto ha quedado demostrado con un nuevo gusano que se ha propagado recientemente y ha estado realizando, entre otras cosas, ataques de denegación de servicio.

Este gusano del tipo botnet, ha sido descubierto por la empresa DroneBL, analizando un ataque de denegación de servicio que recibieron hace unas semanas. Finalmente, detectaron que este procedía de una botnet, que ha sido denominada psyb0t (el troyano es detectado por ESET NOD32 como Linux/PsyBot.A) y que se estima que cuenta con más de 100.000 dispositivos infectados con una particularidad: estos no son computadoras de escritorio o servidores sino  routers y modems ADSL con sistema operativo Linux. Esta es la primera vez que se observa un ataque exitoso utilizando la infección en este tipo de dispositivos.

¿Por qué es útil esta técnica a los atacantes? Son varias las razones para crear malware de este tipo. En primer término, porque el número de posibles víctimas es elevado, estando en aumento constante. Además, porque su detección y desinfección son extremadamente complicadas: pocos usuarios poseen medidas de control y seguridad en sus routers de conexión a Internet. Por último, la utilización de los equipos que forman una red botnet está limitada, obviamente, a aquellos equipos que estén encendidos. En este caso, los routers suelen estar prendidos, a diferencia de una computadora, las 24 horas del día, todos los días de la semana.

En el caso particular de psyb0t, el gusano se propaga a través de los servicios ssh, telnet y http (puertos 22,23 y 80 respectivamente), realizando ataques de explotación o de fuerza bruta ante contraseñas débiles en los usuarios administradores de los dispositivos. Una vez que se accede al equipo, se descarga el archivo malicioso y se ejecutan reglas de firewall para cerrar el acceso de administración al dispositivo. Desde ese momento, la botnet puede ser controlada remotamente a través de comandos IRC. Hasta el momento, se ha detectado su uso para ataques de denegación de servicio y robo de contraseñas (monitoreando el tráfico en el equipo), aunque la botnet puede ser utilizada, a futuro, para nuevos fines.

Tampoco deberían descartarse nuevas variantes del gusano que afecten otros sistemas Linux, incluso servidores.

Por el momento, se recomienda mantener todos los dispositivos protegidos por contraseñas fuertes para evitar la infección, y mantener abiertos solo los puertos administrativos que sean necesarios.

Aunque este es el primer caso, estamos hablando de un ataque que será tendencia, dadas las ventajas que presentan para los atacantes y creadores de malware.

Sebastián

Categories: Alertas, Malware
8 Comments »

Durante la semana pasada, he tenido el placer de pisar hermosas tierras centroamericanas, llevando nuevamente nuestra participación a diferentes eventos muy importantes que anualmente se realizan como el Technology Day en Panamá y EXPONET en Guatemala, siempre con el ánimo de transmitir nuestra filosofía educativa.

Los asistentes de estos dos importantes eventos presenciaron nuestras charlas sobre El rol de la Educación en Seguridad y CTO en Seguridad Antimalware. Además esta visita sirvió para brindar todo nuestro apoyo a los Distribuidores Oficiales a través de la prensa y charlas de concientización a sus asociados y Partners.

Asimismo, no dejamos a un costado las charlas que forman parte de nuestras giras habituales, y que muchos de ustedes habrán presenciado en más de una oportunidad, sobre Seguridad Antivirus en Internet y, entre otras, dictamos el seminario en la Universidad Mariano Gálvez y la Universidad de San Carlos, ambas de Guatemala.

Les dejo una foto para que puedan apreciar la cantidad de personas que se suman cada vez más en cada una de nuestras presentaciones aportando de manera positiva lo que todo expositor espera: atención y recepción del mensaje que se transmite.

Mis agradecimientos al público que día a día confía en nuestra seguridad eligiendo ESET NOD32 Antivirus, y a nuestros queridos anfitriones que nos tratan de lo mejor cada vez que pisamos sus hermosas tierras.

Jorge

Categories: Curiosidades, Malware
6 Comments »