La botnet que llegaba a afectar a unos cuatro millones de equipos tenia inicio en Estonia e infectaba a usuarios de Internet a través de un malware. El modus operandi de la red era modificando los DNS, alterando los accesos y de esta manera tomar el control de las cuentas de cada visitante. Según la investigación realizada luego del desmantelamiento, los daños ascienden a los 14 millones de dólares.

El punto de control de los ciber-delincuentes estaba en Estonia, donde se realizaron los allanamientos y se arrestó a un total de 6 personas. Estos hackers deberán esperar a ver si son extraditados para ser juzgados en un tribunal de Estados Unidos.

La botnet y el mega-operativo en números:

♦ 500.000 ordenadores afectados solamente en EEUU

♦ Del material allanado se encontró distintos equipos privados afectados, incluyendo gobiernos, agencias de seguridad y la misma NASA

♦ Hasta el momento el caudal de dinero obtenido por los hackers es de U$S 14 millones

Primero debemos recordar que era el malware Stuxnet. Fue el primer gran virus que estuvo orientado a realizar ataques a gran escala contra fábricas o grandes industrias, y se lo recuerda principalmente por atacar la planta nuclear de Irán. En ese ataque logró involucrarse en todos los ordenadores de la central atómica y controlar los procesos de producción. El mismo causo una gran alerta, ya que podría ser utilizado con fines destructivos.

Luego de que pasase un año de la aparición de Stuxnet, se suma un nuevo gusano con los mismos patrones de ataque: Duqu. Y no ha dado puntada sin hilo, ya ha atacado a grandes sistemas y complejas infraestructuras en Europa.

Al ser detectado por firmas de seguridad, encontraron la semejanza con el popular gusano, ya que tiene fragmentos de códigos idénticos. El modus operandi de Duqu es enmascararse tras un código verdadero de certificados digitales (de los cuales tanto hemos hablado).

Gusano Duqu

Diferencias y Semejanzas: Duqu no es un gusano del todo, ya que a diferencia de su antecesor no busca replicarse y es más liviano. La característica principal que lo hace menos dañino es que no posee las líneas de destrucción de hardware como Stuxnet. Symantec se animo a decir que Duqu es solo el comienzo de una operación de rastreo industrial mucho mayor. Algo así como un iceberg que aun no ha demostrado todo su cuerpo.

Estaremos atentos a ver como se desempeña esta noticia a lo largo de las redes y que conflicto en los ordenadores causa el malware.

Si bien la mayoría de antivirus hace tiempo que vienen detectando y bloqueando este tipo de malware, este movimiento por parte de Microsoft ayudará a eliminar uno de los códigos maliciosos más extendidos de los últimos tiempos: SpyEye, un malware que transforma a los ordenadores que infecta en parte de una botnet, y que los mantiene a la espera de recibir órdenes de sus centros de comando y control.

La cantidad de usuarios que forman parte de este tipo de redes varía diariamente, notándose un fuerte descenso cuando se realiza alguna operación que logra desactivar alguno o varios de los centros de control. No obstante, el código de este malware, la manera de gestionar su propagación y los ordenadores infectados se encuentran disponibles por precios muy accesibles, por lo que los ciberdelincuentes siguen usándolo como una de sus armas principales.

La inclusión de la familia de malware SpyEye, junto con la familia de backdoors Poison, en la última actualización de MSRT, denota una apuesta firme por parte de Microsoft para acabar con este tipo de malware, que alcanza ahora la cifra de 165 familias de malware detectadas.

Fuente: ESET

El gusano en cuestión ha sido bautizado Morto, y una vez infectado el ordenador buscará otras maquinas que tengan la opción activa en la red desde el puerto mencionado. En caso de detectar victimas en las redes intentará acceder mediante un rootkit de contraseñas almacenadas para destrabar los privilegios, así ingresará como Administrador.

La infección guarda sus componentes y dos ficheros más: ntshrui.dll y cache.txt (el primero en la carpeta temp y el segundo en offline web page).

Hay que tener cuidado, ya que Morto se encarga de utilizar cada PC como botnet para realizar ataques DDoS, y en varios casos eliminar los procesos de aplicaciones de seguridad informática.

Recomendaciones: ACTUALIZAR EL ANTIVIRUS y desactivar el servicio RDP (Escritorio Remoto) en caso de que no sea usado.

Al parecer Microsoft aun no está conforme con el finiquito de la botnet. Ha decidido buscar y juzgar a los responsables de semejante crimen digital. Por ello ha hecho saber a través de sus abogados de la Unidad de Crímenes Digitales, que entregará un cuarto de millón de dólares a aquellos que brinden información segura para atrapar a los encargados de controlar la red.

El objetivo principal del gigante informático es dar con los responsables, detener las amenazas aun latentes en algunos ordenadores infectados y brindar seguridad a todos sus usuarios.

Recordemos que la botnet aprovechó un agujero de seguridad de Windows.

Lamentablemente no podemos hablar de que ha salido el sistema operativo invulnerable. Todo lo contrario, los criminales cibernéticos se esmeraron para hacer daño y al parecer lo han conseguido, afirmando que se ha creado una infección imposible de eliminar: el virus TDL-4. Aunque rápidamente las empresas de seguridad han salido a contradecir semejantes dichos.

Según ha trascendido, el desarrollo del virus fue elaborado al combinar distintos fragmentos de código de poderosos gusanos, spyware y malware. En algunas partes del TDL-4 se incluyen líneas del gusano Stuxnet, el mismo que en el año 2010 dejó sin servicio a una planta nuclear de Irán.

Además del poderoso sistema de programación con el que cuenta la infección, se cree que los delincuentes han gastado casi un cuarto de millón de dólares. Este dinero habría sido utilizado en la creación de una red de ordenadores para propagarlo.

Esta nueva amenaza se transmite por medio de páginas con contenido erótico, descargas ilegales o sitios de transferencia de ficheros (P2P). Se instala en el arranque del sistema operativo (el sector 0), por lo que se prioriza este proceso ante otros. Una vez que ha comenzado la infección es imposible detenerla, el ordenador pasa a ser esclavo de la importante red de computadoras infiltradas. Además, envía corres basura automáticamente desde tu cuenta de correo, instala virus de menor nivel y programas fantasmas.

Actualmente, aparentemente ningún Antivirus es capaz de remover este inconveniente, el cual ya ha arrastrado a mas de 5 millones de usuarios en el mundo. Esperamos pronto tener una solución y volver a navegar seguros.

Rustock despertó el interés de Microsoft al hacer envío de correos engañosos para estafar a miles de usuarios haciéndose pasar por la reconocida firma de Redmond. Por lo tanto, el grupo de expertos solicitó una orden a la corte estadounidense para proceder a desconectar los servidores de comando de la red y dejarla obsoleta.

Claro está que durante el proceso de investigación, Microsoft ha logrado reunir la información necesaria para poder rastrear a los creadores de Rustock y demandarlos correspondientemente al hacer abuso de una marca registrada.

Siendo el responsable, nada más y nada menos, que del 35% del spam que circula la Web a diario, Nikolaenko ha captado la atención del FBI, entidad que ya logró reunir las pruebas suficientes como para acusarlo por violar las leyes norteamericanas contra el fraude.

Dentro de los contenidos enviados masivamente por medio de Mega-D, se pueden encontrar mensajes relaciones a medicinas, relojes y toda clase de productos falsos. Pese a que la firma de seguridad FireEye ya había logrado detectar y frenar el funcionamiento de esta botnet el año pasado, todo indica que la guerra seguirá vigente.

La noticia tuvo lugar nada más y nada menos que en el blog de Brian Krebs, el creador de SpyEye y competidor directo de Zeus durante años. En el post, Krebs anuncia que se le ha entregado en forma gratuita el código original de Zeus y que a partir de ahora estará a cargo del proyecto.

También anunció que “Slavik”, reconocido desarrollador de la famosa botnet, no sólo se desvinculará completamente del negocio en línea sino que tampoco continuará danto soporte a los clientes que hayan comprado el paquete de crimeware. A partir de ahora, Krebs se hará cargo de cualquier duda y reclamo al respecto, dejando la puerta abierta a la inevitable fusión de Zeus y SpyEye.

De concretarse esta alianza, estaríamos hablando de un troyano sumamente peligroso y para el cual necesitaremos estar preparados. Por el momento, NOD32 es el único antivirus que ofrece protección contra ambos códigos maliciosos.

Desde que el famoso código malicioso ha sido agregado a la lista negra del antivirus, ha logrado acaparar el 20,4% del total de las amenazas detectadas en un periodo de 7 días. Este dato despertó el asombro de Jeff Williams, Director del Centro de Protección de Malware de Microsoft, quién afirmó que esa cifra “es mayor a la que se suele encontrar cuando se añade una nueva familia a la base de datos”.

Pese a los buenos números que arrojó el MSRT en los últimos días, Williams piensa que aún restan por implementarse otras mejoras en el sistema de detección para poder hacer frente a una amenaza tan compleja como lo es Zeus.