La primera empresa de seguridad que advirtió la existencia de esta amenaza fue AVG, dándole el nombre de “Mumba”. Según un vocero de la compañía, se estima que la red está compuesta por más de 55 mil ordenadores infectados, los cuales fueron comprometidos utilizando técnicas de phishing realmente sofisticadas.

AVG también reveló que Mumba utiliza el sistema “Fast-flux” para esconder el servidor de comando y cambiar su ubicación constantemente, por lo que se hace realmente difícil detectarlo y llevar a cabo la correspondiente clausura.

Por ahora se sabe que el mayor número de víctimas de esta red maliciosa se encuentra en Estados Unidos, seguido por Alemania y España.

Los datos que salieron a la luz sobre el hacker corroboran que tiene 23 años de edad y es ciudadano de Eslovaquia. Se estima que esta persona no sólo creo el código malicioso original, sino que luego lo comercializó con terceros para que difundan el “Bot Mariposa” por la Web.

Se cree que Iserdo también era el encargado de actualizar el programa y de ofrecer soporte técnico a sus “clientes”, a fines de hacer crecer la red de ordenadores “zombis”. De esta manera, los administradores podían manipular los equipos de los usuarios infectados, extraer información privada y plantar spam a voluntad.

Ya en el pasado mes de febrero, las autoridades españolas habían logrado arrestar a tres individuos que también operaban la susodicha red, luego de dos años de recolectar información para imputarlos. Estos sujetos podrían cumplir una sentencia de hasta seis años en prisión.

Estas son buenas señales de que la justicia está llegando a sectores que hacía un tiempo parecían inimputables, como el ciberespacio.

Como consecuencia directa de esto, ya se ha podido detectar una botnet de origen mexicano, denominada “Tequila” y cuya finalidad es la atacar directamente al usuario latino. Para hacerlo, utiliza el servicio de mensajería instantánea de Microsoft para extraer la información de los contactos de la víctima y, de esta manera, infectar sus ordenadores para sumarlos a la red delictiva.

Sin embargo, a pocas semanas de su lanzamiento, la botnet ha sido desmantelada por sus mismos creadores. Aparentemente, un organismo especializado habría revelado datos que exponían a los cibercriminales, incluyendo los proxy y los host utilizados para controlar la red de zombis. Por lo que inmediatamente se dieron de baja los servidores que hacían funcionar a la red Tequila.

Las 10 señales más frecuentes con las que un usuario puede detectar que su equipo se ha convertido en un ordenador zombie son:

1. Los programas se ejecutan muy despacio.

2. El equipo tarda muchos en apagarse o no lo hace de forma correcta.

3. El acceso a Internet se ralentiza.

4. El ventilador del equipo se satura cuando el sistema se encuentra en reposo.

5. El administrador de tareas de Windows muestra programas con nombres o descripciones complejas.

6. No es posible descargar actualizaciones del sistema operativo.

7. No es posible descargar actualizaciones de un producto antivirus o visitar la web del fabricante.

8. Recepción de pop-up de Windows y advertencias incluso cuando no se usa el navegador.

9. Amigos y familiares han recibido un correo electrónico proveniente de la dirección del usuario, que él no ha mandado.

10. usuario encuentra una serie de post publicados en su muro de Facebook o de ‘tweets’ que él no ha mandado.

El equipo de ESET estuvo trabajando durante algo más de un mes estudiando las señales que daban los equipos que se encuentran controlados de forma remota. Para esto, la compañía infectó varios equipos con los bots que más ataques producen actualmente y posteriormente, confrontaron su actividad con equipos que no se encontraban afectados.

Tras determinar los 10 indicadores más frecuentes, Fernando de la Cuadra, director de Educación de Ontinet.com y distribuidor exclusivo de ESET en España, indica que “esto es como una medicina donde el autodiagnóstico es peligroso” y aconseja que por esto, “lo mejor es ir al médico”, ya que estas señales no son definitivas, pero “sí son lo suficientemente importantes como para llamar a un experto”. Así, un experto de seguridad podrá evaluar el problema y repararlo.

Los usuarios también deben cuidar la seguridad de su equipo y ser prudentes a la hora de entrar en páginas desconocidas o descargar archivos para evitar este tipo de situaciones. Según de la Cuadra, “usar el ordenador con un poquito de cabeza y pensar que estamos metidos en un mundo en el que hay un montón de amenazas y un montón de gente que quiere robarnos nuestros datos”.

Señala que “falta muchísima educación en este sentido, es uno de los grandes caballos de batalla que tenemos en el mundo del uso de la red” e indica que “Internet se ha simplificado tanto y los sistemas operativos son tan fáciles que cualquiera puede acceder, pero hay que saber dónde estás accediendo”.

Desde Ontinet.com se pretenden cubrir estas carencias de conocimiento mediante distintas iniciativas que tienen el objetivo de “formar a los usuarios, enseñarles los peligros sin asustarles, pero mostrándoles que Internet es muy divertido y se pueden hacer muchas cosas si se utiliza el sentido común”.

Informa sobre una de sus próximas conferencias que tratará sobre este tema y puede ser de gran ayuda para los usuarios y su navegación segura. Recibe el nombre de “tú eres el mejor antivirus”.

Fuente: Hoy Tecnología

Hasta ahora, ZeuS no tenía este alcance, pero su nueva versión es capaz de esquivar los sistemas más fuertes de autenticación.

La compañía de seguridad Trusteer ha realizado un estudio en el que ha analizado cinco millones de equipos. En él, se revela que uno de cada 3.000 equipos se encuentran afectados por esta versión nueva de troyano.

ZeuS es utilizado por organizaciones criminales cuyo objetivo es conseguir los datos personales y bancarios de los usuarios. Infecta el equipo y se hace con las contraseñas personales, de redes sociales o números de tarjetas de crédito.

A demás de aprovecharse de Firefox, también se ha descubierto que está sirviéndose de un fallo sin solucionar en los archivos PDF. Según Dan Hubbard, CTO de la compañía Websense, cuando el usuario abre el documento malicioso, ZeuS le solicita que guarde un archivo PDF, llamado “Royal_Mail_Delivery_Notice.pdf”, que en realidad es un ejecutable de Windows que se instala y piratea el equipo.

El error que está explotando la botnet es el /Launch, que se trata de una especificación de Adobe para la función de diseño. Websense asegura que tiene constancia de que cientos de ataques provenientes de Zeus utilizan el software malicioso incorporado en la función /Launch. Además, Hubbard estima que “los ataques se seguirán produciendo”.

Adobe por su parte, ha aconsejado a los usuarios que modifiquen las preferencias de Reader y Acrobat para deshabilitar la función vulnerable y proporciona unas recomendaciones para realizar esta modificación.

En el informe se estudian las compañías criminales de Europa que están detrás de esta sofisticada red destinada para robar dinero que sigue creciendo, ya que durante el pasado mes de enero, se localizaron más de 13.000 nuevas muestras de ZeuS.

En el informe se destaca que “ZeuS no es nada nuevo, lo hemos visto actuar ya durante años. Pero lo que es alarmante es el reciente aumento de ataques”, “es una de las amenazas de seguridad que más mala fama tiene para los usuarios de Intenet. Solo en los últimos seis meses hemos bloqueado cerca de 9 millones de ataques de ZeuS y seguimos sin parar”.

Zeus ademas, también utiliza otras botnets, ya que el pasado año se descubrió que las variantes de Zeus se distribuian tambien mediante la red Avalanche. Esta botnet mandaba oleadas masivas de correo basura que simulaban conocidos sitios de redes sociales para engañar a los usuarios.

Los atacantes cada vez se esfuerzan más para que sus amenazas no levanten sospechas, ya que han intentado plagiar mensajes de correos electrónicos y sitios web de instituciones del Gobierno de EEUU como: la Administración de la Seguridad Social (ASS), la Corporación Federal de Depósitos de Seguros (FDIC) o el Servicio de Recaudación de Impuestos (IRS).

Las nuevas versiones de la botnet ademas son mejoradas, ya que las más recientes cuentan con la funcionalidad “Jabber”, un protocolo de mensajería instantánea de código abierto. JabberZeuS se trata de una variante de ZeuS en la que las credenciales robadas mientras que se producía la conexión de una operación bancaria, son enviadas en tiempo real al botmaster ZeuS a través de mensajes instantáneos. De esta manera, puede quedar registrada en el acto en la misma cuenta sin que el atacante sea descubierto y usando las mismas credenciales que el usuario perjudicado.

Las compañías de antivirus están supervisando la actividad de la botnet, registrando que en las últimas dos semanas se ha vuelto a iniciar en varias ocasiones cada día, permaneciendo la cantidad de 71 a 142, que son los necesarios para ocuparse de todos los equipos dañados por el gusano.

Según los datos de las direcciones IP, se puede observar que los servidores de la botnet se encuentran por todo el mundo, aunque más de la mitad están en Estados Unidos.

Según parece, los responsables de Koobface están siempre examinando la botnet para que su cantidad de servidores no baje en gran cantidad, asi mantienen el control de la red y, en caso de que el número de servidores baje llegando a un nivel crítico, incorporan nuevos equipos. De esta forma consiguen que el número de servidores se mantenga en torno a los 100, extendidos por todo el mundo y soportados por distintas ISP’s para que la red botnet no deje de existir.

Fuente: Zona Virus

Gabriel Martin ha indicado que se trata de un mercado que funciona y se desarrolla como el resto y que es de los pocos sectores que no se ven muy afectados por la crisis, que obtiene unos crecimientos “que ya lo quisieran los mercados legítimos” en la situación actual.

El negocio de los hacker se basa en vender la información personal o empresarial que han robado a través de ataques en la red. Los datos se organizan por distintos precios y categorías. Los interesados los compran y forman un conjunto de servidores para conseguir datos o dinero.

Según Gabriel Martin, el problema que facilita el gran desarrollo de este mercado del cibercrimen es que a las fuerzas de seguridad del Estado les es difícil encontrar estas redes y cerrarlas. Para un atacante, crear un nuevo centro de amenazas informáticas le supone unas horas, pero para localizarlo la situación se complica, ya que hay que encontrar la botnet que dirige al resto de los ordenadores zombis y averiguar la identidad del atacante que la gestiona.  

El responsable de Symantec también hizo referencia  a los usuarios, ya que ellos también tienen una parte de responsabilidad en la seguridad de los equipos, “el problema no es la tecnología de seguridad informática, son las personas. Existen buenos sistemas de protección, pero las personas tienen que tener cuidado”. Es importante ser precavidos y pensárselo dos veces antes de acceder a enlaces desconocidos y abrir archivos de contactos desconocidos, ya que nos podemos evitar problemas de seguridad.

En cuanto a su compañía, señaló que Symantec proporciona “un correo electrónico limpio que garantiza  la seguridad en la red. Esta el 99% libre de infección” y también próximamente facilitará un servicio completo de correo, almacenamiento y recuperación de datos, mediante los que las compañías cubrirán los requisitos de la normativa de salvaguarda de información.

La finalidad de los investigadores era demostrar que puede darse la posibilidad de que un troyano se difunda mediante una botnet telefónica. Para ellos realizaron la prueba, que ha consistido en realizar una aplicación, llamada WeatherFist, la cual proporcionaba información sobre el tiempo a los usuarios que la descargaran, pero a demás tenía otro objetivo. La aplicación se encargaba de obtener los datos del dispositivo, entre ellos, la lista de contactos y las coordenadas del GPS.  Después, empezaron a extender su aplicación por distintas páginas web dedicadas a estas plataformas.

Los resultados del experimento fueron asombrosos, ya que solo en la primera hora en la que la aplicación estuvo disponible, se hicieron 126 descargas y al cabo de 8 horas se había realizado 702. La prueba se ha presentado el pasado 5 de marzo, fecha en la que ya eran 7.800 los dispositivos que disponían de la aplicación

Tras el experimento, Daniel Tijerina, uno de los investigadores participantes, señaló que “los resultados fueron realmente sorprendentes, porque si esto hubiera sido un código malicioso real, podría haber controlado este número de bots”.

Los investigadores, para demostrar la amenaza que las redes botnet en dispositivos móviles puede suponer, crearon una versión maliciosa de la aplicación, la WeatherFistBadMonkey, que corría código bot y registraba datos de los contactos, dirección física del usuario, cookies, e incluso sería capaz de mandar spam automáticamente. Esta versión maliciosa se utilizó solo con dispositivos que eran propiedad  de los investigadores, no de manera pública.

Hay que señalar que el ataque solo afecta a dispositivos que hayan tenido un proceso de jailbroking.

Los investigadores han conseguido su objetivo, demostrar como una aplicación puede conseguir los datos que el usuario contiene en su dispositivo. Este experimento deja ver como las amenazas se están abriendo a distintos campos, no solo a los ordenadores de empresas o domésticos. Hay que ser prudentes con todos los  dispositivos que contengan información sensible y acceso a la red, ya que cualquier descarga o página inofensiva puede llevar escondido algún ataque malicioso.

Fuente: Blog Eset

Tres personas que participaban en la gestión de la red, fueron detenidas el pasado martes por el Grupo de Delitos Telemáticos de la Unidad Central Operativa de la Guardia Civil (UCO). Según Jose Antonio Berrocal, teniente coronel jefe del departamento, Mariposa es la red mas grande este tipo desmantelada en el mundo. El caso continúa a nivel internacional y se está investigando a un posible cuarto responsable, que estaría asentado en Venezuela.

Los delincuentes organizaron una red de ordenadores zombis que infectaban a través de troyanos. Engañaban a los usuarios y cuando se ejecutaba el virus, conseguían hacerse con el control remoto de los equipos. Además, descargaban malware en los ordenadores con los que conseguían la información.

En la investigación han participado también la compañía de Canadá, Defence Intelligence, y Panda Labs. Según señaló Luis Corrons, director técnico de Panda Labs, a El País, la existencia de la red botnet se conoció a mediados de 2009. Su compañía formó un grupo de trabajo con Defence Intelligence, el Instituto Teconológico de Georgia, la Guardia Civil, el FBI y fuerzas de seguridad de otros países. Les sorprendió su extensión, ya que controlaba más de 13 millones de equipos. “Nadie ha visto ninguna de este tamaño. La ampliaban para robar información y la alquilaban a terceros”.

A través de la botnet conseguían dinero que blanqueaban jugando al póker en Internet. En las partidas los cómplices se dejaban ganar y no abonaban la apuesta. De este modo, el ganador justificaba unos ingresos que no venían del juego, en realidad.

El acceso de la red a los equipos zombis se cerró el 23 de diciembre. No se sabía quién la controlaba porque los atacantes usaban sistemas con los que escondían su IP. Los cibercriminales intentaron conseguir el acceso de nuevo y lanzaron ataques de denegación de servicio a Defence Intelligence y a usuarios suyos de Canadá.

Los atacantes un día cometieron un fallo, con el que pudieron “llegar a identificarlos: un día, uno de ellos olvidó emplear los habituales recursos para ocultar su dirección en Internet”, con lo que pudieron localizarlo. El 3 de febrero, la Guardia Civil accedió a la casa de uno de ellos en Vizcaya y los otros dos componentes fueron arrestado en Santiago de Compostela y Murcia. El grupo se bautizó como los DDP Team (Días de Pesadillas Team).

La red de botnet se encuentra cerrada, pero los equipos de los afectados continúan infectados.