Firma de detección de amenazas con sede en Israel Seculert ha estado monitoreando los efectos de la reciente Gameover Zeus y las operaciones de derribo botnet Shylock, y encontró que los cibercriminales ya han tomado medidas para resucitar sus campañas.

La operación internacional contra Gameover Zeus, que también interrumpió el ransomware CryptoLocker, seanunció el 2 de junio por las agencias del orden público y empresas del sector privado que han contribuido al derribo. El 11 de julio, el Departamento de Justicia de los Estados Unidos ofreció una actualización diciendo que “las medidas técnicas y legales emprendidas para interrumpir Gameover Zeus y Cryptolocker han demostrado su eficacia.”

Incident-ResponseSin embargo, en la misma época, Bitdefender informó que mientras CryptoLocker no había estado activo, su infraestructura seguía siendo utilizado por otras amenazas.Además, los investigadores de Malcovery Seguridad identificaron un nuevo troyano en gran parte basado en Gameover Zeus que parecía ser parte de los esfuerzos ciberdelincuentes ‘para resucitar la botnet.

Seculert ha seguido de cerca la evolución de la botnet Zeus Gameover y confirma que hay una nueva variante que no se basa en un mecanismo de peer-to-peer (P2P), como las versiones anteriores lo hicieron. Además, la nueva variante tiene un algoritmo de generación de dominio diferente (DGA) que ahora está generando 1.000 dominios por día, a diferencia de la variante anterior que generó sólo 1.000 nuevos dominios por semana.

Antes del derribo, aproximadamente 25.000 a 100.000 bots comunicaban con sumidero de la empresa de seguridad todos los días. Después de la operación, el número se ha reducido de manera significativa, pero ha habido signos de una reaparición.

“En los últimos días hemos visto un aumento en el número de bots que se comunican con nuestro cenote; llegando tan alto como casi 10.000 dispositivos infectados Anticipamos que el tráfico de comunicaciones a nivelarse con el tiempo para reflejar cantidades pre-remoción,.” Seculert CTO Aviv Raff explicó en un blog.

El 10 de julio, varias agencias del orden público y las empresas de seguridad cibernética anunciaron la incautación de servidores y dominios de comando y control utilizados por Shylock, una pieza de malware financiera que se dice que ha infectado al menos a 30.000 ordenadores en todo el mundo.

Seculert logró dolina Shylock tres días después de la operación de derribo se anunció, y se encontró que aproximadamente 10.000 bots han estado tratando de comunicarse con el servidor de todos los días.

Shylock y Gameover Zeus no serían las únicas redes de bots para hacer una reaparición después de una operación de desmontaje. La botnet Kelihos / Waledac fue interrumpido dos veces en 2011 y 2012, sin embargo, los ciberdelincuentes se las arregló para reanudar sus actividades cada vez. Un día después de que elsegundo derribo , que tuvo lugar en marzo de 2012, Seculert identificado más de 70.000 dispositivos siguen activos en la red de bots.

Seculert afirma que no está tratando de cuestionar el éxito de estas operaciones, sino identificar los factores que determinan su éxito. Dado que muchas de las campañas contra botnets sólo paralizar el malware en lugar de matarlo completamente apagado, es posible que estos esfuerzos sólo están poniendo a prueba los límites de los cibercriminales, dijo Raff.

“Vale la pena considerar si los derribos son una victoria para el equipo de ciber buenos chicos o simplemente un tiempo de espera que permite a los criminales a reagruparse y volver más fuerte”, señaló el experto.

Noticia de: http://www.securityweek.com/security-firm-analyzes-success-botnet-takedowns

CISO en el lado del mal (Panamá Gov) - Ethical Hacker - CEDIIF - Pentester. Si nunca has estado del lado oscuro, jamás sabrás como combatir a la oscuridad, con esto ya sabes la mitad de la historia.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

3 × 2 =