Las botnets son redes de computadoras (net) robots (bots) que obedecen las ordenes de un amo o maestro (botmaster) para realizar acciones maliciosas, las bonets también son conocidas como redes zombis. El numero de computadoras esclavizadas pueden ser miles de máquinas infectadas. Las acciones maliciosas más comunes de las botnes son: Poner indisponible el servicio de una organización victima por ejemplo colapsar su servidor de correo, para marketing por medio de spam y aumentar el ranking de un web site en los buscadores como Google. El funcionamiento de las botnets es el siguente.

Primero, se infectan varias PCs para que obedezcan a un maestro (botmaster). Luego, estas maquinas infectadas envian ataques por orden del botmaster. Por último, el botmaster alquila sus máquinas infectadas en todo el mundo a algun interesado para que realize ataques por cierto tiempo a un objetivo de su preferencia.

Las botnets pueden ser alquiladas por 67 dolares por 24 horas para realizar estas acciones maliciosas. Si fuese solo una hora serían 9 dolares según iDefense VeriSign que analizo 25 ofertas del mercado negro. Este negocio se vuelve cada vez más popular en los foros underground inclusive con banners de publicidad.

En marzo la policia española arrestó a los tres presuntos autores intelectuales de la botnet Mariposa, que se propago sin ser detectado durante seis meses, poniendo en peligro más de 12 millones de PCs en muchas empresas de primera línea y bancos.

Zeus, una de las botnets más conocidas y que tiene 3.5 millones de maquinas esclavas solo en Estados Unidos. Zeus se vende como un kit de herramientas cuesta al rededor de $ 3000 – 4000, y es probable que el malware sea más utilizado por los delincuentes en el fraude financiero, según SecureWork.

Personalizar Zeus con numerosos complementos tiene los siguiente precios: por la creación de redes virtuales para hacerse cargo de un PC infectado ($ 10.000), por una actualización para atacar a Windows 7 o Vista ($ 2.000), por recibir los datos robados en tiempo real por mensajería instantania como Jabber IM ($ 500), y por un módulo para realizar transacciones financieras desde el PC infectado ($ 1.500). Curiosamente, la aplicación Zeus también incluye funciones avanzadas de lucha contra la piratería.

En conclusión, estas redes zombis son rentadas por ciberdelincuentes y mafias organizadas para realizar sus acciones ilegales. Un usuario común y corriente puede ser parte de una zombi, es lo más comun, porque son los más fáciles de infectar porque tiene desconocimiento de como proteger su PC.

Fuentes como security focus (http://www.securityfocus.com/bid/37331/info) afirman que existe un exploit que toma ventaja de esta vulnerabilidad y permite ejecutar codigo arbitrario. Mas preocupante aun, es que ya diversas fuentes indican que este exploit esta siendo usado en forma activa.

Como bien sabemos este tipo de exploits es utilizado por grupos de hackers maliciosos y por mafias para su propio beneficio economico, ya que pueden tomar control de las maquinas y sustraer informacion sensible.

El ataque sucede de la siguiente manera:

- Atacante inyecta codigo malicioso en un pdf de interes general

- Atacante distribuye el archivo PDF por varios medios (spam, paginas, redes p2p)

- Victima recibe PDF por alguno de los medios

- Victima abre PDF, lee el contenido (mientras tanto en 2do plano y en forma oculta se ejecuta codigo malicioso)

- Atacante obtiene acceso a la maquina de la victima, tomando informacion sensible y util para sus fines

A continuación algunas recomendaciones para poder prevenir ser victimas de este tipo de ataques:

- Tener cuidado al recibir archivos pdf de personas desconocidas o fuentes sospechosas
- Si trabaja continuamente con este tipo de archivos, podría intentar deshabilitar Javascript en su programa de Adobe Acrobat Reader. Para realizar este cambio vaya al menu EDIT, luego a PREFERENCIAS y en la parte de JAVASCRIPT, quite el check de “Habilitar Acrobat Javascript”

Esperamos haber sido de ayuda.

Saludos

ENHACKE

Este audio toca ciertos aspectos de las botnets como su definición, medios de difusión, formas de ataque, cibercrimen y  contramedidas. Esperamos sea de su agrado.

Play

Aquí les presentamos, un sitio Facebook falso con codigo Javascript malicioso que utiliza el viejo truco de instalación de una actualización del Flash Player, pero con un pequeño cambio. El usuario cree que va ver el video si actualiza el Flash Player.

Pero primero debe descargar e instalar la actualización.

Aqui algo inusual, esta actualizacion viene con un pop up CAPCHA:

La solicitud aparece aleatoriamente y no hace nada. Ante cualquier conjunto de caracteres que se ingrese se obtiene la siguiente respuesta:

La ventana se cerrara después de algunos intentos, pero seguirá apareciendo aleatoriamente. Mientras el usuario hace uso del CAPCHA , el malware agrega algunos archivos al c:\Windows se borra asi mismo y crea unas llaves en el regedit para que este malware se inicie con el sistema.

Entonces tu maquina ha sido comprometida. Naveguen con precuación esta tecnica esta siendo muy utilizada por la industria del malware.

Los perfiles se ven verídicos. Tienen cuentas con usuarios diferentes en varias ubicaciones de Estados Unidos. Estas cuentas inclusive suben diferentes Wallpapers para sus perfiles.

Todos los tweets enviados por estas cuentas son auto-generadas, recogiendo palabras claves de las tendencias de Twitter o repitiendo tweets reales enviados por humanos.

¿A Donde me llevarán estos links?

Por supuesto, ellos nos guiarán a paginas falsas  intentando que compres un producto que no necesites. Como la famosa compra de un antivirus por las vulnerabilidades e infecciones falsas encontradas despues de haber sido infectados por descargar software malicioso de estos links.

Aunque esto sucesos tienen lugar en Norteamerica, muy pronto los ataques lo personalizaran para esta parte del continente, la industria del malware va creciendo más y más. Es preferible tener conciencia de estos sucesos y estar prevenidos ante algun engaño en la red.

En el transcurso del dia, un hacker malicioso, identificado como KKR ha logrado comprometer el servidor web de la Asociacion de Futbol Argentino y ha cambiado el contenido.

El nuevo contenido contiene el mensaje HACKED BY KKR, una imagen de Maradona vistiendo la camiseta de brasil (proviene de una campaña publicitaria del 2006 – al final de este post) y el mensaje “Una imagen vale mas que mil palabras”.

El equipo de seguridad informatica de la AFA reacciono en las horas siguientes y cambio la pagina por una temporal donde solo se muestra el logo.

A continuacion una imagen de la pagina cuando fue hackeada por KKR.

Esto nos sirve para recordar que cualquier empresa, corporacion o institucion puede ser victima de un ataque informatico. Dicho ataque puede tener consecuencias como perdida de informacion, productividad o imagen de la corporacion.

Para estar a salvo de estos ataques mantengan sus politicas de seguridad actualizadas, su perimetro asegurado y realicen pruebas de auditoria de seguridad informatica frecuentemente.

Saludos.

enHacke

En las líneas siguientes les explicaremos en que consiste este nuevo tipo de ataque que hasta hace unos meses sólo se perpetuaba en Europa pero que ha empezado a tomar lugar en varios escenarios latinoamericanos, incluyendo entre estos a Perú.

Este ataque (Secuestro de Información) conocido también como Ransomware o ciberextorsión, tuvo sus primeras víctimas en Europa hace un par de meses con una modalidad que si bien no es la que se ha presentado aquí en Perú, es más bien una variación.
A continuación les mostraremos los diversos tipos de Secuestro de Información que hay. Vale recordar que una de estas variantes ya tiene 2 víctimas en Perú.

CASO 1:
En los casos europeos el ataque incluía: spam o archivos a través de Messenger, un keylogger y la recolección de contraseñas de cuentas de Hotmail. Para que se entienda bien, un atacante enviaba mediante spam, una foto o postal en un archivo, el cual tenía un keylogger y así se hacía de las cuentas de Hotmail de las víctimas. Una vez que el atacante tenía bajo su poder las cuentas de Hotmail con sus respectivas contraseñas, eliminaba todos los contactos y mensajes del correo a excepción de uno que decía:
Quieres saber donde están tus contactos y tus mails? Pues entonces deberás pagar, o prefieres perderlo todo? Espero escribas pronto.
Asesino de Correos X

CASO 2:
En Rusia también se vieron varios de estos ataques. Aprovechando los servicios de algunas de las empresas de Telecomunicaciones y las facilidades que ofrecían estas para vincular una cuenta anónima con un servicio de mensajería se presentaron casos de Secuestro de Información en el cual se bloqueaba el sistema y solicitaba a la victima el envío de un mensaje de texto para obtener un código de desbloqueo y realizar el rescate.
El objetivo es el de siempre, beneficio económico. Por cada mensaje de texto que se envía, los atacantes ganan dinero.

Esta es una imagen del troyano Trojan.Winlock que muestra como se menciono anteriormente el número de teléfono y el mensaje que se debe enviar así como el espacio en blanco para escribir el código de rescate.

CASO 3:
También existe una tercera variante en la cual varios de los archivos son encriptados o agregados a un archivo .ZIP o .RAR con contraseña.
El atacante o el gusano se encarga de cambiar el fondo de escritorio con una imagen donde dan instrucciones para realizar el rescate.

Este troyano ransomware de nombre GPCode se esparce por la red a través de varios medios. El troyano encripta los archivos en la maquina víctima y deja un archivo de texto con el nombre CRYPTED.TXT donde se pide un rescate de $10 para desencriptar los archivos. En la imagen podemos ver como cambia el fondo del escritorio y deja una dirección y una cuenta de ICQ para contactarse con el autor.

Reflexión:
Estos tipos de ataques pueden llegar de distintas maneras: Ejecutables sospechosos e infectados, SPAM, Carga de codecs maliciosos por paginas dudosas o en último de los casos y que sería más preocupante porque habría sido un ataque dirigido, una intrusión directa por parte de un hacker malicioso.

El objetivo en los tres casos es el mismo y está clarísimo, DINERO, mucho dinero. Muchas de las victimas terminan pagando el rescate a fin de recuperar rápidamente sus documentos.

Si bien en estos casos un Backup puede ayudar muy bien en tratar de recuperar la información secuestrada y no pagar el rescate, lo mejor sería llevar una metodología de seguridad y seguir buenas prácticas en cuanto al uso del sistema para evitar que el malware llegue a nuestras computadoras y en el caso de ser un ataque dirigido poder hacer difícil la entrada al hacker malicioso.

Esperamos el documento haya sido de utilidad para Ud.
Por favor no dude en llamarnos o escribirnos para cualquier consulta en Seguridad Informática.

enHacke
Teléfono: 51 – 1 – 4400769
informes@enhacke.com

1. “Mi antivirus está al día, así que no puede entrar ningún virus.”
Si bien el uso de un antivirus ayuda a disminuir el riesgo de infección o de ataques en los cuales se usan herramientas maliciosas, no es completamente infalible. Recuerden que hay diversas técnicas por las cuales un virus, gusano o troyano pueden pasar desapercibidos para un Antivirus completamente actualizado. Se debe recordar tambien que la cantidad de variantes de virus que son lanzados por Internet son tan elevados que muchas de las empresas no llegan a cubrir esa brecha en un par de dias, tiempo necesario para que el virus se difunda.

2. “Tengo un firewall, así que no corro peligro.”
El firewall es una componente más que debe ayudar con la tarea de proteccion de la corporacion, pero bajo ningun caso deberia ser la única.

El firewall analiza la dirección de los paquetes que entran y salen desde y hacia Internet. Una vez más, existen diversas técnicas para pasarlos y engañarlos. Recordemos que el firewall es software y como cualquier otro no esta libre de errores.  En el caso de una computadora personal, el virus del sistema operativo puede ser facilmente deshabilitado por un virus.

3. “Uso dos antivirus a la vez, ¿qué puede salir mal?”
El hecho de que haya 2 antivirus a la vez puede traer distintos problemas, se pueden interferir entre ellos, generar conflictos, disminuir los recursos de procesamiento de la computadora. Si el virus ha sido hecho a conciencia y probado con varios antivirus antes de ser lanzado, pasara uno, dos o más sin ningun problema.

4. “Mi PC no le interesa a nadie, no hay peligro.”
Las computadoras pueden valer tanto por su informacion como por su capacidad de procesamiento. Si Ud. es una organización, definitivamente le serán muy importantes los datos que guarda en sus servidores.

Si Ud. es un usuario de casa y tiene una computadora personal probablemente piense que no tiene información realmente importante o no hace operaciones de alta sensibilidad. Pues en este caso las redes criminales no quieren su información sino la capacidad de procesamiento que tiene su computadora y su capacidad de comunicación. Vale decir que con esto las utilizan para enviar SPAM, hospedar páginas de dudosa reputación (usualmente PHISHING o Pornografía), ligarlas a redes BOTNETS para ataques masivos o usarlas de pasarela para diversos ataques.

5. “Mi backup está al día, así que si pasa algo, puedo restaurar el sistema.”
Recuerden que si su máquina esta infectada, el backup también lo estará y quizas permitirá por un largo tiempo que el atacante tenga acceso a su información.

6. “Nunca dejo mi mail en ningún sitio ni estoy registrado en páginas Web, así que es imposible que me roben la dirección.”
Recuerden que no solamente los Servidores de Paginas Web almacenan información de cuentas de correo o direcciones. Nuestras computadoras también las almacenan constantemente, ya sea a la hora de explorar por Internet, nuestras libretas de contactos en Outlook o en nuestro propio Messenger. Los virus y sitios webs programados con fines maliciosos estan especialmente diseñados para extraer información de estos archivos.

7. “Después de que entró un virus, reinstalé Windows y listo.”
Los virus no solo se copian en las carpetas del sistema. De hecho se copian en varias ubicaciones para asegurar su supervivencia. Si Ud. cuenta con varias particiones lógicas, es probable que el virus se haya copiado a si mismo en cada una de ellas. Incluso si Ud. tiene una sola partición logica y vuelve a instalar sin haber formateado, existen muchos lugares en donde el virus se puede haber escondido para volver a infectar la maquina despues.

8. “Tengo todos los parches de Windows instalados, no puede pasar nada.”

Como en el caso del antivirus y del firewall, es una buena medida pero aplicada independientemente no alcanza a brindar la protección necesaria. Para esto recordemos que no todos los exploits son exclusivamente para el sistema operativo, existen muchos que son hechos para distintas aplicaciones.

9. “No uso Outlook Express ni Internet Explorer, así que estoy a salvo.”
Si bien estas aplicaciones son puntos vulnerables con frecuencia, no es el unico medio por el cual un hacker malicioso intentará atacarle.  Muchas de las infecciones que estan en la red, infectan al sistema sin importar cual es el cliente de correo o de exploración de Internet usado por la víctima.

10. “No abro ningún adjunto, los virus no pueden entrar.”

Nuevamente, existen varios medios por el cual un usuario puede ser atacado o infectado. Existen virus que se propagan solamente a traves de paginas Web, otras a través de USB, etc.

11. “Mi Equipo tiene GNU/Linux y no soy vulnerable”
Es cierto que no hay muchas infecciones desarrolladas para este sistema, pero si existen y tambien pueden llegar a comprometer la seguridad de la computadora y de la información del usuario. Además hay ataques que son independientes del Sistema Operativo de la Víctima (Como el Phishing).

Que Recomendamos?

Usar varias herramientas que por su cuenta no tendrían tanta efectividad, pero que usadas en conjunto ayudan bastante a mitigar el riesgo de infección, ataques y compromiso de información sensible.

Aconsejamos lo siguiente:

1. Antivirus. Si es de los que tienen un Firewall personalizable incluido, mucho mejor. Si tienen Anti-Spyware integrado pues mejor aun. Debemos mencionar que estos componentes deben estar actualizados también.

2. Mantener el Sistema Operativo y las aplicaciones utilizadas en este, actualizados con sus últimos parches.

3. Utilizar software conocido, que los desarrolladores tengan un tiempo aceptable de respuesta a vulnerabilidades  y que aun cuente con soporte.