Fuente: SearchSecurity.com

El botnet Zeus, una familia de Troyanos utilizados por los ciberdelincuentes para atacar a víctimas con malware para el robo de datos, fue interrumpido temporalmente esta semana después de que el ISP sospechoso de albergar sus servidores de comando y control fuera desconectado.

Troyak.org, una empresa basada en Kazajstán, la cual alberga los servidores que controlan el malware para spam y botnets, fue desconectada temporalmente el martes. Se estima que Troyak alberga el 25% de los servidores de comando y control que se conectan a los computadores infectados por Zeus. ScanSafe, empresa que fue adquirida recientemente por Cisco Systems Inc., identificó un pico en el tráfico de malware antes del cierre, lo que indica que los controladores de los bots pudieron haber sabido con antelación sobre la interrupción de sus operaciones.

“Los datos parecen indicar que había algún tipo de advertencia previa y de ser así habrían tenido oportunidad suficiente de actualizar sus bots”, dijo Mary Landesman, investigadora senior de seguridad de ScanSafe, ahora parte de Cisco.

La interrupción de Zeus fue de corta duración. Landesman dijo que todas las conexiones que se rompieron cuando Troyak fue desconectado se restablecieron una vez que el ISP adquirió un nuevo proveedor de conectividad.

“Hemos revisado las direcciones IP y las mismas reaparecieron cuando Troyak se reconectó”, dijo.

Zeus es una amplia familia de Troyanos dotados de herramientas de ataque automatizado. El caché de 75GB descubierto el mes pasado se cree que es un sitio de descarga de hackers vinculados a las infecciones de Zeus. El caché contiene una variedad de datos sensibles, desde credenciales de cuentas bancarias hasta números de Seguro Social y contraseñas de correo electrónico.

“Está a disposición del público por lo que hay muchos segmentos de Zeus y del botnet Zeus,” dijo Landesman. “El malware abarca desde el robo de credenciales vía ataques de “phishing” hasta ataques más sofisticados contra los bancos”.

Se calcula que 1.6 millones de máquinas infectadas componen los cientos de botnets Zeus. En 2007, una pandilla de cibercriminales alemana utilizó Zeus en varios ataques a bancos europeos, resultando en el robo de 20 millones de dólares. Hoy en día, los botnets Zeus atacan a casi mil bancos, y los expertos dicen que se ha convertido en una importante plaga en el sector bancario. El troyano se utiliza para añadir campos a formularios de cuenta bancaria, drenando silenciosamente las cuentas bancarias mientras se muestra un saldo falso a las víctimas.

Algo que desconcierta a los investigadores de seguridad es cómo Troyak fue interrumpido. En un documento expedido por RSA, la División de Seguridad de EMC Corp., los investigadores dijeron que el proveedor de conectividad podría haber sido cerrado por las autoridades o por sus propios operadores. El nombre “Troyak”, según el documento, es la jerga Rusa para “Troya”, un indicio más de que Troyak.org puede no ser un negocio legítimo.

“La inactividad de la AS-Troyak puede ser el resultado de una falla técnica, aunque este es el escenario menos probable, dado que las operaciones maliciosas de este tipo generalmente no tienen un único punto de falla”, según el informe de RSA.

El incidente de Troyak es similar al del cierre de McColo Corp. en 2008, cuando los proveedores de conectividad dejaron de proveer acceso a la red a este proveedor de hosting. En aquel entonces los investigadores habrían pronosticado que el spam y el malware se recuperarían completamente y así fue.

“Como industria estamos tratando con mucha gente que está haciendo dinero con estas actividades criminales y hasta que dejen de ganar dinero o sus clientes comiencen a incurrir en costos debido a las interrupciones, habrá poca motivación para que ellos hagan lo correcto,” dijo Landesman. “Para muchos de estos grupos, este es el medio más viable para ellos ganarse la vida.”