El día de ayer hemos visto en varios de los medios periodísticos más importantes del mundo una alerta por un Cyberataque a nivel mundial, que implicaba múltiples compromisos, y se daba cifras de la cantidad de computadoras afectadas en nuestro país..
Inmediatamente desde el CSIRT CABASE nos pusimos en contacto con las empresas más importantes de seguridad que están radicadas en el país, con el gobierno nacional y con nuestros expertos en seguridad. Para todos el veredicto fue unánime, este es un ataque ya tiene mucho tiempo y los antivirus actuales ya están preparados para detenerlo.
Información periodística errónea sobre Kneber Botnet
La misión del CSIRT CABASE se centra en los incidentes informáticos reales, de los cuales este no lo es, pero debido a la difusión que tuvo esta información errónea en los medios de prensa, consideramos adecuado publicar un informe al respecto. Se trata de un malware cuya primera versión apareció hace casi dos años y hoy es detectado por la mayoría de los antivirus, firewalls de capa 7 y IDSs. La difusión de la información se originó en un informe de una empresa estadounidense, fue interpretado de manera catastrófica por algunos medios y dispersado por otros que verificaron la información.
Descripción
Kneber Botnet es uno de los nombres con que se conoce al malware designado en forma estándar como ZeuS.
Como la mayoría de los malware de alto nivel de dispersión en los últimos dos años, compendia acciones de diferentes tipos de programas dañinos, aunque no todas funcionan eficientemente.
Su función primaria es comportarse como BotNet debido a que tiene la posibilidad de ser controlado de manera remota y realizar acciones coordinadas por un intruso informático dentro de un conjunto de computadoras infectadas.
Una vez que una computadora está infectada, el código de este malware corre en la capa 3 (aplicaciones) del sistema operativo, con lo que puede controlar los dispositivos que haya conectados, ya que en estos se puede encontrar la información que busca capturar.
Las últimas versiones conocidas de ZeuS tienen las siguientes características, una vez que la computadora está infectada:
- Monitorea el tráfico de red del protocolo TCP.
- Intercepta las conexiones FTP y POP3 de cualquier puerto.
- Intercepta las solicitudes HTTP y HTTPS de todas las aplicaciones que funcionen con la librería wininet.dll.
- Hace capturas de pantallas y puede transmitirlas en tiempo real.
- Realiza algunas acciones que forman parte de ataques de phishing.
- Tiene un módulo de defensa rudimentario que despliega mecanismos antidetección como el autoencriptado polimórfico de su código.
- Se comunica encriptando su tráfico con el algoritmo simétrico RC4 con una clave constante.
Nivel de riesgo: Bajo
Se estima que la fluctuación de la red de computadoras infectadas es de alrededor de 75.000, lo que es, a nivel mundial, una cifra un poco por debajo de la media del tamaño de las redes BotNet detectadas. Esto no ha variado en los últimos meses, por lo que la alerta por parte de la prensa no está justificada.
Solución
La mayoría de los antivirus detectan la presencia de ZeuS y algunos tienen la capacidad de realizar acciones de erradicación del mismo de un equipo infectado.
Alcanza con tener un antivirus confiable y correctamente instalado y actualizado.
También es recomendable la utilización de un Firewall Personal en la estación de trabajo
Acerca de CABASE:
Fundada en 1989, CABASE es la Cámara que reúne a las empresas que se dedican a Internet, Comercio Electrónico, Contenidos y Servicios Online. En CABASE se ha constituido el primer NAP (Network Access Point) privado de Latinoamérica, donde se interconectan más de 40 ISPs y entidades académicas y gubernamentales. Además, cuenta con una destacada actuación internacional: es socia fundadora de la Federación de Latinoamérica y el Caribe para Internet y el Comercio Electrónico (eCOM-LAC) y del Registro Regional de Direcciones IP de Latinoamérica y el Caribe (LACNIC). Para obtener mayor información, visite: www.cabase.org.ar
Acerca de CSIRT CABASE:
CSIRT, por su sigla en inglés, significa Computer Security Information Response Team (Equipo de Respuestas a Incidentes de Seguridad). El CSIRT CABASE tiene como objetivos:
· Mantener una base de datos de vulnerabilidades de seguridad
· Mantener una base de datos de incidentes de seguridad ocurridos en las organizaciones asociadas.
· Proveer asesoramiento especializado en Seguridad de la Información basado en estándares, adaptado al marco legal, regulatorio y normativo vigente en Argentina.
· Promover la coordinación entre las organizaciones asociadas para la prevención, detección, manejo y recuperación de incidentes de seguridad, a partir del cumplimiento de la función de repositorio de información sobre incidentes de seguridad, herramientas y contramedidas.
· Brindar capacitación a los responsables de las áreas de Seguridad de la Información de cada organización asociada.
· Establecer contactos con otros CSIRTs del mundo y con las organizaciones que los agrupan, para mantener un intercambio de información que aumente el alcance de los conocimientos generados por el análisis de los incidentes locales, pero siempre manteniendo el anonimato de las organizaciones que los sufrieron.
Para obtener mayor información, visite: www.csirtcabase.org.ar
El CSIRT CABASE es unos de los Reaserch Parner del Antiphishing Working Gropup, la entidad mundial mas importante en la lucha al cybercrimen.
Para obtener mayor información, visite: www.antiphishing.org
Cámara Argentina de Internet - CABASE
www.cabase.org.ar
www.csirtcabase.org.ar
Suscribirse a:
Comentarios de la entrada (Atom)
No hay comentarios.:
Publicar un comentario