A mediados de junio el FBI, en conjunto con otras organizaciones de seguridad, publicó un comunicado anunciando el desmantelamiento de la botnet asociada a la amenaza conocida como GameOver Zeus, responsable de miles de infecciones e íntegramente relacionada con Cryptolocker, el ransomware que tantos dolores de cabeza ha causado durante el último tiempo.
Pero durante las últimas semanas se ha hablado mucho de Zeus y de nuevas amenazas que tienen cierta relación con esta botnet, como Zberp, Maple o Kronos. ¿Se trata de lo mismo? ¿Es Zeus acaso una historia sin fin? ¿Por qué siguen apareciendo nuevas variantes con frecuencia? Hoy vamos a responder estas y otras preguntas, y repasaremos todo lo que necesitas saber sobre esta amenaza, su actualidad y cómo mantenerte protegido.
¿Qué es GameOver Zeus y cómo te puede afectar?
GameOver Zeus es una variante de un conocido troyano bancario que hace años se propaga por Internet y es ampliamente utilizado por los cibercriminales para el robo de credenciales. Una vez que un equipo se infectó con este malware, comienza a formar parte de una botnet, es decir, una red de computadoras infectadas, y es así como el atacante puede tomar el control en forma remota de miles de computadoras.
A diferencia de las versiones más conocidas de esta familia, GameOver Zeus no utiliza el protocolo HTTP para su comunicación, sino que utiliza redes P2P (peer to peer). Esta característica es muy importante al momento de analizar una botnet de GameOver Zeus y lograr desmantelarla tal como lo hizo el FBI.
¿Por qué GameOver Zeus causa tanto impacto en los usuarios?
GameOver Zeus es una amenaza a la privacidad de los usuarios y por sobre todo al estado de sus cuentas bancarias. Más allá de las modificaciones al protocolo de comunicación que esta botnet implementa, los métodos que implementa para el robo de información continúan siendo eficaces y le permiten a un atacante, sin mucho esfuerzo, obtener usuarios y contraseñas que se ingresan en un sistema infectado.
El método utilizado por Zeus, y prácticamente todas sus variantes, se basa en la inyección de código en el navegador y otros procesos del sistema, lo que le permite al malware interceptar el envío de usuarios y contraseñas para luego reenviarlas a su panel de control.
En otras palabras, esta amenaza generó una gran preocupación en los usuarios durante los primeros meses del año, ya que podían ver sus cuentas comprometidas al abrir un adjunto o entrar a un sitio infectado que propague esta variante de Zeus.
¿A quiénes afecta?
Hasta la fecha, GameOver Zeus y las demás variantes de Zeus afectan a los sistemas operativos de Microsoft, y están principalmente orientadas a las versiones para usuarios. Sin discriminar si se trata de usuarios hogareños o corporativos, las diferentes variantes de esta familia de códigos maliciosos han causado más de un dolor de cabeza a usuarios y equipos de IT.
¿Hay relación entre GameOver Zeus y tus archivos cifrados?
Sí, se han visto varios casos en los cuales una infección de este código malicioso lleva a la descarga de Cryptolocker, uno de los ransomware con mayor repercusión de los últimos años. Detectado por las soluciones de ESET como Win32/FileCoder, y con repercusiones a lo largo de toda la región, esta amenaza es responsable de pérdidas por miles de dólares para las empresas que no cuentan con una copia de seguridad actualizada y se vieron bajo la necesidad de pagar por el rescate; por ejemplo, una empresa Argentina llegó a pagar 2.500 dólares para recuperar su información.
GameOver Zeus y Cryptolocker, una pareja perfecta en el mundo del cibercrimen
A lo largo de los años, hemos sido testigos de cómo la combinación de diferentes amenazas es un método eficiente para que los cibercriminales obtengan dinero. Ya sea a través del robo de cuentas, el secuestro de información de los usuarios, ataques de denegación de servicios (DDoS), envío de spam o diferentes fraudes electrónicos, los códigos maliciosos son y serán un medio que los atacantes utilizan para este fin.
Durante la primera mitad del 2014, la combinación de GameOver Zeus y Cryptolocker fue la que más impacto ha tenido y llevó a organizaciones internacionales a combinar fuerzas para desmantelar las botnets asociadas a estas amenazas. Si bien se ha desmantelado a una de las botnets más grandes asociadas a esta pareja de malware, todavía se sigue viendo la propagación de distintas campañas que llevan a los usuarios a la descarga de GameOver Zeus.
¿Seguiremos viendo variantes de GameOver Zeus y Cryptolocker?
Lamentablemente, la respuesta a esta preguntas es sí. A diario aparecen campañas de propagación de distintas pandillas de cibercriminales, propagando amenazas similares pero que se conectan a diferentes servidores, utilizan diferentes packers, o presentan algunas otras diferencias.
El objetivo de todos ellos es el mismo: vulnerar la seguridad de los sistemas para acceder a la información de los usuarios y empresas con el fin de obtener un beneficio económico. A medida que las tecnologías han evolucionado, los cibercriminales han modificado sus amenazas para lograr los mismos fines de diferentes maneras.
Desde el Laboratorio de Investigación de ESET trabajamos a diario para detectar las últimas variantes y campañas de propagación de GameOver Zeus, minimizando la brecha de exposición de los usuarios y alertando sobre ellas. Estar protegido de este tipo de amenazas es posible, gracias a la combinación de soluciones de seguridad proactivas y buenas prácticas de seguridad informática.