Relativizan los riesgos de un ciberataque

CABASE –Cámara Argentina de Internet- relativizó un alerta por un cyberataque a nivel mundial, que implicaba múltiples compromisos, y hasta se daban cifras de la cantidad de computadoras afectadas en nuestro país. Se identificaba como causante del riesgo al Kneber Botnet, uno de los nombres con que se conoce al malware designado en forma estándar como ZeuS.

Al conocerse la noticia –informó el gerente de la entidad, ingeniero Claudio Avin- desde el CSIRT CABASE nos pusimos en contacto con las empresas más importantes de seguridad que están radicadas en la Argentina, también con el gobierno nacional y con nuestros expertos en seguridad.

Para todos el veredicto fue unánime, este es un ataque ya tiene mucho tiempo y los antivirus actuales ya están preparados para detenerlo.

La entidad difundió el siguiente texto: la misión del CSIRT CABASE se centra en los incidentes informáticos reales, de los cuales este no lo es, pero debido a la difusión que tuvo esta información errónea en los medios de prensa (Nota de la Redacción: entre los que no se cuenta Portinos), consideramos adecuado publicar un informe al respecto. Se trata de un malware cuya primera versión apareció hace casi dos años y hoy es detectado por la mayoría de los antivirus, firewalls de capa 7 y IDSs. La difusión de la información se originó en un informe de una empresa estadounidense, fue interpretado de manera catastrófica por algunos medios y dispersado por otros que verificaron la información.

Descripción

Kneber Botnet es uno de los nombres con que se conoce al malware designado en forma estándar como ZeuS.

Como la mayoría de los malware de alto nivel de dispersión en los últimos dos años, compendia acciones de diferentes tipos de programas dañinos, aunque no todas funcionan eficientemente.

Su función primaria es comportarse como BotNet debido a que tiene la posibilidad de ser controlado de manera remota y realizar acciones coordinadas por un intruso informático dentro de un conjunto de computadoras infectadas.

Una vez que una computadora está infectada, el código de este malware corre en la capa 3 (aplicaciones) del sistema operativo, con lo que puede controlar los dispositivos que haya conectados, ya que en estos se puede encontrar la información que busca capturar.

Las últimas versiones conocidas de ZeuS tienen las siguientes características, una vez que la computadora está infectada:

– Monitorea el tráfico de red del protocolo TCP.

– Intercepta las conexiones FTP y POP3 de cualquier puerto.

– Intercepta las solicitudes HTTP y HTTPS de todas las aplicaciones que funcionen con la librería wininet.dll.

– Hace capturas de pantallas y puede transmitirlas en tiempo real.

– Realiza algunas acciones que forman parte de ataques de phishing.

– Tiene un módulo de defensa rudimentario que despliega mecanismos antidetección como el autoencriptado polimórfico de su código.

– Se comunica encriptando su tráfico con el algoritmo simétrico RC4 con una clave constante.

Nivel de riesgo: Bajo

Se estima que la fluctuación de la red de computadoras infectadas es de alrededor de 75.000, lo que es, a nivel mundial, una cifra un poco por debajo de la media del tamaño de las redes BotNet detectadas. Esto no ha variado en los últimos meses, por lo que la alerta por parte de la prensa no está justificada.

Solución

La mayoría de los antivirus detectan la presencia de ZeuS y algunos tienen la capacidad de realizar acciones de erradicación del mismo de un equipo infectado.

Alcanza con tener un antivirus confiable y correctamente instalado y actualizado.

También es recomendable la utilización de un Firewall Personal en la estación de trabajo

Acerca de CABASE:

Fundada en 1989, CABASE es la Cámara que reúne a las empresas que se dedican a Internet, Comercio Electrónico, Contenidos y Servicios Online. En CABASE se ha constituido el primer NAP (Network Access Point) privado de Latinoamérica, donde se interconectan más de 40 ISPs y entidades académicas y gubernamentales. Además, cuenta con una destacada actuación internacional: es socia fundadora de la Federación de Latinoamérica y el Caribe para Internet y el Comercio Electrónico (eCOM-LAC) y del Registro Regional de Direcciones IP de Latinoamérica y el Caribe (LACNIC). Para obtener mayor información, visite: www.cabase.org.ar

Acerca de CSIRT CABASE:

CSIRT, por su sigla en inglés, significa Computer Security Information Response Team (Equipo de Respuestas a Incidentes de Seguridad). El CSIRT CABASE tiene como objetivos:

• Mantener una base de datos de vulnerabilidades de seguridad
• Mantener una base de datos de incidentes de seguridad ocurridos en las organizaciones asociadas.
• Proveer asesoramiento especializado en Seguridad de la Información basado en estándares, adaptado al marco legal, regulatorio y normativo vigente en Argentina.
• Promover la coordinación entre las organizaciones asociadas para la prevención, detección, manejo y recuperación de incidentes de seguridad, a partir del cumplimiento de la función de repositorio de información sobre incidentes de seguridad, herramientas y contramedidas.
• Brindar capacitación a los responsables de las áreas de Seguridad de la Información de cada organización asociada.
• Establecer contactos con otros CSIRTs del mundo y con las organizaciones que los agrupan, para mantener un intercambio de información que aumente el alcance de los conocimientos generados por el análisis de los incidentes locales, pero siempre manteniendo el anonimato de las organizaciones que los sufrieron.

csirt cabase

El CSIRT CABASE es unos de los Reaserch Parner del Antiphishing Working Gropup, la entidad mundial mas importante en la lucha al cybercrimen.

Antiphishing