Como lo he comentado en varias oportunidades,
ZeuS es una de las
botnets más "mediáticas" (por ende una de las más conocidas y populares), más agresivas y la que posee mayor actividad delictiva con funciones avanzadas que permiten realizar
ataques de phishing, monitorear las
zombis en tiempo real y recolectar toda esa información a través de diferentes protocolos.
Estas actividades agresivas que fundamentalmente proponen metodologías para obtener información confidencial de las computadoras comprometidas por alguna de las variantes que forman parte de la familia ZeuS, cuentan actualmente con un amplio repertorio de páginas falsas de entidades bancarias y financieras destinadas exclusivamente a la recolección de información mediante phishing.
Asimismo, la posibilidad de contar con un módulo de monitoreo por el cual el
botmaster puede estar visualizando en tiempo real absolutamente todo lo que se realiza en la PC zombi (navegación por servicios de webmail, transacciones bancarias, conversaciones por chat, etc.), supone un grave peligro que atenta directamente contra la
confidencialidad.
Y aunque para muchos parezca una cuestión trivial, el solo hecho de saber que su desarrollador actualiza cada versión de ZeuS, desde el año 2007, aproximadamente una vez por mes, es un punto relevante que marca el por qué de su popularidad en el ambiente under.
Pero sin embargo, a pesar de todo esto, aún hoy parece que no se valoran en su justa medida las implicancias de seguridad que tienen implícitas las actividades, no sólo de ZeuS sino de cualquiera de las alternativas
crimeware que día a día bombardean Internet con sus acciones delictivas.
Quizás, lo que a continuación les voy a mostrar sea un aspecto fundamental para comprender el verdadero alcance delictivo que tienen este tipo de actividades. Se trata de una botnet ZeuS con un corto periodo de vida, pero con un importante volumen de zombis reclutados que se aglomeran en su cuartel bajo la tutela del "negociante" esperando sus órdenes.
La siguiente captura muestra los zombis reclutados sólo en Rusia, en este caso, por el botmaster que inició sesión bajo el nombre "
russian". Esta información se obtiene a través de la opción de filtrado, limitando la búsqueda con el acrónimo del país (RU).
Ahora… una de las preguntas que quizás muchas veces nos hacemos al hablar de botnets es
¿cuál es la capacidad de reclutamiento que poseen? y aunque la respuesta es relativa podríamos decir que no tiene límites, o que el límite estará dado en función de la capacidad de los servidores utilizados por los botmasters.
Pero, siguiendo el ejemplo anterior, podemos tener una idea lo suficientemente concreta sobre el poder de reclutamiento que posee, en este caso, el botmaster "
russian".
Con una actividad de
tres (3) meses, cuenta con una cantidad de
24.830 zombis. Algo así como casi
276 infecciones de ZeuS por día. Y si seguimos la lógica, estadísticamente hablado, la cantidad se podría cuadruplicar a lo largo del año.
Por otro lado, la posibilidad de administrar una botnet vía web, supone también que pueden ser administradas varias al mismo tiempo; es decir, que varios botmasters pueden utilizar la misma aplicación web (en este caso ZeuS) para controlar "sus" zombis. De esta manera, el usuario "
russian" posee una actividad relevante. Pero también podemos obtener información de sus pares que se encuentran administrando zombis bajo el mismo dominio.
Por ejemplo, el usuario "
system" posee
10.184 zombis pero reclutadas durante un periodo de
30 días. Aproximadamente
335 zombis por día. Todo, a través de una sola botnet ZeuS ¿
se imaginan cuantas ZeuS como estas se encuentran In-the-Wild?
Mientras que el botmaster con menos actividad cuenta con tan sólo
34 zombis, pero
en menos de 1 hora.
En resumen, independientemente del tiempo de actividad de una u otra botnet, la tasa de reclutamiento es muy alta.
Esto significa también que los mecanismos de prevención no son lo suficientemente efectivos, y de hecho
un reciente estudio deja en evidencia que los mecanismos evasivos que incorpora ZeuS son lo suficientemente efectivos frente a los mecanismos de detección de muchas de las soluciones antivirus actuales.
No obstante, bajo un aspecto más riguroso, que el malware actual incorpore
mecanismos auto-defensivos cada vez más eficaces no significa que los antivirus no son efectivos. Además, no todo pasa por la solución de seguridad y
gran parte de la responsabilidad recae en el usuario ya que, en definitiva y siguiendo con el aspecto riguroso, un sistema no se infecta por sí solo.
Información relacionadaJorge Mieres
Ver más
Netherlands Rotterdam Interactive 3d
Inttranspnet-rest
Realon Service Llc
Ankara Netfactor Telekom Ve Teknoloji Hiz.as
Serverconnect I Norrland
Wholesale Internet Inc
Interweb Media
Costa Rica Centerinfocom Ltd
Cyprus Nicosia Riccom Ltd
Haifa Loads
Cayman Islands Cayman British Islands Offshore Network 
