¿Qué es GameOver Zeus (GOZ)?

Zeus es una familia de malware que se descubrió en el 2005. Además del componente original de Zeus, pensado para robar cuentas financieras, GameOver Zeus o GOZ es una variante avanzada con un componente de ransomware. Ambos componentes incrementan a probabilidad de un pago al atacante. GameOver Zeus no solo es un malware que roba credenciales bancarias mediante una función de keylogger y scripts de inyección web, sino que los ordenadores infectados también se vuelven parte de una botnet usada para comunicarse con otros ordenadores infectados usando protocolos “peer-to-peer” (P2P) o de igual a igual.

La versión original de Zeus, de 2005, fue creada por Evgeniy Bogachev, que usaba el alias común “Slavic”. Si bien Slavic creó la versión original de Zeus, después colaboró con más de 50 personas que se hacían llamar el “business club” (en español “club de negocios”) para ejecutar ataques de ingeniería social y malware contra cuentas bancarias de las víctimas. Juntos, el grupo de defraudadores agregó funciones al código original de Zeus, habilitándolo para piratería, actividad de botnet, desplegar CryptoLocker e inyectar JavaScript malintencionados y elementos web en el navegador de una víctima.

En 2010, Slavic anunció que ya no brindaría soporte para Zeus, entregándole la base de código a otros, que crearon variantes rápidamente. El grupo, que los investigadores conocen como “JabberZeus”, creó variantes llamadas Murofet/Licat Zeus. Este grupo hizo público el código de Zeus, cosa que llevó a la creación de aún más variedades, que después salieron al mercado libre.

La variedad Murofet/Licant incluía la base para GameOver Zeus, comunicaciones “peer-to-peer” y la funcionalidad de ransomware CryptoLocker para el código fuente. Los atacantes pasaron de robarse credenciales bancarias a usar ransomware para extorsionar dinero a las víctimas.

En 2014, los investigadores ejecutaron un allanamiento de la infraestructura de GameOver Zeus, tomando los dominios que Zeus usaba para comunicarse y distribuir el malware entre su red. Otra variante que salió rápidamente fue la conocida como “newGOZ”, pero no estuvo activa mucho tiempo, y podría haber sido concebida como distracción para los investigadores mientras que los autores del malware liberaban el código al público.

Como Zeus es una familia de malware muy amplia, cada variedad difiere en su modalidad de ataque y su carga útil, pero GameOver Zeus es una variante creada específicamente por su ransomware. Después de que un dispositivo objetivo queda infectado, este busca oportunidades para descargar e instalar malware adicional, típicamente el ransomware CryptoLocker.

Este malware se disemina mediante mensajes de correo electrónico malintencionados. Los mensajes podrían contener un archivo adjunto malintencionado o un enlace a un servidor controlado por el atacante. A los usuarios se les obliga a descargar el malware, que añade al ordenador infectado a la botnet. Cada ordenador en la botnet se conecta a centro de control y comando de la red de Zeus, donde los atacantes les dan “órdenes” a los equipos infectados y actualizan malwares.

Después de que un usuario objetivo lo instala, GameOver Zeus espera que el usuario acceda a su cuenta bancaria en su navegador. El malware inyecta scripts y elementos para engañar a los usuarios y lograr que divulguen su información bancaria, como preguntas de seguridad, para que los atacantes puedan acceder a la cuenta bancaria de la víctima para hacer transacciones fraudulentas. GameOver Zeus también roba las credenciales de sesión, que los servidores usan para identificar a los usuarios conectados a la aplicación web.

El objetivo principal de GameOver Zeus botnet es extraer dinero a las víctimas usando una gran red zombi que funciona en conjunto para robar información bancaria o transferir fondos automáticamente de la cuenta bancaria online de la víctima a la cuenta bancaria del atacante. Como malware, el diferenciador de Zeus es el factor humano. Las “mulas” extraen el dinero de cuentas bancarias locales de las víctimas y envían este dinero a cuentas bancarias extraterritoriales pertenecientes a los atacantes.

Además, opera en segundo plano en un ordenador Windows, verificando continuamente para hallar información personal o corporativa, incluyendo información almacenada en navegadores o almacenamiento protegido. Las comunicaciones “peer-to-peer” están cifradas para evitar la detección de comunicaciones entre el servidor y la red de control y comando y la botnet. Cualquier información que Zeus encuentra se envía a otro “par” en la botnet.

Las actividades en la botnet son principalmente para comunicaciones entre equipos infectados, así que los atacantes pueden “alquilar” la red de Zeus para realizar sus propias infecciones. Slavic cuenta con acceso exclusivo a la red “backend” de Zeus mediante el uso de claves privadas para conectarse con sus pares y actualizarlos con la versión más reciente de Zeus.

El ransomware CryptoLocker es una salvaguarda en caso de que el malware no logre robar las credenciales bancarias. El componente de ransomware generalmente funciona igual que la mayoría. Cifra los archivos con RSA-2048, que es algoritmo de cifrado criptográficamente seguro. Los archivos no se pueden descifrar sin la clave privada, que solamente se suministra cuando la víctima paga el rescate.

Otros datos delicados que roba Zeus:

• Los datos se interceptan cuando se envían formularios HTTP.
• Cualquier dato en Windows Protected Storage se roba y envía a los atacantes.
• Los certificados y claves de clientes usadas en infraestructuras públicas clave.
• Credenciales de cuentas FTP y POP (correo electrónico).
• Cookies para aplicaciones HTTP y Flash.

Como Zeus y GameOver Zeus han existido desde más de una década, el daño causado a las empresas y consumidores se cifra en millones. El pico de actividad de Zeus se alcanzó entre el 2011 y el 2014. GameOver Zeus botnet fue desarrollado como una variedad posterior e hizo la mayor parte del daño en 2014. Sin embargo, no deja de ser un malware sofisticado que las organizaciones empresariales deben evitar activamente.

Según el FBI, GameOver Zeus ha infectado a más de 250.000 ordenadores y ha sido responsable por más de 100 millones de USD en pérdidas monetarias. El componente de ransomware CryptoLocker de Zeus es responsable de un estimado de 27 millones de USD en pagos de rescates a consumidores y empresas. Investigaciones de la University of Kent estiman que un 40% de las víctimas del cryptolocker pagaron rescates.

El FBI emitió una acusación contra Slavic y sus conspiradores involucrados en la red de fraudes, y ofrecieron millones de dólares en recompensas por información acerca de la red de Zeus. Sin embargo, diferentes variedades de este programa siguen atormentando a empresas y consumidores por igual. El componente de botnet de Zeus afecta a los consumidores y empresas, y es difícil detectar al Zeus en el equipo infectado.

Diversos individuos en los Estados Unidos, el Reino Unido y Ucrania han recibido órdenes de allanamiento y se les han imputado cargos por fraude. Se estima que 390 casos del FBI han implicado el uso de malware. Se han registrado más de 200 millones de USD en pérdidas potenciales, y las pérdidas reales se han cifrado en 100 millones de USD.

Como GameOver Zeus comienza con un correo electrónico de phishing, la primera defensa contra el Zeus y otros malwares es una buena solución de seguridad para correo electrónico. La segunda es la capacitación. Formar a los empleados mediante un programa de capacitación para conciencia de seguridad es fundamental. Está comprobado que los usuarios capaces de detectar correos electrónicos sospechosos disminuyen notablemente el riesgo de que su empresa resulte víctima del ransomware. Se pueden tomar medidas adicionales, como filtros de correo electrónico y alertas a los administradores, para evitar que los mensajes lleguen a la bandeja de entrada del usuario.

La mayoría de los correos electrónicos de phishing relacionados con GameOver Zeus implican el pedirle al usuario que haga clic en un enlace malintencionado contenido en el mensaje. Los filtros corporativos de contenido pueden ayudar a evitar el acceso a las páginas web malintencionadas a las que llevan los enlaces, pero los usuarios también deben animarse a reportar correos electrónicos sospechosos. Los antivirus logran detener a algunos instaladores de malware, pero no deben ser la única defensa contra las descargas “drive-by”.

Las aplicaciones antivirus y antimalware de nivel corporativo ayudan a evitar que el malware se incruste en el sistema operativo Windows. Todas las aplicaciones, incluyendo navegadores y el sistema operativo Windows, deberían tener instaladas las más recientes actualizaciones de seguridad. El software desactualizado con vulnerabilidades conocidas es un motivo común para las infecciones de malware.

GameOver Zeus roba contraseñas y datos delicados relacionados con cuentas bancarias, así que cambiar las contraseñas periódicamente reduce la capacidad de un atacante de obtener acceso a las cuentas bancarias online. Si su panel de control de banca online le ofrece alguna manera de desactivar o desautenticar sesiones, cierre todas las sesiones con acceso a la cuenta bancaria. La mayoría de los bancos prestigiosos cuentan con estrategias de detección de fraudes online, pero no debe confiar solamente en sistemas antifraude para evitar los accesos remotos a su cuenta bancaria.

Tal vez no sea tan popular como antes, pero GameOver Zeus sigue siendo una amenaza a consumidores y empresas por igual. Desde su lanzamiento inicial en 2005, Zeus ha tenido diversas variantes, implementadas por diferentes atacantes. GameOver Zeus es tan solo una de tantas variantes, y existen otras como Panda Banker, Terdot, Floki, Sphinx y Citadel.

Se rumoraba que Slavic pretendía vender su código a un competidor llamado SpyEye, que vendía software de eliminación de Zeus que era usado para infectar ordenadores con otros malwares. Los informes dicen que Slavic se “retiró” y entregó su código, pero los investigadores han hallado evidencia de que Slavic sigue creando programas Zeus aún más poderosos para continuar robando bancos. En vez de vender su código, Slavic alquila o vende acceso a Zeus de manera privada.

El código de Zeus está disponible en los mercados de la darknet y en los círculos de hackers, lo que brinda un sustrato sólido para los autores de malware. Su actividad “peer-to-peer” lo hace perfecto para grupos de defraudadores muy sofisticados que están dispuestos a crear infraestructuras para crear sus propias versiones de Zeus. Zeus era originalmente un troyano bancario, pero el ransomware ha demostrado ser más exitoso para los atacantes. La mayoría de los atacantes de Zeus trabajan con GameOver Zeus para combinar la actividad de troyano con ransomware para incrementar la tasa de éxito de los pagos.

Las organizaciones que implementan políticas de proxy y de cortafuegos pueden frenar a las comunicaciones de Zeus. Desafortunadamente, bloquear las comunicaciones de Zeus también podría detener al tráfico legítimo en su red, interfiriendo con la productividad de sus empleados. Durante su auge, Zeus tenía 1,2 millones de ordenadores infectados bajo su control, así que bloquear rangos de IP podría ser una necesidad para detener las comunicaciones entre pares dentro de una red en una situación de emergencia. Sin embargo, esto podría no ser posible sin causar interrupciones.

Es necesario contar con programas antimalware específicamente diseñados para detener al ransomware y al malware sofisticado, como Zeus. Los proveedores de antivirus suelen bloquear dominios y aplicaciones enteros, pero no tienen las prestaciones contra el malware de los programas antimalware más sofisticados.

Las nuevas versiones de GameOver Zeus tienen un rootkit llamado Necurs, que hace mucho más complicado eliminar completamente al Zeus. Zeus se esfuerza agresivamente por continuar comunicándose con más ordenadores e infectándolos. Como Zeus es una agresiva aplicación de malware, es fundamental tener una defensa antimalware igual de agresiva.

Las organizaciones precisan de unas respuestas a incidencias, detección y contención más avanzadas para protegerse de Zeus y otros sofwares maliciosos igual de sofisticados y agresivos. La combinación de estrategias adecuadas para crear infraestructuras seguras e instalar software antivirus y antimalware ayuda a reducir el riesgo de una infección por Zeus.

Proofpoint comprende muy bien el panorama de ciberseguridad y los peligros de permitir que malware como GameOver Zeus logre infectar ordenadores. Una infección por Zeus implica mucho más que simplemente corregir el problema en una estación de trabajo. Zeus se disemina rápidamente en todo su entorno y debe contenerse de inmediato.

Proofpoint puede ayudarle a detener al malware y a evitar que su sistema de correo electrónico se vuelva el punto de partida del ataque. Ofrecemos soluciones proactivas que evitan los mensajes de correo electrónico malintencionados, bloquean a malwares dañinos que intentan infectar a su entorno, y erradican y remedian a las amenazas más peligrosas.