Cuando saltaron las alarmas, en 2007, nadie esperaba que ZeuS fuera a tener un impacto tan brutal en el mundo digital. Pero dos años después, Zbot, otro de los nombres con los que se le conoce, se convertía en un hito en la historia de la seguridad. Con más de 3,6 millones de ordenadores infectados en 2009, ZeuS llegó a comprometer más de 74.000 cuentas FTP de redes tan importantes como las de la NASA, Abc, Oracle, Cisco, Amazon o Bank of America. Además, también consiguió robar y bloquear información del Departamento de Transporte de Estados Unidos, entre otras agencias gubernamentales. Su impacto fue desmesurado y las medidas para combatirlo duras y complejas. Pero lo peor de todo es que, a día de hoy, Zbot no ha desaparecido, sino que sigue actuando.
¿En qué consiste ZeuS y qué hace?
Zbot es un troyano clásico en muchos sentidos: su vector de infección suele pasar por métodos de phishing o por técnicas “Drive-by download”. Básicamente, el software, diseñado para infectar Windows, se introducía en los dispositivos por descargas voluntarias aunque inintencionadas, vía pop-ups o archivos de correo infectados, entre otros muchos formatos. Una vez infectado, el troyano, según su variante, actúa de diversas maneras. En general, ZeuS es famoso por su uso en el robo de credenciales, contraseñas e información sensible mediante diferentes técnicas: keylogging, form-grabbing o, incluso, cryptolocking.
Entre las vulnerabilidades explotadas por este troyano se encuentran algunos fallos en la ATL de Microsoft, diferentes problemas encontrados en los controles ActiveX o vulnerabilidades en funciones controladas por JavaScript, entre muchas otras. En su momento, Zbot fue detectado e identificado, pudiendo pararle los pies. Sin embargo, este troyano creado supuestamente por Evgeniy Mikhailovich Bogachev, más conocido como “Slavik”, ha sido el origen de un potente toolkit que puede adquirirse en el mercado negro. Dichas herramientas ofrecen diversos módulos con los que diseñar y crear nuevo malware. Otros troyanos cuya base es ZeuS, pero con una identificación completamente distinta, al igual que sus efectos, que pueden ser devastadores para cualquier organización.
“Hijos” de ZeuS
Existen miles de variantes de Zbot. Algunas como Gameover, o el un poco más reciente Atmos, han logrado su propio lugar en los titulares de los medios. Sphinx, Floki Bot y muchos más comparten en su núcleo las mismas directrices que ZeuS. Sin embargo, han conseguido pasar desapercibidos ante las medidas de seguridad contra Zbot. Así, Gameover puso en jaque a una buena parte de la comunidad financiera; y Atmos, identificado en 2015, apunta a los bancos y sus transacciones. Los expertos alertan del peligro: ZeuS sigue vivo con otros nombres y otras “habilidades”. Y es más peligroso que nunca.
¿Cómo protegernos?
El desastroso resultado de ser infectado con este troyano (o más bien sus variantes), puede ser mitigado o evitado. Para ello, debemos adoptar varias medidas inmediatas. En primer lugar, las generales, que pasan por educar a los miembros de la empresa para que no cometan el error de abrir o instalar software sospechoso. En segundo lugar, es imprescindible contar con una herramienta adecuada de ciberseguridad avanzada, capaz de impedir que este troyano llegue a la red corporativa. Panda Adaptive Defense monitoriza en tiempo real la actividad del sistema y, gracias al uso de la lógica contextual, localiza comportamientos sospechosos y remedia posibles acciones perniciosas. También es conveniente monitorizar las redes para descubrir actividades extrañas. Pero además de estos consejos generales (y no por ello menos importantes), debido a la naturaleza de ZeuS, es recomendable tener en cuenta otros aspectos concretos:
- Evitar el autoplay de archivos multimedia, activar el modo sólo lectura y evitar el acceso entre ordenadores de la red si no es imprescindible.
- Para emplear el trabajo colaborativo en la red de la empresa es muy conveniente usar políticas estrictas de protección y contraseña, limitando el acceso y los permisos.
- Deshazte de los servicios innecesarios, teniendo especial precaución de eliminar los servicios auxiliares.
- Mantener actualizado todo el software también es un modo seguro de reducir los puntos débiles.
- En caso de detectar una infección, hay que aislar el dispositivo de forma inmediata y sin reparos.
- Elimina otras vías de conexión innecesaria, como podría ser el Bluetooth.
- Configurar el correo electrónico para que bloquee automáticamente adjuntos típicamente vulnerables como son los .exe, .bat, .vbs, .pif o .scr cerrará una puerta más a los ataques.
Con un poco de atención y formación, ZeuS se convertirá en una amenaza menor y bien controlada.