Español | English
rss facebook linkedin Twitter

ZeuS timeline (y III)


En el último post de esta serie dedicado al timeline de ZeuS y sus leaks [1][2], vamos a hablar de algunos números que S21sec ha podido extraer del recorrido del troyano hasta hoy.

El número de botnets detectadas en estos años ha alcanzado el valor de 2.300. La mayoría de ellas han sido botnets de ZeuS. Para ilustrarlo de una manera visual, en la siguiente gráfica se observa la distribución por versiones. Se puede apreciar que entre las dos principales versiones de ZeuS (2.1.0.1 y 2.0.8.9) copan casi el 50% de los ataques.


Como se observa en la siguiente gráfica, la mayoría de estos ataques han ido dirigidos al sector financiero, y más concretamente a la Banca Online, cuyas entidades han sufrido un 87,5 de los ataques de esta familia.


Aunque históricamente la afectación a la Banca Online ha sido altísima, ésta ha descendido desde la aparición de nuevas variantes, que diversifican sus ataques a otros sectores que les permitan conseguir su objetivo. En este sentido, la seguridad de la Banca Online cada vez es mayor y el robo mediante transferencias fraudulentas ha descendido notablemente. En la siguiente gráfica se observa la evolución de afectación a la Banca Online, que de estar en una media de un 88% de afectación ha descendido a un 86,8% en lo que llevamos de 2013.


Los datos de los que dispone S21sec avalan esta teoría, y si hacemos una comparativa de muestras solamente entre ZeuS y Citadel (las que más hemos visto), lo comprobaremos. En 2012 (año en que apareció Citadel) el porcentaje era de un 24% frente a un 76% de ZeuS (recordad que hemos discriminado el resto de familias). Ahora bien, en el presente año los valores se han invertido, y hemos detectado un 41% de ZeuS frente a un 59% de Citadel, a pesar de la actuación de Microsoft a mitad de año para desactivar las botnets de Citadel. En este sentido, las versiones de ZeuS siempre han estado más dirigida al sector bancario que las nuevas variantes, incluyendo Citadel.

A continuación os mostramos una gráfica de afectación por países (es decir, el país de la entidad atacada, siempre que ésta siga teniendo formulario de credenciales). Para entender esta gráfica, has de saber que un ataque de un troyano afecta a más de una entidad al mismo tiempo, así que si se produce un ataque sobre muchas entidades de un país, éste recibe un mayor peso en la gráfica.


En este sentido, las entidades españolas han sido las terceras más atacadas históricamente, con un 16% del total de ataques sufridos (principalmente entidades financieras, aunque os recordamos que se está diversificando a otros sectores). Sin embargo, esta afectación ha sido mucho más alta para las versiones de ZeuS que para otras variantes. Es decir, la afectación a entidades españolas respecto al total de ataques ha estado por encima del 18% en los últimos años, y sin embargo durante 2013 ha descendido a un 14%.

Para finalizar, comentar que las nuevas variantes de ZeuS no solamente han diversificado los ataques a otros sectores, sino también al número de países cuyas entidades son atacadas. En lo que llevamos de 2013 este valor ha aumentado hasta los 71 países diferentes con entidades afectadas.


Como veis, es mucha la guerra que nos ha dado ZeuS durante los últimos años. Parece que la cosa no ha acabado y ZeuS y variantes siguen dominando el panorama, aunque con las diferentes familias de troyanos bancarios que han ido apareciendo, y sobre todo, el leak del código de Carberp, habrá que ver cómo evoluciona todo en los próximos meses.

Advanced Cyber Security Services
S21sec

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login