Español | English
rss facebook linkedin Twitter

Citadel "involution"

Mediante la Plataforma de Análisis de S21sec, que analiza y clasifica miles de muestras de malware cada día, vamos haciendo seguimiento de familias que nos parecen interesantes para nuestros clientes. De entre las más conocidas (y de las que más hemos hablado) hoy volvemos a hablar de Citadel. Mediante un control sobre las actualizaciones que realizan las botnets de Citadel, y tras su análisis, podemos comprobar el nivel de actividad de cada botnet, cambios relativos a las entidades que afecta, cuándo se queda inactiva, etc etc.

A pesar de que hace ya muchos meses desde que se liberó la última versión (la 3.1.0.0), y a pesar de que se daba por hecho que sería sustituido por por otras familias de troyanos bancarios, lo cierto es que, a día de hoy, a pesar de la operación efectuada por Microsoft para acabar con él, siguen existiendo botnets de Citadel activas.

Lo que sí es cierto es que, desde principios de año, venimos observando una caída notable en cuanto al número de muestras que entran diariamente en los analizadores. En las siguientes gráficas se puede ver una evolución de la tendencia en los últimos meses de las 3 versiones más populares del troyano.





Por supuesto, este dato sería inútil sin mostrar la evolución en cuanto al número de muestras que entran en la Plataforma de Análisis, "inversamente proporcional" a la entrada de muestras de Citadel.


La versión más extendida ha sido la 1.3.5.1 y, de hecho, actualmente casi el 90% de las botnets que vemos activas pertenecen a esta versión. Dos de los motivos por los que creemos que no ha habido un cambio masivo a la 3.1.0.0 son:

  • La versión 1.3.5.1 es la última que, hasta donde sabemos, estuvo a la venta de forma "pública".
  • El leak del builder de Citadel de la versión 1.3.5.1 ha permitido a muchos ciberdelincuentes no tener que desembolsar dinero por la compra, a pesar de no disponer de las actualizaciones a las que daba derecho su compra.

Advanced Cyber Security Services
S21sec


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login