Kaspersky Lab:¡también en mi lista de ataques DDoS! [por SpyEye]

El título de esta nota podría sugerir que me refiero a uno de los ciberdelincuentes que usa SpyEye, ¡quizás con admiración! Pero en realidad las acciones de este ciberdelincuente empalidecen todo lo demás.

La verdad es que tras la publicación de mi nota remarcando la táctica de usar uno de los servicios informáticos en la nube ofrecidos por Amazon como Centro de administración, descubrí una interesante copia de SpyEye: entre sus objetivos figura un ataque DDoS contra el sitio web de Kaspersky Lab.

El archivo de configuración de SpyEye, que es esencialmente un archivo comprimido y protegido con contraseña (por lo general MD5), guarda los recursos necesarios para el ataque. La sorpresa apareció cuando observaba el archivo de configuración del complemento o plugin (ddos.dll.cfg). La siguiente imagen muestra los parámetros de este archivo:

Como podemos ver, nuestro sitio web aparece en la lista de blancos. La sintaxis para fijar parámetros en el complemento SpyEye del ataque DDoS es tipo-blanco-puerto-tiempo:

• Tipo: Los ataques DDoS SYN contra los sitios de Kaspersky Lab y SpyEye Tracker, además de un ataque UDP dirigido sólo contra Kaspersky Lab. Asimismo, SpyEye acepta el ataque DDoS Slowloris.
• Blanco: Sitio web atacado (Kaspersky Lab y SpyEye Tracker).
• Puerto: Los puertos de destino por los cuales se canalizará el ataque (443 y 80).
• Tiempo: El periodo durante el cual se lanzarán los ataques. Por defecto, estos valores aparecen en segundos para los ataques con protocolos SYN y UDP. Para el ataque Slowloris, el valor se expresa en minutos.

¡Pero esta no fue la única sorpresa! Al observar otros archivos de configuración, en particular el complemento Custom Connector (customconnector.dll.cfg), noté un dominio muy familiar: http://[DELETE]/~ishigo/sp/main/gate.php

Custom Connection es un complemento que permite la comunicación entre los ordenadores zombi y el centro de administración a través de gate.php. Al revisar información de anteriores investigaciones, encontré un dominio (mismo rango IP) con parecida estructura, que era parte del caso Ice IX. La siguiente imagen es un fragmento de un informe obtenido de un análisis de Ice IX:

Ishigo es el nombre de un dueño de robot, o botmaster, muy activo en el escenario de la ciberdelincuencia y que opera principalmente usando los programas crimeware

, y que ahora está experimentando con Ice IX.

Sea o no sea un casual intento de ataque contra nuestro portal, seguiremos investigando las actividades de este y otros botmasters. ¡Te mantendremos informado!