Fin del juego ZeuS

Red de bots peer-to-peer

GameOver ZeuS ( GOZ ), también conocido como ZeuS peer-to-peer ( P2P ), ZeuS , ZeuS3 y GoZeus , es un troyano desarrollado por el cibercriminal ruso Evgeniy Bogachev. Creado en 2011 como sucesor de Jabber Zeus , otro proyecto de Bogachev, el malware es conocido por su uso en fraudes bancarios que resultaron en daños de aproximadamente $100 millones y por ser el principal vehículo a través del cual se llevó a cabo el ataque del ransomware CryptoLocker , que resultó en millones de dólares en pérdidas. En el pico de su actividad en 2012 y 2013, entre 500.000 y 1 millón de computadoras fueron infectadas con GameOver ZeuS.

El GameOver ZeuS original se propagó a través de correos electrónicos spam que contenían enlaces a sitios web que descargarían el malware en el equipo de la víctima. El equipo infectado luego se integró en una botnet , considerada una de las botnets más sofisticadas y seguras del mundo en ese momento. La botnet GOZ era particularmente notable por su infraestructura descentralizada de igual a igual , que combinada con otras medidas de seguridad como rootkits hizo que cerrar la botnet fuera extremadamente difícil. Las actividades de la botnet también estaban dirigidas por un grupo de crimen organizado encabezado por Bogachev y que se autodenominaba el "club de negocios", que tenía su base principalmente en Rusia y Europa del Este. El sindicato complicó aún más los intentos de combatirlo por parte de las fuerzas del orden y los investigadores de seguridad utilizando una gran red de lavado de dinero y ataques DDoS , utilizados como represalia y como una forma de distracción durante los robos.

En 2014, la botnet GameOver ZeuS original fue desmantelada gracias a una colaboración entre las fuerzas del orden de varios países y empresas privadas de ciberseguridad, denominada Operation Tovar . Bogachev fue acusado poco después y se emitió una recompensa de 3 millones de dólares por información que condujera a su arresto, en ese momento la recompensa más alta para un cibercriminal en la historia. Menos de dos meses después de que se ejecutara Operation Tovar, se descubrió una nueva cepa de GameOver ZeuS. Llamada "newGOZ", carecía de capacidades peer-to-peer pero, por lo demás, compartía el noventa por ciento de su base de código con el GOZ original. La participación de los administradores originales de GameOver ZeuS en la actividad de newGOZ desde su creación es discutida.

Detalles técnicos

Estructura de la botnet

Las máquinas infectadas con GOZ se integraron en una botnet , un sistema de varios dispositivos que podían controlarse de forma remota a través del malware. En el pico de actividad de GOZ, entre 2012 y 2013, la botnet comprendía entre 500.000 y un millón de computadoras comprometidas. ^[1] Las capacidades de creación de botnets eran comunes a todas las variantes de ZeuS; sin embargo, mientras que las iteraciones anteriores del malware creaban botnets centralizadas, en las que todos los dispositivos infectados estaban conectados directamente a un servidor de comando y control (C2), GameOver ZeuS utilizaba una infraestructura descentralizada de igual a igual . ^[2]

La botnet estaba organizada en tres capas. La capa más baja estaba formada por las máquinas infectadas, algunas de las cuales eran designadas manualmente como "bots proxy" por el grupo criminal. Los bots proxy actuaban como intermediarios entre la capa inferior y una segunda capa proxy compuesta por servidores dedicados propiedad del grupo. La segunda capa servía para crear distancia entre las máquinas infectadas y la capa más alta, desde la que se emitían comandos y a la que se enviaban datos de las máquinas infectadas. ^[3] Esta infraestructura dificultaba el seguimiento de los servidores C2 de la botnet, ya que los pastores de la botnet solo se comunicaban directamente con un pequeño subconjunto de computadoras infectadas a la vez. ^[4] Aunque la botnet en su conjunto estaba estructurada de esta manera, la red estaba dividida en varias "sub-botnets", cada una dirigida por un botmaster diferente. ^[5] Existían hasta 27 de estas sub-botnets, pero no todas se utilizaban activamente, y algunas existían para fines de depuración. ^[6]

Seguridad

GOZ contenía varias funciones de seguridad diseñadas para impedir el análisis completo de la botnet (en particular, restringiendo las actividades de los rastreadores y sensores ^[a] ), así como para evitar los intentos de apagado. La eficacia de estos mecanismos ha llevado a que GameOver ZeuS se considere una botnet sofisticada ^[9] , y el fiscal general adjunto de los Estados Unidos, James M. Cole, la calificó como “la botnet más sofisticada y dañina que jamás hayamos encontrado”. ^[10] El investigador de ciberseguridad Brett Stone-Gross, que fue contratado por la Oficina Federal de Investigaciones para analizar GameOver ZeuS, reconoció de manera similar que la botnet estaba bien protegida contra los esfuerzos de las fuerzas del orden y los expertos en seguridad. ^[11]

Los rastreadores se inhibieron por varios medios. Cada bot tenía cincuenta pares; ^[12] sin embargo, un bot al que se le pidió que proporcionara una lista de sus pares solo devolvería diez. ^[13] Además, la solicitud de listas de pares estaba limitada de modo que las solicitudes rápidas desde una dirección IP darían como resultado que esa dirección fuera marcada como rastreador y se la incluyera automáticamente en la lista negra, ^[14] deteniendo todas las comunicaciones entre la IP marcada y el bot que la marcaba. Cada bot también tenía una lista preexistente de direcciones en la lista negra que se sabía que estaban controladas por organizaciones de seguridad. ^[15]

Los sensores se inhibieron mediante un mecanismo de filtrado de IP que impedía que varios sensores compartieran una dirección IP. El efecto de esto era evitar que individuos o grupos con una dirección IP llevaran a cabo ataques de hundimiento en la red de bots. ^{[b] [17]} Se sabía que los botmasters de GOZ habían llevado a cabo ataques DDoS en respuesta a intentos de hundimiento. ^[18]

En el caso de que un bot GOZ no pudiera contactar con ningún par, utilizaría un algoritmo de generación de dominios (DGA) para restablecer el contacto con los servidores C2 y obtener una nueva lista de pares. ^[19] El DGA generaba mil dominios cada semana y cada bot intentaba contactar con todos los dominios; esto significaba que si los servidores C2 actuales de la botnet estaban en peligro de ser cerrados, los botmasters podían configurar un nuevo servidor usando un dominio en la lista generada y restablecer el control sobre la red. ^[4]

Existía una "versión de depuración" especial del malware que proporcionaba registros detallados sobre la red. La versión de depuración existía para obtener información sobre las actividades de los investigadores de seguridad contra la botnet y desarrollar respuestas apropiadas. ^[20] El malware en sí también era difícil de eliminar, debido a un rootkit que contenía. ^[21] El rootkit, Necurs , se tomó de un malware diferente. ^[22]

Interfaz

La interfaz que controla la botnet podría utilizarse para leer los datos registrados por los bots y ejecutar comandos, incluidos scripts personalizados. ^[23] Existía un panel especial de captura de tokens para ataques de tipo man-in-the-browser utilizados para obtener credenciales de inicio de sesión de bancos; iniciar sesión en una cuenta bancaria generalmente implica medidas de autenticación además de un nombre de usuario y una contraseña, como un código de un solo uso o una pregunta de seguridad. El panel existía para que los delincuentes pudieran solicitar de forma rápida y sencilla soluciones a estas medidas a la víctima. ^[24] El panel de captura de tokens se titulaba "World Bank Center", con el lema "estamos jugando con sus bancos". ^[25] Existía otro panel para facilitar el desvío de dinero de las cuentas bancarias, permitiendo al usuario seleccionar una "cuenta de destino" a la que se enviaría indirectamente el dinero. ^[26] Los administradores de botnets no necesitaban utilizar el panel de captura de tokens, ya que se les permitía cargar sus propios scripts para utilizarlos contra los sistemas infectados, con la salvedad de que no podían atacar a las computadoras rusas. ^[20]

Actividad

GOZ se difundió mediante correos electrónicos no deseados que se hacían pasar por varios grupos, como minoristas en línea, instituciones financieras y compañías de telefonía móvil. Los correos electrónicos contenían un enlace a un sitio web comprometido desde el que se había descargado el malware. Estos correos electrónicos no deseados se enviaban a través de una botnet diferente, Cutwail , que los cibercriminales alquilaban con frecuencia para enviar correo no deseado. ^[27]

Entre 2011 y 2014, toda la actividad de GameOver ZeuS estuvo a cargo de un solo sindicato criminal. El sindicato utilizó principalmente GOZ para cometer fraudes bancarios y extorsiones, aunque se sabía que existían otras fuentes de ingresos, como el fraude de clics y el alquiler de la botnet. ^[28]

Gestión

El creador y desarrollador principal de GameOver ZeuS fue Evgeniy "slavik" Bogachev, ^[c] el creador del troyano Zeus original y el predecesor inmediato de GOZ, Jabber Zeus . ^{[25] [29]}

El uso de GameOver ZeuS estaba a cargo de Bogachev y un grupo que se autodenominaba "club empresarial". El club empresarial estaba compuesto principalmente por delincuentes que habían pagado una tarifa para poder usar la interfaz de GOZ. En 2014, había alrededor de cincuenta miembros del club empresarial, ^[28] en su mayoría rusos y ucranianos. ^[30] La red también empleaba personal de soporte técnico para el malware. ^[6] Los miembros de la red criminal estaban repartidos por toda Rusia, pero los miembros principales, como Bogachev, estaban principalmente radicados en Krasnodar . ^[25] Los miembros del club empresarial no usaban exclusivamente GOZ y a menudo eran miembros de otras redes de malware. ^[31]

Además del club de negocios, se reclutaba a un gran número de mulas de dinero para blanquear fondos robados. Las mulas, que se encontraban en Estados Unidos para evitar sospechas, eran reclutadas a través de correos electrónicos basura enviados por la red de bots GOZ, en los que se les ofrecía trabajo a tiempo parcial. ^[32] Las mulas de dinero no eran conscientes de que estaban manejando fondos robados o trabajando para un sindicato criminal. ^[33]

Robo bancario

GameOver ZeuS se utilizaba normalmente para robar credenciales bancarias, normalmente de hospitales. Esto se hacía principalmente a través del registro de pulsaciones de teclas . ^[34] Sin embargo, el malware era capaz de utilizar el secuestro del navegador para eludir la autenticación de dos factores . Al presentar a la víctima una versión falsa de la página de inicio de sesión de su banco, un delincuente podía solicitar cualquier código o información que fuera necesaria para iniciar sesión en la cuenta de la víctima. Una vez que la víctima "inicia sesión" en la página falsa con esta información, recibiría un "por favor espere" o una pantalla de error mientras se enviaban las credenciales a los delincuentes. Con esta información, los operadores del malware podían acceder a la cuenta bancaria y robar dinero, ^[24] normalmente cientos de miles o millones de dólares. ^[28] En un caso, se robaron 6,9 millones de dólares a una sola víctima. ^[35] En 2013, GOZ representó el 38% de los robos perseguidos de esta manera. ^[36] A partir de noviembre de 2011, los operadores de GOZ realizaron ataques DDoS contra sitios web bancarios si robaban una gran cantidad de dinero, con el fin de evitar que la víctima iniciara sesión y crear una distracción. ^[27] El dinero robado se encaminaba a través de una gran red de mulas de dinero antes de llegar a los delincuentes, ocultando su origen y destino a las autoridades. ^[32] Para junio de 2014, se estimó que entre 70 y 100 millones de dólares habían sido robados a través de GOZ. ^{[37] [38]}

El desvío de dinero seguía la línea de día y noche , comenzando en Australia y terminando en los Estados Unidos. Los delincuentes involucrados en el movimiento de dinero trabajaban turnos de nueve a cinco de lunes a viernes, delegando las responsabilidades en cualquier equipo que estuviera al oeste de ellos cuando terminaba su turno. ^[25] El destino final de la mayoría de las transferencias de dinero mediante mulas eran empresas fantasma con sede en el condado de Raohe y la ciudad de Suifenhe , dos regiones de la provincia china de Heilongjiang en la frontera entre Rusia y China. ^[39]

Bloqueador criptográfico

En 2013, el club de negocios comenzó a utilizar GameOver ZeuS para distribuir CryptoLocker , un ransomware que encriptaba el contenido de las computadoras de las víctimas y exigía el pago en vales de efectivo prepagos o bitcoins a cambio de una clave de descifrado. ^[32] Josephine Wolff, profesora adjunta de política de ciberseguridad en la Universidad de Tufts , ^[40] ha especulado que la motivación detrás del cambio al ransomware fue por dos razones: en primer lugar, establecer un medio más seguro de ganar dinero con GOZ, ya que el ransomware podía tomar dinero de las víctimas por menos trabajo por parte de los delincuentes y los métodos de pago anónimos no necesitaban ser lavados a través de mulas de dinero, ^[32] cuyas lealtades estaban en duda ya que no sabían que estaban trabajando para los delincuentes; y en segundo lugar, aprovechar el acceso de los delincuentes a los datos en las computadoras infectadas que eran importantes para las víctimas pero que no tenían valor para los delincuentes, como fotografías y correos electrónicos. ^[41] El periodista Garrett Graff también ha sugerido que el ransomware sirvió para "transformar peso muerto en ganancias" al extraer dinero de víctimas cuyos saldos bancarios eran demasiado pequeños como para justificar un robo directo. ^[28]

Cryptolocker atacó a unos 200.000 ordenadores a partir de 2013. ^[35] No está clara la cantidad de dinero que Bogachev y sus asociados ganaron con CryptoLocker; Wolff afirmó que solo en un período de un mes, de octubre a diciembre de 2013, se robaron 27 millones de dólares. ^[42] Sin embargo, Michael Sandee ha dado una estimación mucho menor de 3 millones de dólares por toda la duración de la actividad de CryptoLocker. ^[43] Wolff ha argumentado que el legado de GameOver ZeuS no reside en su innovadora estructura de botnet P2P, sino en el precedente que estableció con CryptoLocker para futuros ataques de ransomware. ^[44]

Espionaje

El análisis de la botnet ha descubierto intentos de buscar información secreta y sensible en computadoras comprometidas, particularmente en Georgia, Turquía, Ucrania, ^[45] y los Estados Unidos, lo que lleva a los expertos a creer que GameOver ZeuS también se utilizó para espionaje en nombre del gobierno ruso. ^[46] La botnet en Ucrania solo comenzó a realizar tales búsquedas después de que el gobierno prorruso del país colapsara en medio de una revolución en 2014. ^{[47] Los estados miembros de} la OPEP también fueron el objetivo. ^[30] Las búsquedas se adaptaron al país objetivo: las búsquedas en Georgia buscaron información sobre funcionarios gubernamentales específicos, las búsquedas en Turquía buscaron información sobre Siria, las búsquedas en Ucrania utilizaron palabras clave genéricas como "servicio de seguridad federal" y "agente de seguridad", ^[48] y las búsquedas en los EE. UU. buscaron documentos que contuvieran frases como "alto secreto" y "Departamento de Defensa". ^[46] Las botnets utilizadas para espionaje se ejecutaron por separado de las utilizadas para delitos financieros.

No está claro quién fue responsable de las operaciones de espionaje; mientras que el investigador de seguridad Tillman Werner, que ayudó a desmantelar la botnet GOZ original, ha sugerido la posibilidad de que un socio o cliente estuviera involucrado, Michael Sandee, otro participante en la operación de desmantelamiento, ha afirmado que Bogachev fue el principal o único responsable, argumentando que tenía acceso exclusivo a los protocolos de vigilancia del malware y que debido a que su círculo de asociados criminales incluía a ucranianos, tendría que mantener el espionaje en secreto. ^[48] Sandee ha especulado que el uso de la botnet para espionaje proporcionó a Bogachev "un nivel de protección" que puede explicar por qué aún no ha sido detenido, ^[49] a pesar de vivir abiertamente y bajo su propio nombre en Rusia. ^[46]

Historia

Orígenes y nombre

GameOver ZeuS fue creado el 11 de septiembre de 2011 como una actualización de Zeus 2.1, también conocido como Jabber Zeus . ^[50] Jabber Zeus estaba dirigido por un sindicato del crimen organizado, del cual Bogachev era un miembro clave, que se había disuelto en gran medida en 2010 debido a la acción policial. ^[28] A fines de 2010, Bogachev anunció que se retiraba del cibercrimen y entregaba el código de Zeus a un competidor. Los investigadores de seguridad vieron la medida con escepticismo, ya que Bogachev había anunciado su retiro en múltiples ocasiones anteriores solo para regresar con una versión mejorada de Zeus. ^[51] En mayo de 2011, se filtró el código fuente de Zeus, lo que resultó en una proliferación de variantes. ^{[27] [52]} Graff ha sugerido la posibilidad de que el propio Bogachev fuera responsable de la filtración. ^[28]

El nombre "GameOver ZeuS" fue inventado por investigadores de seguridad y proviene de un archivo llamado "gameover2.php" utilizado por el canal C2. ^[53] Otros nombres incluyen ZeuS peer-to-peer, ZeuS3, ^[54] y GoZeus. ^[55]

Cierre de la botnet

La botnet GameOver ZeuS original fue desmantelada por un esfuerzo de aplicación de la ley internacional con el nombre en código " Operación Tovar ". ^[56] Tres intentos previos entre 2012 y enero de 2013 para desmantelar la botnet no tuvieron éxito, ^[28] incluido un intento en marzo de 2012 por parte de Microsoft de utilizar acciones legales para incautar los servidores y dominios controlados por GOZ, que fracasó debido a la arquitectura peer-to-peer de GameOver ZeuS. ^[27] La ​​planificación de la Operación Tovar comenzó en 2012, cuando el FBI comenzó a trabajar junto con empresas privadas de ciberseguridad para combatir a GOZ. ^[57] Para 2014, ^[28] las autoridades del Reino Unido también habían proporcionado al FBI información sobre un servidor controlado por GOZ en el Reino Unido que contenía registros de transacciones fraudulentas. La información en el servidor combinada con entrevistas con ex mulas de dinero permitió al FBI comenzar a comprender la infraestructura de botnet de GOZ. Bogachev fue identificado como el jefe de la red GameOver ZeuS al hacer una referencia cruzada de la dirección IP utilizada para acceder a su correo electrónico con la IP utilizada para administrar la botnet; ^[58] aunque había utilizado una VPN , Bogachev había utilizado la misma para ambas tareas. ^[59] El equipo de la Operación Tovar también realizó ingeniería inversa del DGA del malware, lo que les permitió adelantarse a cualquier intento de restaurar la botnet y redirigir dichos intentos a servidores controlados por el gobierno. Los servidores C2 de GOZ en Canadá, Ucrania y Kazajstán fueron confiscados por las autoridades, ^[60] siendo Ucrania el primero en hacerlo el 7 de mayo de 2014. ^[35] Con los preparativos terminados, la Operación Tovar comenzó el 30 de mayo. La operación fue un ataque de hundimiento que cortó la comunicación entre los bots y sus servidores de comando, redirigiendo la comunicación hacia los servidores controlados por el gobierno antes mencionados. ^[57] Los detalles técnicos de la operación siguen siendo en gran parte clasificados. ^[60]

El 2 de junio, el Departamento de Justicia anunció el resultado de la Operación Tovar. Ese mismo día también se hizo pública una acusación contra Bogachev. ^[61] Sin embargo, las autoridades también advirtieron que la botnet probablemente volvería en dos semanas. ^[62] El 11 de julio, el Departamento de Justicia declaró que, como resultado de la operación, las infecciones de GOZ habían disminuido un 32 por ciento. ^[44] El 24 de febrero de 2015, el Departamento de Justicia anunció una recompensa de 3 millones de dólares por información que condujera al arresto de Bogachev, ^[63] en ese momento la mayor recompensa jamás otorgada a un cibercriminal. ^{[1] [d]}

Reaparición como "nuevo GOZ"

Cinco semanas después de que se ejecutara la Operación Tovar, la empresa de seguridad Malcovery anunció que había descubierto una nueva cepa de GOZ que se transmitía a través de correos electrónicos spam. A pesar de compartir alrededor del noventa por ciento de su base de código con versiones anteriores de GOZ, el nuevo malware no estableció una botnet peer-to-peer, optando por crear una estructura de botnet utilizando fast flux , una técnica donde los sitios de phishing y entrega de malware se ocultan detrás de una matriz rápidamente cambiante de sistemas comprometidos que actúan como proxies. ^[66] El origen y los motivos para crear la nueva variante, denominada "newGOZ", no estaban claros; Michael Sandee creía que newGOZ era un "truco" para revelar el código fuente del malware y crear una distracción en la que Bogachev pudiera desaparecer. ^[52] Sin embargo, el informe inicial de Malcovery afirmaba que el nuevo troyano representaba un intento serio de revivir la botnet. ^[67] Las botnets GameOver ZeuS y newGOZ originales eran entidades separadas; La lista de dominios generados por sus respectivos DGAs era diferente, a pesar de que los algoritmos eran similares, y Malcovery describió la botnet GOZ original como todavía "bloqueada". ^[68]

El nuevo malware se dividió en dos variantes. Las variantes se diferenciaban en dos áreas: la cantidad de dominios generados por la DGA, con una generando 1000 dominios por día y la otra generando 10 000; y la distribución geográfica de las infecciones: la primera variante infectó principalmente sistemas en los EE. UU., y la segunda atacó computadoras en Ucrania y Bielorrusia. ^[69] El 25 de julio de 2014, se estimó que 8494 máquinas habían sido infectadas por newGOZ. ^[70] También se han reportado otras variantes de GOZ, incluido "Zeus-in-the-Middle", que ataca a teléfonos móviles. ^[71] A partir de 2017, las variantes de Zeus constituyen el 28% de todo el malware bancario. ^[72] Sin embargo, Sandee ha afirmado que gran parte de la participación de mercado de Zeus está siendo arrebatada por malware más nuevo. ^[52]

Véase también

• Cronología de los virus y gusanos informáticos

Grupos de ciberdelincuencia similares en Rusia y Europa del Este:

• Avalanche , botnets usados ​​y spam de correo electrónico
• Berserk Bear , una amenaza persistente avanzada que se sabe que emplea a los cibercriminales
• REvil , ransomware empleado

Botnets similares:

• Conficker , una botnet extremadamente prolífica en su apogeo
• Sality , otra botnet peer to peer
• Torpig , otra botnet que se propaga a través de caballos de Troya
• Pequeño troyano bancario , derivado de Zeus
• Botnet ZeroAccess , también P2P y propagado mediante troyanos

Notas y referencias

Notas

1. En el contexto de la monitorización de botnets P2P, un rastreador es un programa que, utilizando el protocolo de comunicación de la botnet, solicita los pares de un bot determinado, luego solicita una lista de pares de cada bot en la lista de pares del bot original, y así sucesivamente hasta que se mapea toda la botnet. ^[7] Un sensor se infiltra en la lista de pares de varios bots y registra los intentos de contactarlo por parte de los bots en la red. ^[8]
2. El hundimiento es una técnica utilizada para derribar botnets en la que se despliega un sensor especial dentro de la botnet. El sensor, también conocido como sumidero , corta el contacto entre los bots y sus controladores. ^[16]
3. También conocido como "lucky12345" y "Pollingsoon".
4. Esto ha sido superado desde entonces por la recompensa de $5 millones emitida el 5 de diciembre de 2019 por información que conduzca al arresto del jefe de Evil Corp, Maksim Yakubets . ^[64] Yakubets había trabajado anteriormente con Bogachev como parte de la tripulación de Jabber Zeus. ^[65]

Referencias

1. Wolff 2018, pág. 59.
2. Etaher, Weir y Alazab 2015, pág. 1386.
3. Andriesse y col. 2013, pág. 117.
4. Wolff 2018, pág. 61.
5. Andriesse y col. 2013, pág. 116.
6. Sandee 2015, pág. 6.
7. Karuppayah 2018, pág. 4.
8. Karuppayah 2018, pág. 15.
9. Karuppayah 2018, pág. 44.
10. Silver, Joe (2 de junio de 2014). «Gobiernos desbaratan la botnet «Gameover ZeuS» y el ransomware «Cryptolocker»». Ars Technica . Archivado desde el original el 5 de junio de 2023. Consultado el 21 de julio de 2023 .
11. Stahl, Lesley (21 de abril de 2019). «La creciente colaboración entre el gobierno de Rusia y los cibercriminales». CBS . Archivado desde el original el 18 de enero de 2023. Consultado el 7 de mayo de 2023 .
12. Karuppayah 2018, pág. 40.
13. Karuppayah 2018, pág. 20.
14. Karuppayah 2018, págs. 22-23.
15. Karuppayah 2018, pág. 31.
16. Karuppayah 2018, pág. 79.
17. Karuppayah 2018, pág. 21.
18. Karuppayah 2018, pág. 23.
19. Andriesse y col. 2013, pág. 118.
20. Sandee 2015, pág. 7.
21. Etaher, Weir y Alazab 2015, pág. 1387.
22. Zorabedian, John (4 de marzo de 2014). «SophosLabs: el malware bancario Gameover ahora tiene un rootkit para una mejor ocultación». Noticias de Sophos . Archivado desde el original el 29 de mayo de 2023. Consultado el 20 de julio de 2023 .
23. Sandee 2015, pág. 15.
24. Sandee 2015, págs. 16-17.
25. Krebs, Brian (5 de agosto de 2014). "Dentro de la banda criminal 'Business Club' de $100 millones". Krebs on Security . Archivado desde el original el 27 de mayo de 2023. Consultado el 8 de julio de 2023 .
26. Sandee 2015, pág. 17.
27. Stone-Gross, Brett (23 de julio de 2012). «El ciclo de vida de ZeuS entre pares (Gameover)». Secureworks . Archivado desde el original el 28 de mayo de 2023 . Consultado el 16 de julio de 2023 .
28. Graff, Garrett M. (21 de marzo de 2017). "Dentro de la búsqueda del hacker más notorio de Rusia". WIRED . Archivado desde el original el 23 de abril de 2023. Consultado el 8 de julio de 2023 .
29. Krebs, Brian (25 de febrero de 2015). "FBI: recompensa de 3 millones de dólares por el autor del troyano ZeuS". Krebs on Security . Archivado desde el original el 7 de abril de 2023 . Consultado el 5 de mayo de 2023 .
30. Korolov, Maria (7 de agosto de 2015). «Los criminales de GameOver ZeuS espiaron a Turquía, Georgia, Ucrania y la OPEP». CSO Online . Archivado desde el original el 16 de julio de 2023. Consultado el 16 de julio de 2023 .
31. Sandee 2015, pág. 9.
32. Wolff 2018, pág. 63.
33. Wolff 2018, pág. 65.
34. Wolff 2018, pág. 62.
35. Perez, Evan (3 de junio de 2014). «EE.UU. elimina malware informático que robó millones». CNN . Archivado desde el original el 3 de junio de 2023. Consultado el 21 de julio de 2023 .
36. Etaher, Weir y Alazab 2015, pág. 1388.
37. Gross, Garrett (marzo de 2016). "Detección y destrucción de botnets". Seguridad de redes . 2016 (3): 8. doi :10.1016/S1353-4858(16)30027-7. ISSN  1353-4858. OCLC  6017168570. S2CID  29356524.
38. Musil, Steven (2 de junio de 2014). «Estados Unidos desbarata una red de cibercrimen con malware GameOver Zeus valorada en 100 millones de dólares». CNET . Archivado desde el original el 16 de julio de 2023. Consultado el 16 de julio de 2023 .
39. Sandee 2015, págs. 18-20.
40. Wolff, Josephine (27 de enero de 2019). «La autenticación de dos factores podría no protegerlo». The New York Times . Archivado desde el original el 27 de junio de 2023. Consultado el 23 de julio de 2023 .
41. Wolff 2018, págs. 69–70.
42. Wolff 2018, pág. 64.
43. Sandee 2015, pág. 3.
44. Wolff 2018, pág. 68.
45. Sandee 2015, pág. 21.
46. Schwirtz, Michael; Goldstein, Joseph (12 de marzo de 2017). «El espionaje ruso se aprovecha del hackeo de un cibercriminal». The New York Times . Archivado desde el original el 25 de mayo de 2023. Consultado el 17 de julio de 2023 .
47. Stevenson, Alastair (6 de agosto de 2015). «El gobierno ruso podría estar protegiendo al creador del malware más infame del mundo». Business Insider . Archivado desde el original el 23 de abril de 2023. Consultado el 16 de julio de 2023 .
48. Brewster, Thomas (5 de agosto de 2015). "El capo del cibercrimen 'más buscado' del FBI vinculado al espionaje ruso al gobierno de Estados Unidos". Forbes . Archivado desde el original el 8 de mayo de 2023 . Consultado el 16 de julio de 2023 .
49. Sandee 2015, pág. 23.
50. Peterson, Sandee y Werner 2015, 8:00–8:33.
51. Bartz, Diane (29 de octubre de 2010). «Análisis: el hacker más importante se «retira»; los expertos se preparan para su regreso». Reuters . Archivado desde el original el 10 de diciembre de 2022. Consultado el 23 de julio de 2023 .
52. Sandee 2015, pág. 5.
53. Peterson, Sandee y Werner 2015, 7:18–7:27.
54. Sandee 2015, pág. 2.
55. Hay, Andrew (5 de marzo de 2020). «Gameover ZeuS cambia de P2P a DGA». Cisco Umbrella . Archivado desde el original el 30 de mayo de 2023. Consultado el 8 de julio de 2023 .
56. Krebs, Brian (2 de junio de 2014). «La 'Operación Tovar' apunta a la botnet 'Gameover' ZeuS, el azote de CryptoLocker». Krebs on Security . Archivado desde el original el 4 de junio de 2023. Consultado el 21 de julio de 2023 .
57. Franceschi-Bicchierai, Lorenzo (12 de agosto de 2015). "Cómo el FBI desmanteló la botnet diseñada para ser 'imposible' de desmantelar". VICE . Archivado desde el original el 22 de junio de 2022. Consultado el 21 de julio de 2023 .
58. Wolff 2018, págs. 64–66.
59. Peterson, Sandee y Werner 2015, 41:06–41:31.
60. Wolff 2018, pág. 67.
61. Trautman, Lawrence J.; Ormerod, Peter C. (invierno de 2019). "Wannacry, ransomware y la amenaza emergente para las corporaciones" (PDF) . Tennessee Law Review . 86 (2): 512. doi :10.2139/ssrn.3238293. ISSN  0040-3288. OCLC  1304267714. S2CID  169254390. SSRN  3238293.– vía ResearchGate
62. Dignan, Larry (2 de junio de 2014). "Se ha incautado la botnet Zeus de GameOver; las autoridades dicen que hay un plazo de dos semanas para protegerse". ZDNET . Archivado desde el original el 2 de julio de 2023 . Consultado el 23 de julio de 2023 .
63. Kravets, David (24 de febrero de 2015). «Estados Unidos ofrece una recompensa de 3 millones de dólares por la captura del administrador de la botnet GameOver ZeuS». Ars Technica . Archivado desde el original el 16 de abril de 2023 . Consultado el 21 de julio de 2023 .
64. Dobrynin, Sergei; Krutov, Mark (11 de diciembre de 2019). "En lujosas fotos de boda, pistas sobre los vínculos familiares del FSB de un supuesto ciberladrón ruso". Radio Free Europe . Archivado desde el original el 22 de julio de 2023. Consultado el 23 de julio de 2023 .
65. Krebs, Brian (15 de noviembre de 2022). "El principal sospechoso de la botnet Zeus, un "tanque", fue arrestado en Ginebra". Krebs on Security . Archivado desde el original el 10 de abril de 2023 . Consultado el 7 de mayo de 2023 .
66. Krebs, Brian (10 de julio de 2014). "Los delincuentes buscan revivir la botnet 'Gameover Zeus'". Krebs on Security . Archivado desde el original el 1 de febrero de 2023. Consultado el 7 de julio de 2023 .
67. Brewster, Tom (11 de julio de 2014). «Gameover Zeus regresa: el malware ladrón aumenta un mes después de la acción policial». The Guardian . Archivado desde el original el 24 de enero de 2023. Consultado el 7 de julio de 2023 .
68. Constantin, Lucian (11 de julio de 2014). «El programa troyano Gameover ha vuelto, con algunas modificaciones». CSO Online . Archivado desde el original el 7 de julio de 2023. Consultado el 7 de julio de 2023 .
69. Cosovan, Doina (6 de agosto de 2014). "Variantes de Gameover Zeus dirigidas a Ucrania y Estados Unidos". Blog de Bitdefender . Archivado desde el original el 16 de mayo de 2022. Consultado el 8 de julio de 2023 .
70. Constantin, Lucian (14 de agosto de 2014). «La nueva botnet Gameover Zeus sigue creciendo, especialmente en EE. UU.». CSO Online . Archivado desde el original el 8 de julio de 2023. Consultado el 8 de julio de 2023 .
71. Asher-Dotan, Lital (1 de julio de 2015). "El FBI contra GameOver Zeus: por qué gana la botnet basada en DGA". Malicious Life de Cybereason . Archivado desde el original el 7 de marzo de 2022. Consultado el 23 de julio de 2023 .
72. Gezer, Ali; Warner, Gary; Wilson, Clifford; Shrestha, Prakash (julio de 2019). "Un enfoque basado en flujo para la detección del troyano bancario Trickbot". Computers & Security . 84 : 180. doi :10.1016/j.cose.2019.03.013. ISSN  0167-4048. OCLC  8027301558. S2CID  88494516.

Fuentes generales

• Andriesse, Dennis; Rossow, Christian; Stone-Gross, Brett; Plohmann, Daniel; Bos, Herbert (22–24 de octubre de 2013). "Las botnets de igual a igual altamente resistentes están aquí: un análisis de Gameover Zeus" (PDF) . 2013 8.ª Conferencia internacional sobre software malicioso y no deseado: "Las Américas" . Conferencia internacional sobre software malicioso y no deseado. Fajardo : IEEE . pp. 116–123. doi :10.1109/MALWARE.2013.6703693. ISBN . 978-1-4799-2534-6.S2CID 18391912  .
• Etaher, Najla; Weir, George RS; Alazab, Mamoun (20-22 de agosto de 2015). "De ZeuS a Zitmo: tendencias en malware bancario" (PDF) . 2015 IEEE Trustcom/BigDataSE/ISPA . IEEE International Conference on Trust, Security and Privacy in Computing and Communications. Helsinki : IEEE . págs. 1386-1391. doi :10.1109/Trustcom.2015.535. ISBN. 978-1-4673-7952-6. OCLC  8622928059. S2CID  2703081.
• Karuppayah, Shankar (2018). Monitoreo avanzado en redes de bots P2P: una perspectiva dual . Singapur : Springer . doi :10.1007/978-981-10-9050-9. eISSN  2522-557X. ISBN 978-981-10-9049-3. ISSN  2522-5561. LCCN  2018940630. OCLC  1036733978. S2CID  1919346.
• Peterson, Elliott; Sandee, Michael; Werner, Tillmann (5 de agosto de 2015). GameOver Zeus: Badguys And Backends (Discurso). Black Hat Briefings . Las Vegas . Archivado desde el original el 31 de marzo de 2023 . Consultado el 7 de mayo de 2023 .(Discurso completo vía YouTube .)
• Sandee, Michael (5 de agosto de 2015). GameOver ZeuS: antecedentes de los villanos y los backends (PDF) . Black Hat Briefings . Las Vegas .
• Wolff, Josephine (2018). Verás este mensaje cuando sea demasiado tarde: las consecuencias legales y económicas de las violaciones de la ciberseguridad . Cambridge, MA : The MIT Press . ISBN 9780262038850. LCCN  2018010219. OCLC  1029793778. S2CID  159378060.

Enlaces externos

• Cartel de búsqueda de Bogachev
• Acusación contra Bogachev por delitos facilitados por Zeus