Una red zombi ataca páginas Web con conexiones SSL

Más de 300 páginas Web (como las del FBI, Twitter o PayPal) fueron dañadas por computadoras infectadas que forman parte de la red zombi (botnet) Pushdo, Pandex o Cutwail, según los investigadores de seguridad.

El FBI, Twitter y PayPal son sólo algunas de las páginas Web afectadas por esta red zombi, aunque lo cierto es que las primeras investigaciones dejan ver que los ataques no están diseñados para dejar las Web sin conexión, según explica Steven Adair, de The Shadowserver Foundation, un grupo que se dedica a seguir las redes botnet. Fue el director de análisis de código malicioso de la empresa SecureWorks, Joe Stewart, quien puso en alerta a este grupo sobre esta nueva red, conocida como Pushdo, Pandex o Cutwail.

Se cree que esta red está activa desde hace unos tres años, según un informe de Trend Micro. Las computadoras afectadas se utilizan para enviar spam, pero el código malicioso es capaz de descargar otros códigos malignos al ordenador. Sin embargo, parece que Pushdo ha sido actualizada recientemente para que las computadoras zombi hagan conexiones SSL (Secure Sockets Layer) a varias páginas Web. Cabe recordar que SSL es un protocolo de encriptación que se utiliza para proteger la información que se intercambia, aunque no es la primera vez que se ve envuelto en problemas de seguridad

Así, los PC zombi empiezan creando una conexión SSL y posteriormente se desconectan. Este proceso se repite varias veces, según explica Adair. Establecer conexiones SSL supone más carga de trabajo para una web que las conexiones http, pero el tráfico ha sido a veces tan esporádico que algunas web importantes no se percatan de este ataque. “A pesar de lo aparatoso que es, el tráfico ha sido tan escaso que no podemos pensar que se trate de un ataque DDOS intencionado”, sentencia este experto, quien argumenta que existen “muchas otras redes zombi más pequeñas que son capaces de generar mucho más tráfico y tener un mayor impacto que lo que hemos visto con Pushdo”.

Sin embargo, dado que el ataque afectó a grandes páginas web, lo cierto es que puede deducirse que se produjeron millones de impactos a lo largo de cientos de miles de direcciones IP. Por eso, una posible solución para estas páginas web, aunque temporal, es cambiar su dirección IP.

Mientras, los responsables de este grupo esperan poder tener más datos sobre este nuevo ataque para, en los próximos días, ofrecer una serie de recomendaciones a los responsables Web y de seguridad de las páginas afectadas.

Fuente Pc World