Nota: El propósito de éste artículo es hacer conciencia, al demostrar que existen todavía muchas personas sin educación de seguridad en muchas redes locales, que caen en trampas conocidas.
A inicios del mes de agosto, el Security Emergency Response Team de Arbor Networks, escribió en su blog un análisis de código de unos ejecutables (EXEs) que venían adjuntos a unos correos sobre estrellas d-e-s-n-u-d-a-s de H-o-l-l-y-w-o-o-d. Nosotros decidimos revisar si había actividad que mostrara si existían víctimas en nuestra red.
Con la ayuda de nuestra red, y gracias a las direcciones IP descritas en el blog señalado arriba, pudimos detectar qué direcciones IP locales mantenían flujos con las direcciones IP (malévolas).
Aquí algunas aproximaciones no concluyentes, para tomar en cuenta:
Clientes con flujos hacia el host 67.18.114.98:80 (aparentemente un servidor hackeado)
Jueves, 02 de agosto 10:00 - 19:59 (7:59 PM)
--> 515 flujos, generados de 5 clientes
--> Día de la aparición del incidente (según blog de Arbor)
Viernes, 03 de agosto 10:00 - 19:59 (7:59 PM)
--> 25 flujos, generados de 11 clientes
Sábado, 04 de agosto 10:00 - 19:59 (7:59 PM)
--> 3 flujos, generados de 2 clientes
Domingo, 08 de agosto 10:00 - 19:59 (7:59 PM)
--> 8 flujos, generados de 4 clientes
Lunes, 06 de agosto 10:00 - 19:59 (7:59 PM)
--> 14 flujos, generados de 7 clientes
Muestra visualizada en forma gráfica
Debido a que sólo tenemos visibilidad de los rastros, es muy difícil precisar si efectivamente estos clientes abrieron o no éstos correos engañosos y si sus flujos hacia los servidores hackeados fueron o no en calidad de víctima. No obstante, una investigación en Google de la dirección IP con mayor cantidad de flujos registrado el día 02 de agosto, mostró en primera fila un URL que nos haría pensar de la predisposición de algún usuario de dicha red hacia este tipo de contenidos. Véase imágen adjunta.
Dirección IP ofuscada para reserva de confidencialidad
Por lo analizado, recomendamos que usted eduque a sus usuarios a no abrir mensajes provocadores como el citado, pues es muy probable que contegan algún código malicioso que puede dañar la seguridad interna de su red. Igualmente, recomendamos instalar equipamiento que le ayude a bloquear a aquellos usuarios que violan sus políticas empresariales respecto a la navegación de contenido no laboral. Usted puede contratar nuestro servicio de seguridad gestionada para esos fines: 0-800-00-909.
Nota final: Los clientes, *posiblemente* infectados por ésta trampa electrónica, han sido notificados para que revisen sus redes ante la presencia de cualquier troyano, botnet, virus, etc, que pueda haber comprometido su seguridad.
Departamento Especializado en Seguridad - Internet
TELMEX PERÚ S.A.