Según un informe entregado por Fox It, compañía experta en seguridad TI, desde el anuncio de su existencia, se han dedicado a reunir información sobre la magnitud de la operación CryptoPHP, junto a otras organizaciones.

Entre las instituciones que han apoyado los estudios se encuentran el Centro de Seguridad Nacional de Cybercrimen de los Paises Bajos, el blog de seguridad Suizo, Abuse.ch, la Fundación ShadowServer y la organización internacional Spamhaus.

Según lo informado tras una semana de estudios, se indica que todos los dominios de comando y control (C2) que se encontraban activos han sido sinkholeados o bajados. Desde los dominios sinkholeados ha sido posible reunir la siguiente información.

Primero veamos que queremos decir con sinkholeados, el sinkhole es una técnica de defensa que permite neutralizar los botnets, tratando de controlar el punto al que se van a conectar los equipos infectados, de esta forma se puede controlar el server malicioso.

Del total de 23693 direcciones de IP conectadas a los dominios sinkholeados, ya se ha visto una disminución en conexiones. El día 22 de noviembre 20.305 conexiones fueron realizadas, el 23, 18.994 y el 24 ya se habían disminuido a 16.786. Sin embargo estos números no son una indicación clara, porque los servidores, porque lo servidores que conectan a los sinkholes eran de hosting compartido con al menos una o múltiples intervenciones.

Esto significa que en realidad los sitios web infectados serán más. Desafortunadamente tampoco se ha sido capaz de realizar estadísticas sobre si le servidor afectado está ejecutando WordPress, Joomla o Drupal. Esta información está encriptada utilizando un cifrado de clave pública.

Con la información reunida se generó un mapa de infección CryptoPHP para tener una idea de los países más afectados.

Desde el anuncio de este malware se ha tenido la atención puesta en alguna posibilidad de desarrollo de CyptoPHP. El 23 de noviembre la mayoría de los sitios utilizados para esparcir los plugins y plantillas intervenidos  estaban offline. Sin embargo un día después estaban online nuevamente luego de una actualización y está aún activos.

Se crearon dos scripts de Python para ayudar a los administradores a detectar CryptoPHP

  1. check_url.py
  2. check_filesystem.py

Puedes encontrar estos scripts en el siguiente link: https://www.github.com/fox-it/cryptophp/scripts/

Check_filesystem.py es para escanear el sistema de archivos en busca de archivos CryptoPHP intervenidos. Encontrará todos los archivos “social*.png” y determinará si son maliciosos.

El script Check_url.py puede escanear el sitio web para determinar si está infectado de CryptoPHP. Esto puede ser muy útil si tienes muchos hosting virtuales y no sabes cuál está infectado.

Si es detectado el CryptoPHP se recomienda hacer lo siguiente:

–          remover  “include” de los scripts intervenidos. Por ejemplo:  “<?php include(‘images/social.png’); ?>

–          Remueve social*.png

–          Revisa tu base de datos para ver si se ha añadido alguna nueva cuenta de administrador. Si es así, bórrala.

–          Resetea las credenciales de tu cuenta CMS y de otros administradores

Los pasos anteriores deben ser suficientes para eliminar el impacto que CryptoPHP pudo haber tenido en tu sitio web. No obstante, recomendamos realizar una reinstalación completa de tu CMS ya que la integridad del sistema puede haber sido comprometida. Por ejemplo, un atacante puede haber ganado un amplio acceso del sistema.

 

Periodista en Hostname (www.hn.cl)

Visita mi perfil en Google Plus