En los últimos días hemos visto numerosas noticias relacionadas sobre CCleaner y el ataque que había sufrido. Se trata de una de las aplicaciones de optimización más utilizadas por los usuarios. Pero han sido muchos particulares y empresas quienes se han visto afectados. Precisamente de esto último, las empresas, se hace eco Avast. Nos indican qué empresas han sido las que se han visto comprometidas.
Empresas afectadas por CCleaner
Avast ha estado investigando todo lo relacionado sobre el ataque sufrido por CCleaner. Dentro de esta investigación ha dado la lista completa de las empresas que han sido afectadas. Como sabemos, esto ocurrió la semana pasada.
Ha logrado crear la lista de empresas afectadas ya que durante el fin de semana encontraron un segundo servidor que fue utilizado por los atacantes.
El pasado viernes, Avast publicó una actualización sobre su investigación del ataque de CCleaner en la que dijo que logró entrar en la base de datos del servidor donde el malware CCleaner estaba enviando información sobre hosts infectados.
Desafortunadamente, la base de datos del servidor contenía información para las infecciones de usuarios entre el 12 de septiembre y el 16 de septiembre. Avast dijo que la base de datos que contenía información sobre usuarios infectados colapsó el 10 de septiembre después de que el servidor quedara sin espacio.
Nuevo servidor
Los hackers instalaron un nuevo servidor el 12 de septiembre, que Avast, con la ayuda de la policía, se incautó el 15 del mismo mes. La dirección IP de este servidor principal era 216.126.225.148.
Hoy, Avast ha anunciado que después de una búsqueda más exhaustiva han sido capaces de encontrar un segundo servidor donde los hackers enviaron una copia de seguridad de la base de datos original antes de reinstalar el servidor y empezar desde cero.
Ha indicado que este segundo servidor se encuentra en 216.126.225.163, en el mismo proveedor de alojamiento que el primero. ServerCrate, el proveedor de alojamiento, proporcionó soporte y estuvo a disposición el segundo servidor de Avast.
Esto significa que los investigadores ahora tienen una lista completa de hosts infectados. A excepción de un período de 40 horas cuando el servidor estaba inactivo. Todos ellos fueron afectados por el malware de CCleaner. Esto afecta tanto las cargas de primera como segunda etapa.
Los hackers comprometieron la infraestructura de CCleaner en julio. Posteriormente, entre el 15 de agosto y el 12 de septiembre, el sitio oficial de CCleaner ofreció una versión de la aplicación infectada con malware.
Más de 2 millones de usuarios
Avast dice que más de 2,27 millones de usuarios descargaron versiones contaminadas de la aplicación CCleaner en ese intervalo de tiempo.
Basado en datos de las dos bases de datos de servidores de C & C, Avast dice que 1.646.536 de equipos fueron infectados con el malware de la primera etapa de Floxif y reportadas de nuevo al servidor de C & C.
Empresas afectadas
Según una lista aportada por Avast, la mayoría de los hosts infectados se encontraban en la red de Chunghwa Telecom. Se trata de un ISP taiwanés, con 13 ordenadores infectados. Le sigue en la lista la japonesa NEC con 10 y Samsung, con 5. ASUS, Fujitsu y Sony tuvieron 2 equipos infectados. Solamente un ordenador estuvo infectado en la red de IPAddress.com, O2, Gauselmann, Singtel, Intel y VMWare.
Estas son solamente las empresas que sufrieron un ataque de forma exitoso. Sin embargo los hackers apuntaban a otras muchas.