Agosto en cifras
Este mes, en los equipos de los usuarios de Kaspersky Lab:
- se neutralizaron 193.989.043 ataques de red,
- se bloquearon 64.742.608 intentos de infección mediante la web,
- se detectaron y neutralizaron 258.090.156 programas maliciosos (intentos de infección local),
- se registraron 80.155.498 veredictos heurísticos.
Para la industria de la seguridad informática ya es una tradición que agosto sea uno de los meses más intensos, a pesar de que en el hemisferio norte es tiempo de vacaciones. En agosto, en EE.UU. se realizan las dos conferencias más importantes de seguridad informática, BlackHat y Defcon. Ambas son una tribuna popular para exponer los resultados de las investigaciones más serias y, de hecho, no solo se sacan conclusiones sobre el mes anterior, sino que se exploran los nuevos horizontes del futuro próximo. En las conferencias todo el tiempo se revelan nuevas formas de lanzar ataques y diferentes tecnologías de hackeos, algunas de la cuales, por desgracia, después se plasman en los programas maliciosos. Además, el periodo de vacaciones crea problemas adicionales tanto a los usuarios particulares como a las organizaciones. En sus vacaciones, la gente usa con más frecuencia los café Internet, los puntos de acceso Wi-Fi gratuitos y los ofrecidos en aeropuertos, y en general, se encuentra fuera de su territorio de seguridad acostumbrado y puede convertirse en víctima de los delincuentes.
Los delincuentes estrenan nuevos programas y tecnologías
Pero ¿qué hay de nuevo detrás de la línea de fuego en agosto? ¿Qué nuevos programas y tecnologías han usado los delincuentes el mes pasado?
Ice IX, hijo bastardo de ZeuS
El troyano ZeuS (Trojan-Spy.Win32.Zbot) ha sido por varios la amenaza más difundida para los usuarios de la banca online. Por la cantidad de incidentes y los perjuicios que causa lo podemos considerar el “dios” de los delincuentes informáticos. Alrededor de ZeuS ha surgido toda una industria de delincuencia informática, sobre todo de habla rusa. Decenas de grupos usan ZeuS o los resultados de su funcionamiento en sus actividades delictivas.
El año pasado se supo que el creador de ZeuS había vendido el código a otro escritor de virus, el autor del troyano SpyEye y que en lugar de dos proyectos rivales, debía aparecer uno que reuniese las mejores tecnologías de ambos. Y en efecto, ahora con regularidad se encuentran nuevas versiones de SpyEye que son sucesores del viejo ZeuS.
Pero casi al mismo tiempo de esta “fusión” tuvo lugar la fuga del código fuente de ZeuS, que se puso al alcance de todos. Tomando en consideración que el creador de SpyEye vende sus programas por varios miles de dólares, es evidente que aparecerá gente que preferirá no pagarle, sino crear su propio clon basado en el mismo código fuente.
En agosto uno de estos clones fue recibió bastante difusión y llamó la atención de los investigadores. Hay que destacar que apareció mucho antes, en la primavera de 2011, pero se hizo popular entre los delincuentes informáticos en verano. La nueva variante, bautizada Ice IX por su autor, se vende por 600-1800 dólares americanos. Al igual que ZeuS y SpyEye, estamos ante el trabajo de delincuentes informáticos que hablan ruso. Una de las novedades más serias de Ice IX es el nuevo módulo web de administración de la botnet, que permite a los delincuentes usar hostings “legales” en lugar de los servidores a prueba de abuso (abuse servers). Esta modificación permite a los operadores de Ice IX evitar grandes gastos en hosting a prueba de abuso.
El empréstito, o para expresarnos sin hipocresía, el robo de código es una práctica común entre los delincuentes informáticos. La aparición de Ice IX, que no sólo entra en competencia con las funcionalidades de SpyEye, sino que también hace bajar los precios de estos troyanos, en poco tiempo conducirá a la aparición de nuevos “hijos ilegítimos” de ZeuS y a un número aún mayor de ataques contra los usuarios de la banca online.
Bitcoin y los programas maliciosos
Este verano el sistema de dinero electrónico Bitcoin estuvo en el centro de la atención masiva no sólo de los usuarios, sino también de los delincuentes. El sistema de generación de “monedas” (basado en el uso de la potencia de los ordenadores) se ha convertido en un método más de lucro ilegal, que se destaca por su elevada anonimidad. La cantidad de “monedas” generadas depende de la potencia del ordenador. Mientras mayor sea la cantidad de ordenadores a los que el usuario tiene acceso, es mayor su lucro potencial. Habiendo superado con bastante rapidez la etapa de lanzar ataques contra los propietarios de billeteras bitcoin para robarselas, han seguido adelante por una vía ya tradicional para ellos, el uso de botnets.
Ya en junio detectamos el primer troyano Trojan.NSIS.Miner.a, que generaba bitcoins sin que el usuario se diese cuenta. Este incidente fue el principio de nuestro trabajo conjunto con una serie de bitcoin pools (servidores que guardan la información sobre los integrantes de la red y sus cuentas) que nos permitió poner fin a una serie de botnets similares. El inicio de la lucha entre la industria antivirus y los delincuentes en este nuevo terreno provocó que aparecieran botnets para bitcoins cada vez más sofisticadas.
En agosto las nuevas tecnologías empezaron a utilizar Twitter, las redes P2P y los servidores proxy.
La primera tecnología, consiste en lo siguiente: el bot se comunicaba con la cuenta en Twitter, de donde recibía las órdenes que allí ponían los dueños de la botnet, de dónde descargar el programa de generación de monedas y con qué bitcoin pool trabajar. El uso de Twitter como centro de administración de botnets no es ninguna novedad, pero es la primera vez que afecta a Bitcoin.
Las botnets P2P tampoco son nada radicalmente nuevo, pero la botnet P2P Trojan.Win32.Miner.h descubierta por nuestros expertos en agosto consta, según las apreciaciones más moderadas, de casi 40.000 diferentes direcciones IP públicas. Tomando en consideración que ahora la mayoría de los equipos están detrás de cortafuegos o pasarelas, la cantidad real de equipos infectados puede ser mucho mayor. El bot instala tres generadores (minners) Bitcoin: Ufasoft miner, RCP miner y Phoenix miner.
Las dos tecnologías descritas hacen que sea fácil para los delincuentes mantener el funcionamiento de la botnet y se usan como método de defensa contra las compañías antivirus, porque si se usa un solo centro de administración de la botnet, pueden bloquear su funcionamiento.
También corren peligro las cuentas de los delincuentes en los bitcoin pools, porque los dueños de los servidores que luchan contra los generadores ilegales los pueden borrar. Y en agosto descubrimos que una de las más grandes botnets empezó a utilizar su potencia no solo para generar bitcoins, sino también a ocultar las cuentas reales. Para esto, los dueños de la botnet crearon un servidor proxy especial al que se conectan los equipos infectados y que después remite sus solicitudes a un bitcoin pool desconocido. Es imposible averiguar con qué pools funciona la botnet, y mucho menos usar esta información bloquear las cuentas de los estafadores. La única forma de interrumpir las actividades delictivas en esta situación es obtener el control absoluto del servidor proxy.
En total, hasta fines de agosto hemos detectado 35 diferentes programas maliciosos que de una forma u otra apuntan su funcionamiento al sistema Bitcoin.
Un gusano de acceso remoto
El gusano de red Morto, cuya activa difusión empezó alrededor del 20 de agosto, resultó ser bastante interesante. A diferencia de la mayoría de su predecesores, que estuvieron en boga los últimos años, no usa vulnerabilidades para reproducirse. Además, se propaga mediante el servicio Windows RDP, un método nunca antes usado. Este servicio se usa para ofrecer acceso remoto al escritorio de Windows. El gusano hace intentos de adivinar la contraseña de acceso. Según apreciaciones muy preliminares, actualmente este gusano puede haber infectado varias decenas de miles de equipos en todo el mundo. El principal peligro consiste en que los delincuentes tienen la posibilidad de controlar a distancia los equipos infectados, ya que el gusano tienen funcionalidades de botnet y actúa recíprocamente con varios servidores de administración. Con todo, el principal designio de la botnet es lanzar ataques DDoS.
Ataques contra los usuarios individuales: amenazas móviles
Hace poco más de un año (a principios de agosto de 2010) se detectó el primer programa malicioso para el sistema operativo Android: el troyano SMS FakePlayer. Desde el momento de aparición de este programa malicioso, la situación en el mundo del malware y de las amenazas móviles en general y de Android en particular ha sufrido cambios bastante pronunciados. En menos de un año la cantidad de programas maliciosos para Android ha superado la de programas maliciosos para Symbian (el primer programa malicioso para Symbian apareció en 2004). Hoy en día el malware para Android constituye cerca del 24% de la cantidad general de programas maliciosos detectados en las plataformas móviles. Desde el momento de la aparición de FakePlayer hemos detectado 628 modificaciones de diferentes programas maliciosos para Android.
Distribución de programas maliciosos móviles según plataformas
En En el total de programas maliciosos para smartphones (sin J2ME) detectados desde el 01.08.2010 hasta el 31.08.2011, el 85% corresponde a Android.
Hoy, el 99% de todos los programas maliciosos para plataformas móviles detectados por nuestra compañía son programas que de una forma u otra persiguen un objetivo: el lucro ilegal directo o indirecto. En agosto, entre varios programas similares, se destacó el troyano Nickspy, que es capaz de grabar todas las charlas del dueño del artefacto infectado y enviar los ficheros de sonido al servidor del delincuente. Y una de las últimas modificaciones de este troyano, que se enmascara como una aplicación de la red social Google+ puede responder a las llamadas entrantes del número de teléfono indicado por los delincuentes en el fichero de configuración del programa malicioso. Cuando un teléfono infectado responde a una de estas llamadas, los delincuentes pueden escuchar todo lo que ocurre cerca del aparato infectado, incluso las charlas de su dueño. Además, este troyano muestra interés por los SMS, la información de llamadas y las coordenadas GPS. Todos estos datos también los envía al servidor remoto del delincuente.
Las versiones “no comerciales” de programas maliciosos para móviles son cada vez menos frecuentes, pero a veces se encuentran ejemplares muy interesantes. En agosto se detectó el troyano Dogwar, que según parece, fue creado por personas que sienten simpatía por la organización PETA y la defensa de los derechos de los animales. Los delincuentes tomaron una versión bet de Dog Wars y cambiaron en el ícono la palabra BETA por PETA y pusieron un código malicioso que:
- Envía a todos los usuarios de la libreta de contactos mensajes SMS con el texto ‘I take pleasure in hurting small animals, just thought you should know that’ (“Obtengo placer infligiendo dolor a los pequeños animales, simplemente pensé que deberías saberlo”).
- Envía un SMS al número corto 73822 con el texto “text”. Este número funciona en EE.UU. y PETA lo usa para dar de alta a los usuarios en la lista de envíos de la organización.
Ataques contra las redes de corporaciones y grandes organizaciones
El espionaje corporativo y las actividades de inteligencia llevadas a cabo por varios países en Internet poco a poco se están convirtiendo en uno de los temas de seguridad informática más discutidos, desplazando en este sentido a la delincuencia informática tradicional. Sin embargo, la novedad del tema y su relativa poca apertura al gran público le dan un matiz de sensacionalismo en muchas publicaciones.
En agosto la comunidad TI se alarmó por la notificación de la compañía McAfee (comprada un año atrás por Intel) de que había descubierto el mayor ataque cibernético de la historia, que se prolongó por cinco años y afectó a varias organizaciones de diferentes países, desde los contratistas militares del Ministerio de Defensa de EE.UU. hasta el comité deportivo de Vietnam. El ataque recibió el nombre de Shady Rat. Todo sería correcto, pero la publicación de esta información, sorpresivamente, no solo coincidió con la inauguración de la conferencia BlackHat en Las Vegas, sino que también fue reforzada por la publicación de un artículo especial en la revista Vanity Fair. El lector estará de acuerdo en que un material exclusivo sobre una amenaza a la seguridad nacional en una revista de modas es un método poco común para que la industria de la seguridad informe a la sociedad sobre problemas detectados hace poco tiempo.
Un análisis más profundo de la noticia publicada por McAfee nos dejó aún más perplejos. En primer lugar, porque el servidor de los delincuentes “descubierto por los investigadores” en realidad ya hacía varios meses que era conocido por los investigadores de muchas otras compañías antivirus. En segundo lugar, en el momento de la publicación el servidor seguía funcionando y tenía toda la información usada por McAfee para su informe a la vista del público. En tercer lugar, hace mucho tiempo que muchos antivirus detectan mediante simples métodos heurísticos los programas espía supuestamente usados para lanzar el ataque más complejo y masivo de la historia. Además de los elementos mencionados, hubo otros que también provocaron preguntas sobre el informe. Estas preguntas fueron hechas en público, entre otros por los expertos de Kaspersky Lab.
Nuestra investigación permite afirmar que Shady Rat no ha sido ni el más prolongado, ni el mayor, ni el más sofisticado de la historia. Es más, consideramos inadmisible la publicación de información sobre cualquier ataque sin la descripción de todos los componentes y tecnologías, ya que las publicaciones limitadas no dan a los especialistas la posibilidad de adoptar las medidas correspondientes para defender sus propios recursos.
Y con aún mayor responsabilidad hay que tomar la publicación de información relacionada con los así denominados APT (Advanced Persistent Threat), que últimamente en la industria y los medios se han convertido en tópicos tan usados como “guerra cibernética” y “armas cibernéticas”. Al mismo tiempo, cada cual entiende muy a su manera el sentido de este término. Por lo demás, los asuntos terminológicos tienen una importancia secundaria si se habla de casos reales de espionaje corporativo o de las actividades de los servicios de inteligencia. En estos casos, es mucho más importante el hecho de que la atención excesiva hacia el tema y la revelación no coordinada de cualquier información puede hacer que fracasen las investigaciones en curso y causar aún más daños a las víctimas de los ataques.
Los sensacionales hackeos del mes
Agosto ha sido rico en hackeos realmente sensacionales. Los ataques contra las compañías y estructuras estatales están ocurriendo en todo el mundo y, a diferencia de los ataques “invisibles”, este año muchos de los incidentes fueron provocados por grupos públicos de hackers, como AntiSec y Anonimous. Con cada vez más frecuencia los ataques se usan como instrumento de lucha política. La prensa ha escrito mucho sobre estos casos, porque la publicidad de los sucesos es la ideología principal de los “hacktivistas”. Por lo tanto, teniendo en cuenta los sucesos de este año, los hackeos exclusivos realizados en agosto, por desgracia, no han causado especial sorpresa.
En el periodo cubierto por este informe han caído víctimas de los “hacktivistas” la policía cibernética italiana, una serie de compañías que colaboran con las agencias del orden de EE.UU. y el contratista militar Vanguard, que gestiona sistemas de comunicación por encargo del ministerio de defensa de EE.UU. Estos ataques fueron la venganza de los hackers por los arrestos de varios miembros de sus grupos. Se han hecho públicos gigabytes de información privada y en el caso de la policía cibernética italiana se develaron documentos que con muchas probabilidades pertenecían a la embajada de la India en Rusia.
Más tarde, en EE.UU. los hackers atacaron los servidores del sistema de transporte de San Francisco y robaron los datos personales de dos mil pasajeros para después publicarlos. Entre los hackeos políticos merece la pena destacar las deformaciones vandálicas (deface) de los sitios web estatales en Siria y Livia, relacionados con la guerra civil en estos países.
Estadísticas de agosto:
TOP-10 de programas maliciosos en Internet
1 | Blocked | 45643803 | 72,76% |
2 | Trojan.Script.Iframer | 1677006 | 2,67% |
3 | Trojan.Script.Generic | 1230615 | 1,96% |
4 | Trojan.Win32.Generic | 758315 | 1,21% |
5 | Exploit.Script.Generic | 671473 | 1,09% |
6 | AdWare.Win32.Shopper.ee | 462860 | 1,07% |
7 | Trojan-Downloader.Script.Generic | 459647 | 0,74% |
8 | Trojan.JS.Popupper.aw | 431959 | 0,73% |
9 | AdWare.Win32.Eorezo.heur | 430763 | 0,69% |
10 | WebToolbar.Win32.MyWebSearch.gen | 270739 | 0,69% |
TOP-10 de países en los cuales se almacenan programas maliciosos
1 | EE.UU. | 26,31% |
2 | Rusia | 16,48% |
3 | Alemania | 9,12% |
4 | Holanda | 7,40% |
5 | Inglaterra | 6,09% |
6 | Ucrania | 5,27% |
7 | China | 3,98% |
8 | Islas Vírgenes, Inglaterra | 3,07% |
9 | Rumania | 1,97% |
10 | Francia | 1,94% |
TOP-10 de hostings maliciosos
1 | ak.imgfarm.com | 10,17% |
2 | ru-download.in | 8,64% |
3 | literedirect.com | 7,84% |
4 | 72.51.44.90 | 7,01% |
5 | go-download.in | 6,86% |
6 | h1.ripway.com | 4,75% |
7 | updateversionnew.info | 4,68% |
8 | lxtraffic.com | 4,36% |
9 | ak.exe.imgfarm.com | 4,18% |
10 | dl1.mobimoba.ru | 3,62% |
TOP-10 de dominios maliciosos
1 | com | 30618963 |
2 | ru | 10474116 |
3 | net | 3465349 |
4 | in | 2466494 |
5 | info | 2052925 |
6 | org | 1982282 |
7 | tv | 827236 |
8 | cc | 819225 |
9 | cz.cc | 463536 |
10 | tk | 329739 |
10 países donde los usuarios están bajo mayor riesgo de infectarse mediante Internet
1 | Rusia | 35,82% |
2 | Omán | 32,67% |
3 | Armenia | 31,16% |
4 | Belorusia | 31,05% |
5 | Irak | 30,37% |
6 | Azerbayán | 29,97% |
7 | Kazajtán | 28,31% |
8 | Ucrania | 27,57% |
9 | Corea | 27,23% |
10 | Sudán | 26,01% |
TOP-10 de países, según el nivel de infecciones provocadas por FakeAV
1 | EE.UU. | 29,26% |
2 | Rusia | 9,60% |
3 | India | 6,31% |
4 | Alemania | 3,95% |
5 | Inglaterra | 3,90% |
6 | Vietnam | 3,75% |
7 | España | 2,88% |
8 | Canadá | 2,81% |
9 | México | 2,47% |
10 | Ucrania | 2,21% |
Análisis de las actividades virales en agosto de 2011