Bots y botnets en 2018

Estadísticas de ataques de botnets a clientes de organizaciones

Debido a la amplia cobertura que la prensa ha venido dando a los incidentes relacionados con Mirai y otras redes de robots especializadas, las actividades de este último se ha empezado a asociar en gran medida con los ataques DDoS. Sin embargo, esto es solo la punta del iceberg, porque las botnets no solo se usan para implementar DDoS, sino también para robar diferentes tipos de información de los usuarios, incluida la financiera. El esquema típico de ataque es el siguiente:

  1. Se intenta infectar un dispositivo con malware (si el objetivo del dueño de la botnet son las finanzas del usuario, se usa un troyano bancario). Si la infección tiene éxito, el dispositivo junto con el malware se convierten en parte de una botnet bajo el control del centro de administración.
  2. En un dispositivo infectado, el software nocivo recibe del centro de administración un comando que contiene una máscara del blanco (por ejemplo, la URL del servicio de banca en línea) y otros datos necesarios para el ataque.
  3. Una vez recibido el comando, el malware supervisa las acciones del usuario del dispositivo infectado y, cuando éste ingresa a un recurso que coincide con la máscara de destino, lanza el ataque.

Los principales tipos de ataques que se realizan mediante botnets son:

A diferencia de los ataques DDoS, que provocan daños en los recursos web de la organización afectada, en los ataques que analizaremos en este informe es el cliente de la organización el que resulta damnificado. Los resultados de un ataque exitoso son:

  • se interceptan las credenciales de usuario;
  • se interceptan los datos de las tarjetas bancarias;
  • se suplanta al destinatario de la transacción (por ejemplo, al destinatario de una transacción bancaria);
  • se realizan operaciones sin que el usuario se dé cuenta, pero en su nombre.

Como veremos más adelante, dichos escenarios son válidos no solo para las cuentas bancarias del usuario, sino también para otros servicios.

Metodología

Los expertos de Kaspersky Lab rastrean las acciones de las botnets utilizando tecnología Botnet Monitoring, que emula equipos infectados (bots) para obtener datos operativos sobre las acciones de los operadores de las botnets.

Este análisis contiene información sobre los ataques únicos que tuvieron lugar en 2017 y 2018, y fueron registrados por la tecnología Botnet Monitoring. Estos datos se obtuvieron durante el análisis de los archivos de configuración de bots y los comandos de los servidores de administración interceptados.

El blanco del ataque se encuentra en la máscara de URL extraída del archivo de configuración del bot o el comando interceptado, por ejemplo, la máscara de la URL de un sitio de banca en línea.

En este informe denominamos “familia” a los nombres públicos de malware (por ejemplo, ZeuS, TrickBot (Trickster), Cridex (Dridex, Feodo, Geodo, etc.) y Ramnit (Nimnul)).

Ejemplos de máscaras de blancos contenidas en los comandos registrados

En este análisis, entendemos como ataque único a la combinación única de máscaras de blancos y familias o sus modificaciones, que recibieron el comando de ataque. El resto de los datos del ataque (scripts inyectados, reglas para la suplantación de criptomonederos, URL, reglas de redirección de tráfico, patrones para interceptar credenciales, etc.) no se tuvo en cuenta al determinar la singularidad de un ataque.

Se excluyeron del análisis los ataques relacionados con los recursos de las empresas que desarrollan soluciones antivirus, ya que en este caso, es una medida de protección emprendida por el malware para evitar la “curación” de un dispositivo infectado (al impedir la descarga de una solución de protección). Además, también se excluyen los ataques en los que no se puede identificar de forma unívoca el objetivo, es decir, si no es posible obtener información adicional sobre el blanco de la máscara de destino (por ejemplo, el blanco “* bank *” de BetaBot no se incluye en el análisis).

El análisis también tiene en cuenta solo el número de ataques únicos, y no el número total de ataques de una familia en particular, porque la frecuencia de recepción de órdenes varía de familia en familia.

Los resultados presentados se basan en un análisis de equipos de más de 60 mil centros de administración diferentes asociados con 150 familias de malware y sus modificaciones.

Estadísticas

El número total de ataques únicos contra los clientes de organizaciones registrados mediante la tecnología Botnet Monitoring en 2018 disminuyó en un 23,46% en comparación con el año anterior (de 20 009 unidades en 2017 a 15 314 unidades en 2018).

Al mismo tiempo, el 39,35% de los ataques que observamos en 2018 son nuevos, es decir, la combinación de este tipo de máscara y de la familia que recibió el comando de ataque no se detectó en 2017. Esto se debe tanto a la aparición de nuevos troyanos bancarios (Danabot, Backswap), como al deseo de los autores de malware de modificar el número de sus blancos.

La geografía de los blancos de los ataques en 2017 incluyó 111 países, y en 2018, se hicieron intentos de ataques contra los clientes de organizaciones ubicadas en 101 países del mundo.

Blancos de los delincuentes

Para empezar, veamos qué clientes de qué organizaciones son los blancos preferidos por los delincuentes.

En 2017, el mayor número de blancos de ataques correspondió a la categoría Servicios financieros (77,44%), que incluye servicios de banca en línea, multiservicios de banca, tiendas en línea y otros recursos relacionados con transacciones financieras (excluidas las criptomonedas). Este resultado es bastante natural debido al mayor beneficio potencial para el atacante, porque si un ataque tiene éxito, el delincuente obtiene acceso inmediato a las finanzas de la víctima.

El segundo lugar por la cantidad de ataques únicos lo ocupó la categoría Portales globales y redes sociales (6,15%), que incluye buscadores, servicios de correo electrónico y redes sociales. Los motores de búsqueda están incluidos en este grupo, porque la mayoría de las veces en la página principal de un sistema de este tipo se encuentra la entrada al buzón del usuario, cuyos datos el atacante está tratando de obtener mediante los tipos de ataques descritos anteriormente.

En el tercer lugar de nuestro ranking se encuentran los recursos que proporcionan diversos productos y servicios (5,08%), pero que no son tiendas en línea. Por ejemplo, los proveedores de hosting. En este caso, el blanco de los atacantes, como en la primera categoría, es la información de facturación de la víctima. Dichos recursos se encuentran en un grupo aparte, por que ofrecen comprar un producto o servicio muy específico, lo que muestra la exactitud con la que pueden actuar los atacantes.

Distribución del número de ataques únicos por objetivos de ataque, 2017

Distribución del número de ataques únicos por objetivos de ataque, 2018

En 2018, hubo pequeños cambios en TOP 3 de blancos de ataques realizados contra los clientes de diferentes organizaciones. Es curioso que la proporción de ataques únicos atribuibles a los servicios financieros haya disminuido en 3,51 pp, hasta quedar en 73,93%.

Casi siempre en la máscara del blanco recibida por el bot se indica el nombre de dominio o parte del mismo. Después de analizar los dominios de las máscaras pertenecientes a organizaciones financieras (bancos, instituciones de inversión, de crédito, de jubilación, etc.), compilamos un mapa de las organizaciones cuyos clientes fueron atacados por bots en 2018. El mapa muestra la cantidad de dominios de organizaciones financieras mencionadas en los comandos de los bots.

Cabe señalar que varios dominios pueden pertenecer a una sola organización, por ejemplo, si tiene divisiones ubicadas en diferentes partes del territorio de un país.

Mapa de dominios de instituciones financieras incluidos en máscaras de blancos, 2018

El año 2018 estuvo marcado por el aumento el interés de los “dueños de botnets” por las criptomonedas: la cantidad de ataques únicos contra usuarios de servicios relacionados con criptomonedas (bolsas de valores, monederos de criptomonedas, etc.) aumentó en más del triple (en 4,95 pp) y ascendió a 7,25%.

Los atacantes intentaron activamente monetizar el interés en las criptomonedas y obtener de sus víctimas los datos necesarios para robárselas. El troyano bancario Ramnit Banker (53%) tomó parte en la mayoría de los ataques detectados contra los usuarios de servicios de criptomonedas. Además, tuvo un brusco aumento el número de máscaras únicas asociadas con criptomonederos y bolsas de cambio, de los troyanos bancarios Chthonic y Panda, que son modificaciones del famoso troyano bancario ZeuS. En esta área también el troyano Capcoiner muestra una intensa actividad dirigida a este tipo de recursos.

Distribución de familias de troyanos por el porcentaje de ataques lanzados contra los usuarios de servicios de criptomoneda, 2018

Geografía de blancos de los ataques

Nota. Si la máscara de blancos contiene un TLD (top level domain, dominio de nivel superior) correspondiente a un país, este país entrará en las estadísticas. Si por el TLD no se puede determinar el país (por ejemplo, .com), será el país donde se encuentra la sede de la organización el que ingresará en las estadísticas.

En 2018, los participantes del TOP 10 de países a los que pertenecía el mayor número de máscaras de blancos únicas siguen siendo los mismos. Solo cambiaron sus posiciones en nuestro ranking. Como en 2017, en 2018 los clientes de organizaciones ubicadas en los Estados Unidos fueron los objetivos más frecuentes de los ataques.

2017 2018
1 Estados Unidos 31,29% Estados Unidos 34,84%
2 Alemania 11,15% Inglaterra 9,97%
3 Inglaterra 9,20% Italia 7,46%
4 Italia 7,52% Canadá 6,16%
5 Canadá 6,96% Alemania 3,88%
6 Australia 4,67% España 3,14%
7 Francia 4,57% Suiza 3,04%
8 España 2,87% Francia 3,02%
9 China 2,50% Australia 2,29%
10 Suiza 2,17% China 2,11%

En 2018, la proporción de ataques únicos lanzados contra los clientes de organizaciones ubicadas en Alemania disminuyó significativamente. Esto se debe a que en 2017 la mayoría de estos ataques fueron lanzados por el troyano bancario BetaBot (responsable de casi el 75% de todos los ataques únicos registrados), y en 2018 su participación apenas supera el 1,5%. En 2018, ni siquiera los ataques registrados de Danabot contra los clientes de los bancos alemanes “ayudaron” a Alemania a mantener el segundo lugar en nuestra calificación.

Geografía de los blancos de los ataques en 2017

Entre otros cambios, se puede observar una disminución en la proporción de ataques contra clientes de organizaciones australianas, del 4,67% al 2,29%. Casi todos los bots redujeron su número de máscaras “australianas”. Por ejemplo, entre los ataques del banquero Gozi que observamos en 2018, prácticamente no hubo ataques contra clientes de instituciones financieras en Australia, mientras que un año antes, representaban más del 90% de los ataques registrados de este malware.

Geografía de los blancos de los ataques en 2018

Pero también hay malas noticias. Muchos malware, por el contrario, expandieron su geografía: en 2018, el banquero Trickster (Trickbot) agregó 11 países a su lista de objetivos; el troyano SpyEye , 9 y el banquero Icedid , 5 países.

Los usuarios de los servicios de criptomoneda son atacados con mayor frecuencia en los Estados Unidos, Luxemburgo y China, lo que no es ninguna sorpresa, porque es en estos países que se registra una gran cantidad de estos servicios. Además, en 2018, el número de ataques contra usuarios de servicios registrados en el Reino Unido, Singapur, Estonia, Corea del Sur y Suiza aumentó significativamente.

Geografía de los servicios de criptomoneda cuyos usuarios fueron atacados en 2017

Geografía de los servicios de criptomoneda, cuyos usuarios fueron atacados en 2018

Geografía de los centros de administración

Esta sección presenta estadísticas sobre la geografía de los centros de administración (C&C) de las botnets que enviaron comandos para lanzar un ataque.

En 2017, el mayor número de centros de comando se ubicó en Ucrania (24,25%). Casi el 60% eran servidores de comando del ya mencionado banquero Gozi.

Distribución geográfica de los centros de mando, 2017

En 2018, Rusia ocupó la posición de liderazgo por el número de centros de administración de ataques contra clientes de diferentes organizaciones (29,61%). El troyano bancario Panda usa más de la mitad (54%) de estos centros de administración.

Distribución geográfica de los centros de administración, 2018

Familias más activas

BetaBot

El porcentaje de ataques únicos realizados por BetaBot representa el 13,25% de todos los ataques únicos en 2018.

Distribución geográfica de blancos de ataques de BetaBot, 2018

Características clave (los recursos compartidos se indican en relación con el número de ataques únicos lanzados por BetaBot):

  • Geografía de los blancos: 42 países;
  • Países más atacados: Estados Unidos (73,60%), China (6,35%), Reino Unido (6,11%);
  • Categorías de organizaciones más atacadas: Servicios financieros (37,43%), Portales globales y redes sociales (18,16%).

Trickster (TrickBot)

El número de ataques únicos realizados por TrickBot Banker en 2018 representa el 12,85% de todos los ataques únicos.

Distribución geográfica de blancos de los ataques de TrickBot, 2018

Características clave (los porcentajes se indican en relación con el número de ataques únicos lanzados por BetaBot):

  • Geografía de los blancos: 65 países.
  • Países más atacados: Reino Unido (11,02%), Estados Unidos (9,34%), Alemania (7,99%).
  • Categorías de organizaciones más atacadas: Servicios financieros (96,97%), Servicios de criptomoneda (1,72%).

Panda

El troyano bancario Panda en 2018 es responsable del 9,84% de todos los ataques únicos.

Distribución geográfica de los blancos de los ataques de Panda, 2018

Características clave (los porcentajes se indican en relación con el número de ataques únicos lanzados por Panda):

  • Objetivos geográficos: 33 países.
  • Países más atacados: Canadá (24,89%), Estados Unidos (22,93%), Italia (17,90%).
  • Categorías de organizaciones más atacadas: Servicios financieros (80,88%), Servicios de criptomoneda (10,26%).

SpyEye

Los ataques SpyEye registrados representaron el 8,05% de todos los ataques únicos en 2018.

Distribución geográfica de los ataques de SpyEye, 2018

Características clave (porcentajes se indican en relación con el número de ataques únicos lanzados por SpyEye):

  • Objetivos geográficos: 32 países.
  • Países más atacados: Estados Unidos (35,01%), Gran Bretaña (14,38%), Alemania (13,57%).
  • Categorías de organizaciones más atacadas: Servicios financieros (98,04%).

Ramnit

La proporción de ataques únicos en Ramnit en 2018 es del 7,97% de todos los ataques únicos registrados por la tecnología Botnet Monitoring. La expansión geográfica lograda por Ramnit es impresionante e incluye 66 países.

Distribución geográfica de los blancos de los ataques de Ramnit, 2018

Características clave (los porcentajes se indican en relación con el número de ataques únicos lanzados por Ramnit):

  • Geografía de los blancos: 66 países.
  • Países más atacados: Gran Bretaña (25,70%), Estados Unidos (20,12%), China (7,78%).
  • Categorías de organizaciones más atacadas: Servicios financieros (47,76%), Servicios de criptomoneda (46,83%).

Conclusión

Las principales tendencias que observamos en 2018, tras analizar los comandos recibidos para atacar a clientes de varias organizaciones, son:

  • La disminución del número total de ataques únicos registrados puede indicar que los atacantes quieren crear máscaras de blancos que cubran una gran cantidad de recursos de una organización y conserven su relevancia durante mucho tiempo.
  • El objetivo de la absoluta mayoría de los ataques sigue siendo las instituciones financieras y sus clientes.
  • El número de ataques a clientes de servicios de criptomoneda ha aumentado significativamente (en comparación con 2017). No esperamos una disminución en el número de tales ataques; por el contrario, es posible que su número aumente, ya que cada vez son más los bots que incluyen inyecciones web para dichos recursos en su arsenal.
  • Se están añadiendo activamente nuevos blancos. Los atacantes crean máscaras nunca vistas, y también modifican las antiguas para “cubrir” un mayor número de páginas en las que puedan robar los datos del usuario o su dinero.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *