Noticias

Desarrollo de las amenazas informáticas en el primer trimestre de 2010

El presente informe se basa en los datos obtenidos y procesados por el sistema Kaspersky Security Network. Esta nueva forma de recopilar datos es una de las novedades más importantes de los productos personales Kaspersky versión 2009 y actualmente se está preparando su implementación en los productos corporativos de Kaspersky Lab.

Kaspersky Security Network permite a nuestros expertos, en tiempo real, detectar los nuevos programas nocivos que todavía no tienen antídoto en forma de identikits o no son detectados por heurística. KSN permite desenmascarar las fuentes de propagación de programas nocivos en Internet y evitar que los usuarios se conecten a los sitios infectados.

Al mismo tiempo, KSN permite aumentar la velocidad de reacción ante las nuevas amenazas, ya que se puede bloquear el lanzamiento de un nuevo programa nocivo en los equipos de los usuarios de KSN en una fracción de segundo desde el momento en que se le asigne el dictamen de “peligroso”, sin necesidad de actualizar las bases antivirus.

El trimestre en cifras

  • Se han registrado 327.598.028 intentos de infección de ordenadores en diferentes países del mundo, un 26,8% más que en el trimestre anterior.
  • El vector de los ataques emprendidos por los delincuentes está cambiando: han bajado en un 13% los ataques dirigidos contra los usuarios chinos.
  • en Internet predominan las familias de programas maliciosos que consiste en un código html o de scripts que los delincuentes insertan en sitios web legítimos.
  • Se han sacado a la luz 119.674.973 hostings maliciosos. Por la cantidad de servidores con programas maliciosos China ha cedido la primacía a EEUU y Rusia.
  • Se ha detectado un 6,9% más de vulnerabilidades que en el trimestre pasado. 6 de cada 10 de las vulnerabilidades más difundidas corresponden a Microsoft.
  • La cantidad de exploits ha crecido en un 21,3%. Cerca de la mitad de todos los exploits aprovechan las vulnerabilidades de los programas de Adobe, gracias a que son muy populares y se pueden ejecutar en varias plataformas.
  • Los delincuentes usan prácticamente cualquier dispositivo que se pueda sincronizar con un ordenador como transmisor de infecciones. El hábitat más extraño de programas maliciosos fue un cargador USB para pilas recargables de la compañía Energizer.

Panorama general de la situación

Los sucesos más significativos del primer trimestre de 2010 de una forma u otra guardan relación con las amenazas de Internet. Siguen gozando de gran popularidad entre los delincuentes las descargas drive-by. El eslabón clave de estos ataques son los paquetes de exploits para diversas vulnerabilidades de los navegadores y sus plugins.

Así, ha tenido gran resonancia en la prensa la así denominada “operación Aurora”, un ataque de hackers cuyo blanco fueron grandes corporaciones como Google y Adobe. Los hackers usaron un exploit (que Kaspersky Lab detecta como Exploit.JS.Aurora) para llevar a cabo un ataque especializado de gran envergadura. El exploit usa la vulnerabilidad CVE-2010-0249 , detectada en varias versiones del popular navegador MS Internet Explorer. El ataque se realizó con la ayuda de un envío masivo de mensajes electrónicos que contenían un vínculo a la página del exploit. Si el escenario era propicio para los delincuentes, al visitar la página y sin que el usuario se diese cuenta, se descargaba en su ordenador un programa malicioso. El propósito de los hackers era obtener los datos confidenciales de los usuarios y las corporaciones, incluso los códigos fuentes de grandes proyectos.

La publicación de la información sobre el ataque indujo a los gobiernos de Alemania, Francia y Australia a aconsejar a sus ciudadanos que usaran navegadores alternativos a MS Internet Explorer, por lo menos hasta que se publicase un parche para la vulnerabilidad. Los desarrolladores de Microsoft sabían de la vulnerabilidad desde septiembre de 2009. Como se sabe, cada mes Microsoft publica parches para sus productos y ese día ha recibido el nombre de “Martes de parches” (Patch Tuesday). El problema es que en el periodo abarcado entre las publicaciones, los hackers pueden utilizar los exploits contra las nuevas vulnerabilidades y estar casi 100% seguros de que hasta el siguiente “Martes de parches” los exploits funcionaran sin problemas en la mayor parte de los ordenadores de los usuarios.

El revuelo levantado por el exploit Aurora obligó a la compañía Microsoft a publicar un parche para la vulnerabilidad CVE-2010-0249 antes de lo planeado. Esta es una pequeña, pero significativa victoria de los expertos en seguridad. Al final de trimestre Microsoft publicó un parche urgente más para Internet Explorer. El motivo de la publicación fue que se estaban usando determinadas vulnerabilidades para realizar nuevos ataques. Esto significa que los productores de software están empezando a tener una actitud más responsable ante la seguridad de sus productos. Esperamos que no se olvide esta lección.

A la luz de los sucesos ocurridos, era de esperar que la compañía Adobe mejorase su política de publicación y actualización automática de sus aplicaciones. Y en efecto, el 13 de abril Adobe activó su nuevo servicio de actualizaciones para Reader y Acrobat en las últimas versiones de Windows y Mac OS X. Esta es una novedad palpitante: según los datos de nuestra estadística trimestral, los autores de virus explotan en primer lugar las vulnerabilidades del software de Adobe, y no de Microsoft. Esto sucede a pesar de que los productos sin parches de Microsoft son más que los productos vulnerables de Adobe. El que los productos de Adobe se hayan convertido en el blanco principal de los autores de virus se debe a su popularidad y a que se pueden ejecutar en varias plataformas.

La tendencia más notable de los últimos tiempos, que es imposible de ignorar, es que se actualizan y se hacen más complejos los programas maliciosos ya existentes. Los grupos de hackers consolidados perfeccionan sus creaciones. Un indicio de esto es la actualización del virus más popular, Sality y la adición de nuevas funcionalidades al troyano ZeuS, que proporcionan un control total del ordenador infectado y el desarrollo de los seudoantivirus.

Los antivirus falsos, que el año pasado invadieron el sector anglohablante de Internet, siguen evolucionando. A diferencia de otros programas maliciosos que tratan de ocultar su actividad, los antivirus tratan de llamar la atención del usuario. Con este fin, los falsificadores usan diferentes técnicas para engañar a los usuarios. Una de las técnicas es copiar la interfaz de antivirus famosos, como Avira, AVG y Kaspersky. Por desgracia, mientras mejor sea la copia, más posibilidades habrá de que incluso un usuario experimentado pique el anzuelo y compre un producto falso. Hasta hace poco los verdaderos antivirus se diferenciaban de los falsos porque los primeros soportaban varios idiomas y contaban con un servicio de asistencia técnica. Sin embargo, en el primer trimestre de 2010 registramos la aparición de varios falsos antivirus “localizados” a varios idiomas. También empezaron a aparecer con más frecuencia antivirus falsos que supuestamente ofrecían asistencia técnica. El motivo de todos estos trucos es que la educación del usuario está en el primer lugar en la seria lucha que se está efectuando contra los antivirus falsos. Y por lo tanto, los delincuentes tienen que inventar nuevos trucos para inducir a los usuarios a que compren productos falsos.

Durante el primer trimestre de 2010, los delincuentes usaron prácticamente todos los sucesos importantes para atraer la mayor cantidad posible de víctimas potenciales a las páginas web infectadas. Lo que hace muy difícil atribuirles a estas personas ningún tipo de valor moral. “iPad”, “Avatar”, “el terremoto en Hatí”, “los atentados terroristas en Moscú” son sólo parte de una gran lista de los temas de actualidad explotados por los delincuentes cibernéticos. Para difundir los vínculos a sus creaciones, los escritores de virus usan diferentes métodos, entre ellos crear falsas cuentas en las redes sociales populares y enviar mensaje desde ellas; hacer envíos de spam y también usar el poisoning de los sistemas de búsqueda. El poisoning de los sistemas de búsqueda se basa en la técnica de promoción de los sitios según temas predeterminados, técnica también conocida como Black SEO. El engaño al sistema de búsqueda hace que la solicitud del usuario reciba en la primera página vínculos que conducen a páginas web infectadas. En la aplastante mayoría de los casos, desde estas páginas se hacen intentos de descargar falsos antivirus en los ordenadores de los usuarios. Sería muy conveniente que las compañías de búsqueda en Internet le prestasen más atención a este problema.

A mediados de diciembre de 2009 se endureció la política de registro en los dominios de la zona china “.cn”. Después de que el registrador CNNIC introdujera las nuevas reglas de alta en el registro, ahora se exige una solicitud por escrito y, lo más importante, el solicitante está obligado a presentar un documento de identidad y una licencia comercial. Los sitios ya registrados se someten a verificación y si el dueño no puede dar los datos necesarios, se clausura su sitio web. Para simplificar la verificación, se ha prohibido dar de alta en la zona “.cn” mediante servicios extranjeros. Estas severas medidas, como demuestran los resultados del primer trimestre de 2010, tuvieron un efecto positivo: hubo una reducción considerable del porcentaje de contenidos maliciosos en esta zona de Internet. Daremos más detalles en la sección “Geografía de las amenazas”.

En general, el trimestre pasado fue fecundo en sucesos que remarcaron la vigencia del problema de la defensa contra los códigos maliciosos, tanto para los usuarios domésticos, como para los corporativos. Es significativo que en principio, para irrumpir en los sistemas corporativos se usan las mismas técnicas y los mismos códigos maliciosos que para los ordenadores domésticos. Los grupos consolidados de hackers crean y perfeccionan programas maliciosos universales que se pueden usar para diferentes objetivos. Un excelente ejemplo de estos programas es el troyano en constante evolución Zbot (ZeuS) y los siempre en desarrollo paquetes de exploits. Este código universal permite a los hackers usar diferentes esquemas semilegales de lucro, fenómeno que se refleja en la estadística del trimestre y en el creciente porcentaje de software potencialmente indeseable.

Países cuyos usuarios sufren ataques con mayor frecuencia

Veamos en qué países los usuarios sufrieron más ataques. La presente estadística, como muestran las investigaciones trimestrales, es bastante estable, pero no podían faltar los cambios.

Primer
trimestre de 2010
Cuarto
trimestre de 2009
1 China 18,05% 1 China 31,07%
2 Rusia 13,18% 2 Rusia 9,82%
3 India 8,52% 3 India 6,19%
4 Estados Unidos 5,25% 4 Estados Unidos 4,60%
5 Vietnam 3,73% 5 Alemania 3,08%
6 Alemania 3,01% 6 Vietnam 3,07%
7 Malasia 2,69% 7 Ucrania 2,20%
8 Francia 2,38% 8 México 2,17%
9 Ucrania 2,34% 9 Malasia 2,05%
10 España 2,30% 10 España 1,90%
11 Italia 2,24% 11 Francia 1,74%
12 México 2,09% 12 Turquía 1,69%
13 Arabia Saudita 1,99% 13 Egipto 1,62%
14 Turquía 1,92% 14 Italia 1,62%
15 Reino Unido 1,60% 15 Brasil 1,43%
16 Brasil 1,57% 16 Reino Unido 1,31%
17 Egipto 1,48% 17 Arabia Saudita 1,24%
18 Tailandia 1,30% 18 Polonia 1,04%
19 Filipinas 1,11% 19 Tailandia 1,03%
20 Indonesia 1,08% 20 Bangladesh 0,99%
  Otros 22,16%   Otros 20,12%

Distribución de los ataques según países en el primer trimestre de 2010 y el cuarto de 2009

En el primer trimestre de 2010 se han registrado 327.598.028 intentos de infección de ordenadores en diferentes países del mundo, un 26,8% más que en el último trimestre de 2009. Las posiciones de los países en la lista han cambiado poco, pero los ataques contra los usuarios chinos han bajado en un 13%. Tomando en cuenta que el total de los ataques aumentó más de una cuarta parte, esto significa que los delincuentes cibernéticos simplemente cambiaron de objetivo.

En primer lugar las armas de los delincuentes cibernéticos apuntaron a los usuarios de países con economías desarrolladas o en fuerte crecimiento. En América, sobre todo se trata de EEUU y México; en Europa Occidental, de Alemania, Francia, Italia, España e Inglaterra; y en Europa Oriental, de Rusia y Ucrania. Precisamente en estos países están más desarrollados los sistemas de banca en Internet y de dinero electrónico. Por lo tanto, los delincuentes informáticos que atacan a los usuarios de estos países tienen muchas más posibilidades de robarles con la ayuda de los datos personales guardados en los ordenadores infectados. Los países asiáticos donde Internet se está desarrollando de forma activa ocupan una cuarta parte de las posiciones. Pero los legisladores y las fuerzas estatales de seguridad no siempre son tan veloces como el desarrollo, lo que junto al empeoramiento de la situación económica impulsa el desarrollo de la delincuencia informática en estos países.

Las amenazas en Internet

Programas nocivos en Internet

Empezamos nuestro análisis con las 10 familias de programas maliciosos más propagadas en Internet. Cabe destacar que en la tabla de abajo no se toman en cuenta los resultados del subsistema de antivirus web, que detecta sólo los vínculos maliciosos, pero no el contenido al que conducen.

nombre porcentaje
1 Iframer 15,90%
2 Generic 7,28%
3 Hexzone 4,57%
4 Agent 4,54%
5 Redirector 4,50%
6 Zwangi 4,35%
7 Popupper 3,08%
8 Iframe 2,63%
9 Boran 2,10%
10 Pakes 1,73%
11 Otros 49,32%

Tabla 1. TOP 10 de familias de programas maliciosos
propagadas en Internet. Primer trimestre de 2010

Predominan las familias de programas maliciosos consistentes en un código html o en scripts que los delincuentes insertan (sobre todo) en sitios web legítimos. A esta categoría pertenecen Iframer, Iframe, Redirector y una buena parte de los programas maliciosos detectados por el sistema heurístico como Generic. La idea principal es remitir con disimulo al usuario al sitio de los delincuentes donde se encuentran los exploits. Para incrustar estos códigos, con frecuencia se echa mano de los programas maliciosos. En el tercer lugar de difusión vemos a una familia con el interesante nombre de Hexzone. En realidad, la familia no tiene nada que ver con el sistema hexadecimal, todo es mucho más trivial. La principal función destructiva de los programas maliciosos de esta familia consiste en mostrar un bloque de contenido pornográfico en la parte inferior del navegador. Para que desaparezca, al usuario se le propone enviar un SMS a un número corto (diferente en cada país). De similar forma funciona el sistema de negocios de la familia Popupper, que son documentos HTML que muestran pertinaces anuncios con propuestas de enviar mensajes SMS a un número corto para recibir ciertos servicios. Los representantes de los programas AdWare agrupan dos familias más Zwangi y Boran. Estos programas dan a los delincuentes informáticos la posibilidad de ganancias semilegales, porque desde el punto de vista de la ley es muy difícil condenar este tipo de software. A pesar de que las actividades destructivas de los programas AdWare no son llamativas (en lo fundamental se trata de recopilar datos sobre las preferencias de los usuarios y mostrarles publicidad), para defenderse usan métodos propios de hackers. Por ejemplo, Boran instala un driver que por sus acciones recuerda mucho un rootik: intercepta las funciones del sistema operativo para evitar la eliminación del componente principal de la aplicación.

Vulnerabilidades

En el primer trimestre de 2010 detectamos 12.111.862 vulnerabilidades abiertas en los ordenadores de los usuarios, es decir, un 6,9% más que en el trimestre anterior. La velocidad con que se detectan nuevas brechas de seguridad en los ordenadores crece de la misma forma que la velocidad de publicación de nuevos parches, pero por desgracia, no todos los usuarios instalan las actualizaciones. Hacemos notar que en la absoluta mayoría de los casos, en un ordenador dado fue posible encontrar más de una vulnerabilidad abierta.

En la tabla 2 presentamos las 10 vulnerabilidades más propagadas detectadas en los ordenadores de los usuarios durante el primer trimestre de 2010.

Secunia ID,
identificador único
de la vulnerabilidad
Cambios
en la estadística
Nombre y vínculo
a la descripción
de la vulnerabilidad
Posibilidades
que ofrece
la vulnerabilidad
a los delincuentes
Porcentaje
de usuarios en cuyos
equipos se detectó
la vulnerabilidad
Fecha
de publicación
Nivel
de peligro
de la vulnerabilidad
1 SA 35377 0 Microsoft Office Word Two Vulnerabilities Acceso al sistema y ejecución de cualquier código con privilegios de usuario local 28,62% 2009-06-09 Alta
2 SA 37231 6 Sun Java JDK / JRE Multiple Vulnerabilities Acceso al sistema y ejecución de cualquier código con privilegios de usuario local

  • Ataque DoS contra el sistema vulnerable
  • obtención de acceso a los datos confidenciales
  • evasión del sistema de seguridad
28,15% 2009-11-04 Alta
3 SA 38547 Nuevo Adobe Flash Player Domain Sandbox Bypass Vulnerability evasión del sistema de seguridad 23,37% 2010-02-12 Moderadamente crítica
4 SA 34572 1 Microsoft PowerPoint OutlineTextRefAtom Parsing Vulnerability Acceso al sistema y ejecución de cualquier código con privilegios de usuario local 21,91% 2009-04-03 Alta
5 SA 38551 Nuevo Adobe Reader/Acrobat Two Vulnerabilities
  • Acceso al sistema y ejecución de cualquier código con privilegios de usuario local
  • evasión del sistema de seguridad
17,87% 2007-01-09 Alta
6 SA 31744 1 Microsoft Office OneNote URI Handling Vulnerability Acceso al sistema y ejecución de cualquier código con privilegios de usuario local 17,57% 2008-09-09 Alta
7 SA 35364 -5 Microsoft Excel Multiple Vulnerabilities Acceso al sistema y ejecución de cualquier código con privilegios de usuario local 17,55% 2009-06-09 Alta
8 SA 38805 Nuevo Microsoft Office Excel Multiple Vulnerabilities Acceso al sistema y ejecución de cualquier código con privilegios de usuario local 16,65% 2010-03-09 Alta
9 SA 37690 Nuevo Adobe Reader/Acrobat Multiple Vulnerabilities
  • Acceso al sistema y ejecución de cualquier código con privilegios de usuario local
  • Cross-site scripting
15,27% 2010-01-14 Extremamente crítica
10 SA 29320 -1 Microsoft Outlook “mailto:” URI Handling Vulnerability Acceso al sistema y ejecución de cualquier código con privilegios de usuario local 14,98% 2009-06-10 Alta

Tabla 2. TOP 10 de vulnerabilidades detectadas en los ordenadores de los usuarios. Primer trimestre de 2010

6 vulnerabilidades del TOP10 se detectaron en los productos de Microsoft; 3, en el software de Adobe y 1 en el de Sun, compañía que ahora pertenece a Oracle. Si bien en el anterior informe publicado había sólo un novato, en este trimestre hay 4 nuevas vulnerabilidades. Sin embargo, la fecha de publicación de la información sobre las vulnerabilidades una vez más ha demostrado cuán lentos son los usuarios cuando se trata de instalar las actualizaciones de software: junto con las nuevas vulnerabilidades, en el TOP10 hay otras que son conocidas desde hace un año.

¿Qué posibilidades brindan estas vulnerabilidades a los delincuentes? Nueve vulnerabilidades del TOP10 dan a los delincuentes informáticos la posibilidad de obtener acceso irrestricto al sistema. Esta brecha en la protección, si no está cerrada por un antivirus, permite al delincuente hacer todo lo que quiera con el ordenador infectado. Existen exploits para cada una de las vulnerabilidades citadas arriba. Esto remarca una vez más la gravedad del problema y la importancia de actualizar a tiempo todo el software: sistema operativo, navegadores web, programas para visualizar ficheros PDF, reproductores, etc.

Exploits

Echemos un vistazo a los exploits usados por los delincuentes informáticos en el primer trimestre de 2010.

 новое окно
TOP10 de familias de exploits detectadas en Internet

El líder absoluto son los exploits que aprovechan vulnerabilidades en los programas de Adobe para lectura de ficheros PDF. En total, las familias de exploits Pdfka y Pidief constituyen el 47,5%, es decir, casi la mitad de todos los exploits detectados. En sí, los ficheros son documentos PDF que contienen escenarios en Java Script, los cuales descargan de Internet otros programas y los ejecutan sin que el usuario se dé cuenta.

En los ordenadores de los usuarios, hemos encontrado más vulnerabilidades abiertas en los productos de Microsoft que en los de Adobe, pero la situación con los exploits es completamente opuesta.

A juzgar por la estadística, los delincuentes buscan y usan las vulnerabilidades de los productos de Adobe con más frecuencia que las de los productos de los demás fabricantes, incluido Microsoft.

El que los productos de Adobe se hayan convertido en el blanco principal de los autores de virus se debe a su popularidad y a que se pueden ejecutar en varias plataformas.

La publicación en enero del exploit Aurora (7,58%), sobre el cual hemos escrito más arriba, no podía pasar inadvertida por los delincuentes cibernéticos. En el tiempo que Microsoft tardó en tomar la decisión de publicar el parche, sólo los hackers más perezosos no usaron este exploit.

Es enojosa la historia relacionada con los exploits CVE-2010-0806, pues su popularidad estuvo condicionada por el alto grado de detalle de la descripción de la vulnerabilidad publicada por el empleado de seguridad de la compañía. El experto reveló el dominio desde donde se realizaron los ataques y los nombres de los ficheros usados en el ataque (notes.exe y svohost.exe). Por una parte, publicar toda la información sobre el ataque les da a los expertos la oportunidad de conseguir los ejemplares y crear los identikits correspondientes, pero por otra parte, estos datos pueden también ayudar a los delincuentes. En principio, en la industria antivirus rige una regla tácita que los expertos deben cumplir: si en el dominio hay programas nocivos activos, parte del nombre debe borrarse. Por desgracia, en base a la información publicada, con bastante rapidez se creó el módulo PoC Metasploit, que condujo a la extensa difusión del exploit para las versiones 6 y 7 de MS Internet Explorer.

Es interesante el hecho de que entre los exploits más propagados esté la familia Smid, que está formada por programas multiplataforma que usan la vulnerabilidad de Sun Microsystems Java (CVE-2009-3867). Por ejemplo, la versión Exploit.OSX.Smid.b funciona en los sistemas operativos Windows, MacOS y *nix, creando el vínculo al programa malicioso según el sistema operativo. A continuación se llama la función “getSoundbank” y en calidad de parámetro se le transmite el vínculo obtenido. El resultado es que se rebalsa el buffer y se ejecuta el shellcode. Suponemos que en el futuro los delincuentes crearán programas maliciosos multiplataforma con cada vez más frecuencia.

Hago notar que la seguridad de los navegadores es sólo uno de los criterios de seguridad aplicables a los usuarios de Internet y además, no es el más importante. Cualquier navegador de cualquier compañía, incluso si no contiene vulnerabilidades en su código, permite a los delincuentes llevar a cabo ataques: por ejemplo, con la ayuda de vulnerabilidades en los reproductores de ficheros multimedia, en los programas para lectura de ficheros PDF y demás módulos usados en los navegadores. El problema de las vulnerabilidades en los módulos adicionales sigue siendo de crítica importancia y puede ser resuelto sólo por los fabricantes de navegadores. En palabras más simples, si en su ordenador está instalada una versión vulnerable de un reproductor flash o de un programa para lectura de ficheros PDF de la compañía Adobe, no tiene la más mínima importancia qué navegador use; MS Internet Explorer, Firefox u Opera. De cualquier forma su ordenador puede ser infectado.

Quisiéramos una vez más recordar que el principal método de protección de los ordenadores de los usuarios contra los exploits es la oportuna instalación de parches. Una protección adicional la proporciona un navegador web con un filtro que bloquee los sitios phishing y maliciosos (Mozilla Firefox 3.5, Internet Explorer 8.0 y Chrome 2.0) Este filtro no deja que el usuario visite sitios maliciosos, que contengan exploits para vulnerabilidades conocidas o desconocidas, o que se usen métodos de ingeniería social para el robo de datos personales. Para una protección digna de confianza hay que instalar y usar siempre un producto antivirus que mantenga sus bases antivirus actualizadas. Al mismo tiempo es importante que el antivirus revise también el tráfico de Internet.

Geografía de las amenazas

En los últimos años China se ha convertido en una fábrica de códigos maliciosos y, como es natural, las “creaciones” de esta fábrica se suelen poner en servidores ubicados en el Gran Imperio. Y es justamente este hecho el que durante largo tiempo ha condicionado la primacía de China por la cantidad de servidores con programas maliciosos ubicados en este país. Y ahora demos un vistazo al TOP20 de países en cuyos servidores hay programas maliciosos en el último trimestre de 2009 y el primero de 2010.

Primer trimestre de 2010 Cuarto trimestre de 2009
1 Estados Unidos 27,57% 1 China 32,80%
2 Rusia 22,59% 2 Estados Unidos 25,03%
3 China 12,84% 3 Países Bajos 11,73%
4 Países Bajos 8,28% 4 Rusia 7,97%
5 España 6,83% 5 Alemania 3,49%
6 Alemania 6,78% 6 Suecia 2,75%
7 Reino Unido 3,29% 7 Reino Unido 2,39%
8 Filipinas 1,60% 8 Filipinas 2,02%
9 Ucrania 1,35% 9 Canadá 1,70%
10 Canadá 1,29% 10 Francia 1,50%
11 Suecia 0,95% 11 Israel 1,06%
12 Francia 0,80% 12 España 0,87%
13 Turquía 0,72% 13 Ucrania 0,72%
14 Australia 0,48% 14 Turquía 0,53%
15 Moldavia 0,42% 15 Luxemburgo 0,46%
16 Letonia 0,31% 16 Australia 0,43%
17 República Checa 0,31% 17 Corea 0,42%
18 Luxemburgo 0,26% 18 Taiwán 0,41%
19 Malasia 0,26% 19 Letonia 0,40%
20 Vietnam 0,25% 20 Hong Kong 0,33%
  Otros 2,80%   Otros 2,98%

TOP 20 de países en los que hay servidores con códigos maliciosos,
último trimestre de 2009 y primero de 2010

China dejó de ser el primero y bajó dos puestos. Es evidente que el motivo de su caída es el interesantísimo “regalo de año nuevo” que el gobierno de China hizo a los delincuentes cibernéticos al endurecer la política de alta en el registro de dominios de la zona “cn”. La complicación del procedimiento de registro en un país aislado, por más que lo deseemos, no puede conducir al cese de los negocios de los delincuentes informáticos. Ha ocurrido una migración del código malicioso y demás tipos de contenido malicioso. En su mayoría los inmigrantes con pasado oscuro se marcharon a dos países, Rusia y EEUU, sobre todo a Rusia. Por lo visto los delincuentes cibernéticos se ven atraídos por las leyes rusas, que son bastante liberales. Estos hechos se confirman no sólo por la estadística y la ubicación de los hostings de programas maliciosos, sino también por la estadística de spam y phishing. Sólo nos queda esperar que las medidas de regulación de la zona de dominios “.ru” introducidas el primero de abril de 2010 tengan un efecto similar.

Amenazas a los ordenadores de los usuarios

Si el programa malicioso ha podido pasar varias capas de defensa web y de correo, llega al ordenador del usuario, donde ya le está esperando un antivirus. Veamos qué programas maliciosos fueron detectados en la última línea de defensa, para lo cual analizaremos la distribución de los comportamientos de los objetos maliciosos detectados en el cuarto trimestre de 2009 y el primero de 2010.

 новое окно
TOP10 de objetos detectables encontrados en los ordenadores de los usuarios
en el cuarto trimestre de 2009 y el primero de 2010

En la primera posición se han arraigado los programas troyanos que habían sacado a los gusanos del segundo puesto en el tercer trimestre de 2009. La presencia de los troyanos está creciendo y según los resultados finales del trimestre constituyen el 21,46% del total de objetos detectados. En el segundo lugar, también apartando a los gusanos, están los programas AdWare. La causa es la creciente severidad de las leyes y la atención más fija prestada a los delincuentes informáticos. En esta situación se hace prioritario el uso de instrumentos de hacker para aprovechar los métodos legales y semilegales de obtener ganancias. Y es que el delincuente también puede usar su botnet para instalar diferentes programas AdWare. Por ejemplo, el popular programa AdWare.Win32.Funweb, que es parte de un panel adicional para diferentes navegadores, se difunde con mucha frecuencia mediante mensajes spam que se envían desde diferentes botnets.

La presencia de virus en este trimestre se ha reducido en un 0,23% hasta llegar al 9,72%. El virus infectante más popular en este momento es Virus.Win32.Sality. De cada 20 objetos detectados, 1 estaba infectado por este virus. A finales del trimestre llegó a nuestro laboratorio antivirus una nueva modificación de Virus.Win32.Sality.ag, en la que se utilizaba un algoritmo cualitativamente nuevo de descifrado que hace aún más complicada la detección de este virus. Por supuesto, en la era de total criminalización de la creación de virus, ningún virus infecta sólo porque sí. El virus es peligroso por sus funcionalidades de backdoor, que le da al delincuente un control irrestricto sobre el equipo infectado.

El tercer lugar le pertenece a los gusanos, y esto se debe en primer lugar a que la epidemia de gusanos Autorun, que tienen gran éxito al infectar los ordenadores, no tiene intenciones de disminuir. A pesar de que en el tercer trimestre hemos notado una tendencia de disminución de estos programas maliciosos, por desgracia no se ha mantenido. Ahora los gusanos Autorun pueden usar prácticamente cualquier dispositivo que se sincronice con el ordenador como transmisor de contagio. La cantidad de estos dispositivos crece cada día. Éstos pueden funcionar con Android o con Symbian y hasta se conocen casos en que diferentes dispositivos se han infectado en la etapa de producción.

Los idiomas basados en scripts son fáciles de estudiar y, como consecuencia, es bastante fácil escribir en ellos cualquier tipo de código, incluso malicioso. En el trimestre pasado ha crecido en un 2,3% la cantidad de programas maliciosos escritos en diferentes idiomas de script, como FlyStudio (el idioma “e”) y VisualBasic, pero el idioma de script más popular entre los delincuentes es AutoIT.

Este trimestre el contenedor más extraño de programas maliciosos fue un cargador USB para pilas recargables de la compañía Energizer. Este programa maliciosos (Arucer.dll) funciona bajo el sistema operativo Windows y llega al ordenador junto con el software que muestra el nivel de carga de las pilas. Después de transmitir la infección, el programa malicioso se apodera del puerto 7777 y se pone a esperar instrucciones. El troyano puede borrar, descargar y ejecutar ficheros. Después de instalarse en el sistema, el programa se inscribe en la lista de autoejecución en el registro.

Botnets. El apogeo de la lucha

La guerra contra las botnets está empezando a intensificarse. Toda la sociedad se ha hecho consciente del peligro de los delitos informáticos, incluso los órganos de seguridad y de justicia. Las acciones conjuntas de diferentes estructuras y compañías, desde los fabricantes de software hasta los órganos federales de diferentes países, por ejemplo la FTC (Comisión Federal de Comercio de EEUU) ya han provocado la clausura de los centros de administración de varias grandes botnets.

A principios de 2010 se clausuró una parte de los centros de administración de la botnet que se construyó con la ayuda del programa malicioso Email-Worm.Win32.Iksmas, también conocido como Waledac. Esta botnet es conocida por su capacidad de hacer envíos masivos de spam, de hasta 1.500 millones de mensajes por día, el uso de temas de actualidad con vínculos a Iksmas, el polimorfismo server-side del bot y el uso de tecnologías fast-flux. De lo que resulta una botnet bastante compleja y peligrosa. El 22 de febrero el tribunal federal del estado de Virginia satisfizo la demanda de Microsoft y permitió suspender el servicio de 227 dominios relacionados con el sistema de administración de la botnet. Todos estos dominios estaban registrados en la zona .com, cuyo operador es la compañía estadounidense VeriSign. Se trata de una victoria, pero que por desgracia no es definitiva. Después de que se desconectó una parte de los centros de administración, los delincuentes migraron los centros de administración a otras zonas de dominio para seguir enviando spam. Las medidas tomadas por una vez no sirven para luchar contra este adversario. Se necesita un trabajo continuo, dirigido a la clausura de los centros de administración de las botnet. Y esta lucha constante debe ser la siguiente etapa en la guerra contra las botnets y espero que medidas similares se implementen en el futuro próximo.

Además de la desconexión de los centros de administración existe otra posible vía de lucha contra las botnets. Es mucho más complejo desde el punto de vista de los órganos de seguridad, pero más efectivo. Me refiero a la captura de los escritores de virus. En España las fuerzas de la ley arrestaron a los propietarios de una gran botnet. La botnet “Mariposa” fue creada mediante el gusano P2P-worm.Win32.Palevo, que tiene una gran lista de funciones, ya sean de autopropagación como de acciones maliciosas. Se propaga mediante los canales de las redes P2P, los mensajeros instantáneos y el autorun, es decir, a través de cualquier tipo de dispositivos extraíbles, desde cámaras fotográficas hasta lápices USB. Después de instalar el programa malicioso en el ordenador víctima los delincuentes obtenían el control absoluto y podían cargar cualquier módulo adicional. Sin embargo el principal método de recibir dinero en efectivo era la venta y uso de los datos personales de los dueños de los equipos infectados: logins y contraseñas de diferentes servicios, sobre todo de banca en Internet.

Con la colaboración de los proveedores se desconectaron los centros de administración de la botnet y después se identificó uno de los ordenadores de los propietarios de la red infectada. En la mayoría de los casos es muy difícil determinar desde dónde se envían las instrucciones de administración. Pero en el caso de Palevo todo fue bastante prosaico, porque los operadores de la botnet eran personas sin conocimientos técnicos profundos: el delincuente trató de restablecer su control sobre la botnet usando su ordenador doméstico.

La historia de la botnet Mariposa ha demostrado una vez más que no es obligatorio que los delincuentes informáticos tengan conocimientos técnicos serios. En el mundo de hoy todo se compra y se vende, y las botnets no son la excepción. Incluso no cuesta casi ningún trabajo adquirir servicios de enmascaramiento de la fuente de las instrucciones de administración de la botnet y hasta el momento no ha habido acciones judiciales contra este tipo de servicios.

Para que la lucha contra las botnets sea efectiva, son imprescindibles las acciones en el campo jurídico en combinación con el uso de los medios más nuevos de defensa informática. No hay que olvidar que después de la clausura de los centros de administración de las botnets, los ordenadores zombi siguen estando infectados. Y esto es peligroso. Los cambios introducidos por los programas maliciosos en el sistema no desaparecen: si las solicitudes del usuario se redirigían a recursos maliciosos, seguirán redirigiéndose, si los discos estaban abiertos al acceso público, lo seguirán estando. Además, los delincuentes pueden obtener una vez más el control sobre el equipo infectado. Sólo la toma de una serie sistemática de medidas frente a este problema puede complicar la vida de los delincuentes y proteger a las víctimas potenciales.

¿Y qué después?

En el siguiente trimestre esperamos nuevas demandas judiciales relacionadas con los delitos informáticos. Nos complace la seriedad con que las fuerzas del orden público de diferentes países han empezado a ocuparse de este asunto y que sean precisamente las medidas que están tomando las que estén jugando un importante papel en la modificación de la geografía de los delitos cibernéticos. Es importante que la lucha se realice no sólo en el papel, sino en la vida real. Y es que hoy en día no hay que ser un super programador para convertirse en delincuente informático. La vitalidad del mercado negro, donde se puede comprar todas las herramientas que el delincuente cibernético necesita, empezando desde los programas maliciosos y terminando por los centros de administración de botnets, en combinación con el creciente problema del paro, puede conducir a un nuevo aflujo de delincuentes al mercado, que aún sin ellos ya está saturado. Es probable que se recrudezca la lucha entre los troyanos por el control sobre los ordenadores de los usuarios. Los programas maliciosos se opondrán con más ahínco tanto a los antivirus, como a los demás programas maliciosos. También es de esperar que se perfeccionen los métodos de difusión de los ya famosos programas troyanos.

Desarrollo de las amenazas informáticas en el primer trimestre de 2010

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada