Publicaciones

Desarrollo de las amenazas informáticas en el primer trimestre de 2011

Panorama general de la situación

En el primer trimestre de 2011 ocurrieron muchos y diferentes sucesos en el mundo de las tecnologías informáticas. Los pronósticos que hicimos en nuestro informe anual empezaron a confirmarse con rapidez y la situación, en particular de las amenazas móviles y los ataques dirigidos, sigue caldeándose. Analicemos los incidentes más significativos del primer trimestre.

Troyanos móviles: ¡pídelos en las tiendas!

Empezaremos el análisis de las aplicaciones móviles que los delincuentes escribieron para Android OS y publicaron en Android Market. Las aplicaciones maliciosas descubiertas, más de cincuenta, eran versiones reempaquetadas de programas legales con funcionalidades troyanas adicionales. El blanco de los delincuentes era la información almacenada en el teléfono: los códigos IMEI e IMSI. El troyano tiene también un módulo que permite descargar componentes adicionales del troyano al teléfono sin que el usuario se dé cuenta. Para obtener el control del teléfono, los delincuentes necesitan hacer un jailbreak (romper el sistema de seguridad del teléfono para recibir acceso al sistema de ficheros). Para conseguir privilegios de root, lo que da prácticamente posibilidades ilimitadas de manipular el sistema, se usan las vulnerabilidades y los famosos exploits “rage against the cage”. Los exploits se propagaban en el mismo paquete que los troyanos.

El uso de estos exploits tuvo éxito en los teléfonos que tenían Kaspersky Mobile Security 9 instalado. Los troyanos eran nuevos y todavía no habían ingresado a las bases antivirus, pero los exploits que se propagaban junto con éstos ya se detectaban con éxito. Hasta que se crearon las firmas para los troyanos, el sistema proactivo de KMS 9 los detectaba como Exploit.AndroidOS.Lotoor.g y Exploit.AndroidOS.Lotoor.j. Después de que agregamos estos troyanos a las bases antivirus de Kaspersky Lab, los empezamos a detectar como Backdoor.AndroidOS.Rooter (otras compañías los clasifican como DroidDream).

En esta situación surgen dos preguntas:

  1. ¿Cuán difícil es que los delincuentes obtengan una cuenta de desarrollador en Android Market?
    Por desgracia, es muy fácil. Para recibir la cuenta, el usuario debe pagar sólo 25 dólares americanos. Claro está que Google quiere atraer a la mayor cantidad posible de desarrolladores para su sistema operativo. Pero 25 dólares no es una suma prohibitiva y los delincuentes informáticos pueden crear decenas de cuentas. Estamos ante un círculo vicioso: Google anulará las cuentas desde las que se propagan programas maliciosos y los delincuentes crearan otras sin ningún problema.
  2. ¿Se puede intensificar el control sobre las aplicaciones publicadas?
    El problema está, sobre todo, en los recursos que se dediquen a esta tarea. Revisar todo el código de los programas enviados a diferentes tiendas de aplicaciones (no sólo Android Market, sino también AppStore, Samsung Market, etc.) no es una tarea trivial, porque es muy difícil automatizarla. Por eso, en el futuro encontraremos que en las tiendas ha crecido la cantidad de software con diferentes adiciones maliciosas.

Como ya hemos escrito arriba, los programas maliciosos detectados en Android Market usaban vulnerabilidades. Remarcamos que sólo eran vulnerables los dispositivos con una versión del sistema inferior a 2.3 “Gingerbread”, lanzado el 6 de diciembre de 2010. Según Google, tres meses después del lanzamiento la cantidad de dispositivos con el nuevo SO instalado rondaba el 2%. Este porcentaje indica que los usuarios no tienen ninguna prisa por actualizar su sistema. El principal motivo de esta inercia es que los fabricantes de teléfonos introducen cambios significativos en el sistema operativo antes de instalarlo por primera vez en los dispositivos móviles. Después, la actualización del sistema operativo instalado no siempre es posible, o exige la participación del fabricante del teléfono.

Entonces, la posibilidad de instalar parches depende de los fabricantes de dispositivos móviles, y una parte de la seguridad del sistema depende de ellos. Pero en muchos casos, no están interesados en ofrecer servicio técnico y actualizaciones de software a los dispositivos ya lanzados. En vista de que los modelos de smartphones pasan de moda muy rápido, la actualización de modelos antiguos se traduce en gastos adicionales que no se reflejan en ganancias evidentes. A los usuarios les queda la esperanza de que los fabricantes tomen las medidas correspondientes y les den la posibilidad de instalar las actualizaciones en sus dispositivos. ¿Se puede hablar de seguridad en esta situación?

Cabe destacar un hecho importante: Google tiene la posibilidad de instalar o desinstalar aplicaciones a distancia en cualquier dispositivo Android. A primera vista, es una excelente ayuda en la lucha contra los programas maliciosos que se encuentren en los teléfonos ya infectados. Sin embargo, el caso de los troyanos en Android Market mostró los puntos débiles que tiene este sistema.

En primer lugar, al recibir los derechos de administrador, los troyanos se sentían muy libres en el smartphone del usuario y para eliminarlos hace falta una aplicación que también tenga derechos de administrador. Google, para deshabilitar estos troyanos tuvo que lanzar un programa especial con los mismos derechos.

En segundo lugar, el subsiguiente desarrollo de las tecnologías usadas por los programas maliciosos móviles puede hacer que los troyanos simplemente desactiven este mecanismo de control a distancia, como sucede con los PC y Windows Update.

En tercer lugar, el sistema existente supone la liquidación de los programas maliciosos que se encuentren en los teléfonos infectados, pero no previene la infección de los smartphones. Además, si el troyano ya ha robado el dinero, su eliminación no evita el problema.

A grandes rasgos, la situación de Android OS empieza a recordar la situación actual de Windows:

  • existe una enorme cantidad de dispositivos Android con software antiguo, que contiene diferentes vulnerabilidades abiertas.
  • los usuarios, en la absoluta mayoría de los casos, no hacen caso a las notificaciones del sistema en el momento de lanzar y actualizar cualquier aplicación.
  • al igual que en Windows, donde la mayoría de los equipos infectados son aquellos cuyos usuarios tienen derechos de administrador, los sistemas Android que corren más peligro son los que han pasado por el jailbreak.
  • los programas maliciosos se comunican con sus dueños según el esquema clásico del malware para Windows, es decir, usando centros de administración, lo que a fin de cuentas conduce a la aparición de botnets móviles.
  • existe la posibilidad de evadir el sistema de control de las aplicaciones: en Android OS no se pueden instalar otras aplicaciones además de las de Android Market.

Desde 2007, la cantidad de malware móvil detectado prácticamente se ha venido duplicando cada año.


Cantidad de nuevas firmas de malware móvil agregadas a las bases antivirus

Teniendo en cuenta la estadística del primer trimestre de 2011, podemos decir con seguridad que en 2011 se detectarán dos veces y media más programas maliciosos para dispositivos móviles que el año anterior.

La situación con el malware móvil causa especial alerta porque los dispositivos móviles en la actualidad almacenan gran cantidad de información importante, y en el futuro próximo los smartphones se convertirán en monederos móviles. Además, el que los empleados usen sus teléfonos móviles personales para trabajar (la así denominada consumerización) provoca que el problema de fuga de información desde los smartphones de algunos usuarios se convierta en un verdadero dolor de cabeza para sus compañías.

Ataques dirigidos

Los sucesos que nos incumben tienen sus inicios en 2010. A finales del año pasado el grupo Anonymous se atribuyó la responsabilidad por los ataques DDoS lanzados contra Mastercard, Visa y Paypal para mostrar su apoyo al sitio Wikileakes. Mucha gente sintió curiosidad por saber quién estaba detrás de la máscara de Anonymous. A principios de 2011 la compañía HBGary, dedicada a la seguridad informática, declaró que sabía quiénes eran los autores. Sin embargo, después de algunos días, la misma HBGary se convirtió en blanco de ataques de hackers.

El primer trimestre de 2011 estuvo marcado por varios ataques a diferentes organizaciones. Además de los ataques contra HBGary, los hackers irrumpieron en RSA, BMI, Lush, los sitios de Play.com, wiki.php.net y otros. Como resultado de los exitosos ataques, los delincuentes obtuvieron diferentes tipos de información (por ejemplo, los datos personales de los usuarios), la cual, a pesar de que no permite lucrar de inmediato, representa interés para los delincuentes informáticos.

Unos años atrás el hackeo de los servidores de una gran compañía era una situación excepcional, pero ahora, por desgracia, estos sucesos se están convirtiendo en habituales. Todo parece indicar que una parte de los delincuentes informáticos ha encontrado una nueva veta de oro y ha dejado de realizar infecciones masivas en los equipos de usuarios domésticos para pasar a hackear grandes corporaciones. Para los delincuentes, esto representa más riesgos (pues las corporaciones, a diferencia de los usuarios móviles, toman represalias), pero las apuestas en los ataques dirigidos contra compañías son mayores y hay menos competencia en este segmento del mercado negro.

Es alarmante que los blancos de los ataques sean las compañías de seguridad informática. Como regla, estas compañías prestan servicios a una gran cantidad de clientes y si las hackean, los delincuentes pueden obtener las llaves de una gran cantidad de “monederos” de los usuarios en diferentes países del mundo.

La tarea de irrumpir en los servidores de las compañías de seguridad informática no es nada fácil desde el punto de vista técnico. En el caso de HBGary, los hackers pudieron penetrar en la red de la compañía lanzando un ataque al servidor menos importante (el de soporte técnico) y, por lo tanto, el menos protegido. El administrador de este servidor era el director general de la compañía. Por esto, al encontrar en el servidor hackeado su login y contraseña, los hackers recibieron acceso a una gran cantidad de información diversa. El valor de la información robada era alto, porque HBGary trabaja con grandes organizaciones financieras y con órganos estatales. Si se hubiese tratado de delincuentes tradicionales, ya habrían tratado de venderla en el mercado negro. Pero en este caso, nos encontramos antes una conducta atípica de los hackers: pusieron una gran cantidad de la información confidencial a disposición del público en general. El objetivo de los delincuentes fue precisamente dar un golpe a la reputación de la compañía divulgando la información sobre la irrupción.

En cambio, fue el factor humano el que jugó su papel durante el hackeo de RSA. Los delincuentes enviaron a los empleados de la compañía ficheros xls maliciosos con el título “2011 Recruitment Plan.xls”, esperando que por lo menos una persona abriese el fichero. Su cálculo resultó correcto: uno de los empleados de RSA abrió el fichero fatal, que contenía exploits de “día cero”, los cuales permitieron a los delincuentes obtener el control de su ordenador y abrirse camino a través de la potente defensa de la red corporativa. Esta historia demuestra una vez más que el eslabón más débil de la defensa informática de una compañía son las personas que allí trabajan. El principal método de reforzar este eslabón es la educación, y no sólo de los especialistas técnicos, sino también de los simples usuarios. Sin importar lo robusta que sea la protección técnica de la compañía y de cuán profesionales sean los parámetros de la política de seguridad, si los usuarios no tienen una comprensión cabal de las principales reglas de seguridad informática será imposible crear un sistema realmente protegido.

Los recursos gubernamentales de Canadá, Francia y Corea del Sur también sufrieron ataques de los hackers en el primer trimestre. Los ataques que los delincuentes lanzan a las compañías privadas suelen tener como objetivo el lucro. En cambio, los ataques contra las diferentes estructuras estatales no tienen finalidades tan claras. En Canadá y Francia el blanco de los delincuentes eran los documentos secretos. En Corea del Sur se lanzaron ataques contra las cuentas de Twitter y YouTube pertenecientes al gobierno. Al igual que en los casos de Anonymous y HBGary, el motivo del ataque no era la sed de lucro. Las acciones de los delincuentes eran, en gran parte, actos de protesta contra unas u otras decisiones de las organizaciones y los órganos del poder estatal. Internet ha irrumpido en nuestra vida y poco a poco se va haciendo no solo una parte importante del campo informático global, sino también de la lucha política.

SCADA ¿es sólo el principio de todo?

El 21 de marzo de 2011 en el boletín seclists.org se publicaron 24 vulnerabilidades en los sistemas SCADA de diferentes fabricantes: Simens, Iconics, 7-Technologies y DATAC.

Después de la impactante noticia de Stuxnet, las vulnerabilidades de los sistemas SCADA acaparan el interés de las compañías dedicadas a la seguridad. Estos sistemas son responsables del funcionamiento de fábricas, centrales eléctricas, sistemas de gestión de semáforos y otros objetos vitales. La posibilidad de que estos se puedan manipular desde el exterior representa una amenaza para millones de personas.

No existen diferencias fundamentales entre SCADA y el software común y corriente. Se escribe en los mismos idiomas de programación y para sus necesidades de comunicación usa protocolos bien estudiados, entre ellos los de red. El software para SCADA lo escriben seres humanos y este es, sin lugar a dudas, el principal motivo de los errores. Por esta razón, en los sistemas SCADA hay errores que son típicos del software y los exploits que se escriben son también completamente típicos.

Es importante tomar en cuenta que en el mundo existen varios sistemas SCADA que fueron configurados durante la puesta en marcha de las empresas y que nunca se han actualizado. Y no siempre es posible actualizarlos, porque no todos pueden permitirse una segunda fábrica que sea polígono de pruebas de las actualizaciones.

Hay que mencionar que en Internet ya ha aparecido un Exploit Pack para el sistema SCADA. Y algunas de las vulnerabilidades publicadas seguían abiertas a finales de marzo.

¿Desconfianza digital?

Hoy en día toda la estructura de la “confianza digital” -confianza en los creadores de los ficheros, la banca online, las compras en la red, el correo electrónico y otros servicios de telecomunicación- se fundamenta en la confianza que tenemos en los mecanismos de verificación de las firmas y en las compañías que emiten certificados digitales.

Nuestro pronóstico de que en 2011 los certificados digitales se convertirían en uno de los principales problemas, por desgracia, empieza a cumplirse. A finales de marzo salió un boletín de Microsoft que informaba que se habían emitido 9 certificados falsos en nombre de la compañía Comodo (de confianza en todas las versiones de Windows y Mac OS X). Los delincuentes usan los certificados falsos para realizar ataques phishing, spoofing del contenido de los sitios y ataques MITM.

Según la declaración de la compañía Comodo, la emisión de los certificados falsos fue posible porque los hackers capturaron las cuentas de dos socios de confianza de la compañía. Este incidente sacó a la luz un problema más: como el derecho de emisión de certificados en nombre de una compañía de confianza se transmite a terceros, los usuarios se ven obligados no solo a confiar en la compañía, sino también en sus socios.

Todos los certificados se emitieron no para organizaciones financieras, sino para sitios con auditorios de millones de personas pertenecientes a grandes compañías. Es importante que los certificados se emitieron para diferentes servicios, entre ellos Google, Gmail, Microsoft Live Mail, Yahoo!, Skype y Mozilla addons. Esto es algo atípico para los hackers de la escuela tradicional, a quienes en primer lugar les interesa el dinero, y por lo tanto, las organizaciones financieras. Los ataques con estos certificados falsos no se realizaron para lucrar, pero pueden conducir al robo de información personal de una gran cantidad de usuarios de Internet. Esto se inscribe en la concepción de los nuevos organizadores de ataques, sobre los cuales escribimos en nuestro informe anual.

Es curioso que, según la información de Comodo, los ataques de hackers contra los socios de la compañía se lanzaron desde Irán. En este mismo país se encontraba el sitio que usó por primera vez el certificado falso. Más tarde, una persona que se hacía pasar por un hacker iraní autodidacta se atribuyó la responsabilidad de la irrupción en el sistema e incluso publicó un fragmento de la llave en calidad de prueba. Pero es evidente que este ataque fue minuciosamente planeado y ejecutado con profesionalismo, ambas cosas lejos del alcance de un autodidacta. Además, no fue posible encontrar al hacker que con tanto descaro asumió la responsabilidad del ataque. No excluimos la posibilidad de que la huella iraní sea falsa y haya sido usada para desviar la atención.

Rustock ha sido capturada, pero sus dueños están en libertad

A mediados de marzo la botnet Rustock dejó de enviar spam. Este suceso fue la consecuencia de una operación conjunta de Microsoft y los órganos del orden de EEUU, cuyo resultado fue la clausura de los centros de administración de la botnet. Después de esto, la cantidad de spam mundial se redujo en un 15%.

Rustock es una botnet gestionada desde centros de administración severamente determinados: las direcciones de los servidores en Internet desde donde los spam-bots reciben instrucciones están indicadas en el código de los programas maliciosos. La clausura de los centros de administración de la botnet hizo que sus dueños perdieran el control sobre los equipos infectados. Los delincuentes no podrán recuperar el control sobre los equipos que integraban la botnet deshabilitada, pero esto no significa que haya que olvidar a Rustock para siempre.

El bot fue creado con un solo propósito, enviar spam. Por eso sus funcionalidades son mínimas: camuflarse en el sistema, recibir las instrucciones del dueño y enviar millones de mensajes spam. Rustock nunca tuvo funciones de propagación. Para crear las redes zombi se usaron las capacidades de otras botnets: los delincuentes enviaban instrucciones para descargar e instalar el spam-bot Rustock a los programas maliciosos (por lo general Trojan-Downloader.Win32.Harnig) ya instalados en los equipos infectados. La “casa” típica donde vive Rustock es un equipo sin antivirus y con un Windows XP sin actualizar. En el mundo hay cientos de miles de equipos como éste. Mientras los dueños de Rustock sigan en libertad, seguirán teniendo la posibilidad de crear nuevas botnets y no excluimos la posibilidad de que lo hagan con los equipos que integraban la botnet clausurada.

Después de la clausura de los centros de administración de Rustock, los delincuentes no hicieron intentos de crear una nueva botnet. Según los datos de Kaspersky Lab, durante dos semanas (del 16 a finales de marzo) no se detectó ni un sólo nuevo descargador que instalara Rustock en los ordenadores de los usuarios.

Las víctimas de GpCode

El final del trimestre pasó bajo el signo de una nueva modificación de un troyano peligrosísimo, el extorsionador GpCode, que cifra los datos del equipo infectado y exige un rescate por descifrarlos.

Las nuevas modificaciones del cifrador se descubrieron por primera vez a finales de 2010. A diferencia de las anteriores modificaciones, que eliminaban los ficheros cifrados, las nuevas variantes de GpCode escriben datos cifrados que suplantan a los del fichero. Si los ficheros cifrados eliminados se pueden recuperar mediante programas especiales, es imposible recuperar los ficheros reescritos si no se cuenta con la llave de descifrado. La situación se complica aún más porque el nuevo GpCode usa para el cifrado el algoritmo AES con llave de 256 bits y el RSA con llave de 1024 bits. Hoy en día es imposible descifrar en un tiempo razonable los datos cifrados con estos algoritmos contando solamente con los datos cifrados (que es todo lo que queda en el equipo de la víctima).

Para infectar los equipos de los usuarios, los delincuentes usaron el método de descarga drive-by. Para inducir a las víctimas potenciales a visitar los sitios infectados, se usaba la técnica denominada envenenamiento (poisoning) de las solicitudes de búsqueda. El usuario podía llegar al sitio malicioso si su solicitud en el sistema de búsqueda estaba relacionada con la gastronomía. Hacemos notar que todos los sitios desde los cuales se lanzaron los ataques estaban registrados en hostings gratuitos como am.ae, cx.cc, gv.vg, etc. Para camuflarse, los delincuentes registraron y usaron durante el ataque nombres de dominio relacionados con la cocina, como delicate-grill.ae.am, grill.ae.am, warmblueberry.cx.cc y full-bread.ae.am.

Las víctimas del troyano fueron, sobre todo, los habitantes de Europa y del espacio postsoviético. Se registraron casos de infección en Alemania, Rusia, Polonia, Francia, Holanda, Kazajstán, Ucrania y en varios países más. Los delincuentes exigían que les envaran el pago por el descifrado mediante el sistema de dinero electrónico Ukash, que funciona en el territorio de todos estos países.

El ataque duró sólo contadas horas y su blanco fueron los usuarios domésticos. En un lapso tan corto, si no se cuenta con técnicas modernas de lucha contra programas maliciosos, es imposible crear firmas y enviarlas a los equipos. Pero los usuarios de Kaspersky Lab recibieron protección de inmediato gracias a las firmas UDS (Urgent Detection System), que funciona en la nube.

El corto periodo de propagación del programa malicioso indica que los autores de GpCode no pretendían hacer que la infección de los equipos de los usuarios fuera masiva. La posible explicación es que una infección masiva de equipos podría llamar la atención de los órganos de seguridad de diferentes países hacia el autor, cosa que evidentemente no les convenía a los delincuentes. Por esto, es muy probable que los subsiguientes ataques del troyano-cifrador sean también de corta duración.

Estadística

Más adelante analizaremos la estadística proporcionada por los diferentes componentes de protección contra programas maliciosos. Todos los datos estadísticos usados en el informe han sido obtenidos mediante la red antivirus distribuida Kaspersky Security Network (KSN). Los datos fueron obtenidos en los equipos de los usuarios de KSN que confirmaron su consentimiento en enviarlos. En el intercambio global de información sobre las actividades maliciosas toman parte millones de usuarios de los productos de Kaspersky Lab de 213 países del mundo.

Las amenazas en Internet

Los datos estadísticos citados en esta sección se han recibido del funcionamiento del antivirus web, que protege a los usuarios cuando se descargan códigos maliciosos de páginas web infectadas. Pueden estar infectados sitios creados por los delincuentes con este fin, páginas web cuyo contenido lo crean los usuarios (por ejemplo, los foros) y páginas legítimas hackeadas.

Objetos detectados en Internet

En el primer trimestre de 2011 se rechazaron 254.932.299 ataques realizados desde recursos de Internet ubicados en diferentes países.

TOP 20 de objetos detectados en Internet

 

Lugar Nombre % del total de ataques*
1 Blocked 66,16%
2 Trojan,Script,Iframer 20,43%
3 Exploit,Script,Generic 14,68%
4 Trojan,Win32,Generic 9,59%
5 Trojan,Script,Generic 8,91%
6 Trojan-Downloader,Script,Generic 8,12%
7 AdWare,Win32,HotBar,dh 3,40%
8 AdWare,Win32,FunWeb,gq 3,26%
9 Trojan,HTML,Iframe,dl 2,16%
10 Exploit,JS,Pdfka,ddt 1,82%
11 Exploit,HTML,CVE-2010-1885,ad 1,73%
12 Hoax,Win32,ArchSMS,pxm 1,59%
13 Trojan,JS,Popupper,aw 1,57%
14 Hoax,Win32,ArchSMS,heur 1,57%
15 Trojan-Downloader,Win32,Generic 1,56%
16 Trojan-Downloader,Java,OpenConnection,cx 1,55%
17 Trojan-Downloader,Java,OpenConnection,cg 1,33%
18 Exploit,HTML,CVE-2010-1885,aa 1,33%
19 Trojan-Downloader,HTML,Agent,sl 1,24%
20 Trojan-Downloader,Java,OpenConnection,cf 1,15%

 

Esta estadística contiene los veredictos de detección del módulo del antivirus web, que enviaron los usuarios de los productos de Kaspersky Lab que dieron su consentimiento para el envío de datos estadísticos.
* Porcentaje del total de ataques web registrados en los equipos de usuarios únicos

Una gran parte (66,16%) de los objetos detectados en Internet son enlaces de la lista de rechazados. Esta lista reúne las direcciones de sitios web con diferentes contenidos maliciosos. Estos sitios se pueden dividir en dos grandes categorías. La primera son los sitios donde se usan activamente métodos de ingeniería social para inducir al usuario a que instale programas maliciosos. En la segunda categoría están los sitios que, cuando el usuario los visita y sin que se dé cuenta, descargan y ejecutan programas maliciosos en sus equipos mediante la técnica denominada drive-by, que se basa en el uso de exploits.

Los puestos del segundo al sexto de la estadística los ocupan diferentes veredictos heurísticos. Por lo general, los usuarios sufren ataques de troyanos de script y exploits. El gran porcentaje de los ataques del troyano Trojan.Script.Iframer (segundo puesto) y de su análogo Trojan.HTML.Iframe.dl (noveno puesto) confirma que en muchos sitios legítimos hay “inyecciones” de código malicioso en forma de etiquetas iframe invisibles que se usan durante los ataques drive-by.

En los puestos 7 y 8 está el software publicitario HotBar.dh y FunWeb.gq, que se propaga con particular virulencia en cuatro países: EEUU (28% de las detecciones de HotBar.dh y FunWeb.gq), China, (14%), India (6%) e Inglaterra.

A finales del año pasado los troyanos de las familias Trojan-Downloader.Java.OpenConnection gozaban de gran popularidad entre los delincuentes. En el primer trimestre de 2011 quedaron en los últimos lugares de la estadística. Los troyanos usan una vulnerabilidad en Java Runtime Environment que permite a los delincuentes salir del entorno de virtualización y llamar las funciones del sistema de Java. Son vulnerables las versiones de Java Runtime Environment hasta la actualización 18 de la versión 6. Debido a que para luchar contra las explotaciones de las vulnerabilidades en los idiomas de interpretación se usa una gran cantidad de diversas funciones, los exploits no atacan a los programas escritos en estos idiomas, sino a las máquinas virtuales en sí.

Es digno de atención que programas detectados como Hoax.Win32.ArchSMS. ocupan al mismo tiempo dos posiciones en la estadística (puestos 12 y 14). Se trata de archivos que para descomprimirse exigen enviar mensajes SMS a un número de pago. La mayor parte de las detecciones de este programas estafador suceden en el sector ruso de Internet.

Países en cuyos recursos se hospedan programas nocivos

Los recursos de Internet que son fuente de programas maliciosos existen en casi cualquier país. En el primer trimestre se detectó el 89% de los recursos web usados para propagar programas maliciosos en 10 países. Para determinar la fuente geográfica de los ataques se usaba el método de yuxtaponer el nombre de dominio a la dirección IP real, en la cual se encuentra este dominio y determinar la ubicación geográfica de esta dirección IP (GEOIP).


Distribución de recursos web que contienen programas maliciosos, países.
Primer trimestre de 2011

EEUU sigue liderando la estadística de países que albergan recursos web usados para propagar programas maliciosos. En este país la mayoría de los contenidos maliciosos se encuentra en sitios legítimos, pero hackeados. En los primeros tres meses de 2011 la cantidad de hostings maliciosos en EEUU ha aumentado en un 1,7%.

El aumento más notable de hostings maliciosos ha ocurrido en Rusia (+3,5%) e Inglaterra (+2%), que ocupan el segundo y séptimo puesto respectivamente.

Continúa la caída, iniciada en 2010, de la cantidad de espacios maliciosos en China. La cantidad de ataques web desde el territorio de este país, en comparación con el cuarto trimestre de 2010, ha bajado en un 3,33%. También está bajando la cantidad de servidores con contenidos maliciosos en Alemania (-3,28%), donde se está llevando a cabo una seria lucha por la limpieza de Internet.

Países en los cuales los usuarios estuvieron bajo mayor riesgo de infección mediante Internet

Para evaluar el grado de riesgo de infección mediante Internet al que están sometidos los ordenadores de los usuarios en diferentes países, hemos calculado para cada país la frecuencia de las reacciones del antivirus web durante el primer trimestre.

10 países donde los usuarios estuvieron sometidos al máximo riesgo de infección mediante Internet

 

Lugar País % de usuarios únicos**
1 Rusia 49,63%
2 Omán 49,57%
3 Irak 45,65%
4 Bielorrusia 43,84%
5 Armenia 42,42%
6 Azerbaiyán 42,15%
7 Kazajistán 40,43%
8 Arabia Saudita 39,99%
9 Ucrania 39,99%
10 Sudán 38,87%

 

*En los cálculos hemos excluido a los países en los cuales la cantidad de usuarios de los productos de Kaspersky Lab es relativamente pequeña (menos de 10.000).
**Porcentaje de usuarios únicos que fueron víctimas de ataques web, de entre todos los usuarios únicos de los productos de Kaspersky Lab en el país.

En el primer trimestre de 2011 los usuarios de KSN en Rusia y Omán fueron los que estuvieron sometidos al mayor riesgo. Prácticamente uno de cada dos usuarios (49%) en estos países estuvo sometido a por lo menos un ataque mediante Internet en este trimestre. Pero el carácter de las amenazas en estos dos países es diametralmente opuesto: en Omán los equipos se infectan, sobre todo, para aumentar el tamaño de las botnets, mientras que en Rusia, junto con las botnets, se propagan activamente programas de estafa.

Todos los países se pueden dividir en varios grupos.

  1. Grupo de riesgo alto. En este grupo, con un resultado de entre el 41 y el 60% entran 7 países: Rusia, Omán, Irak, Bielorrusia, Armenia, Azerbaiyán y Kazajistán.
  2. Grupo de riesgo, en el que con índices del 21 al 40% están 87 países.
  3. Grupo de los países más seguros para navegar en Internet. En este grupo hay 33 países con índices del 13 al 20%. La menor cantidad de usuarios atacados durante la visita de páginas en Internet está en Japón, Alemania, Serbia, la república Checa y Luxemburgo.

Las “amenazas móviles”

Todos los datos estadísticos aducidos en esta sección se han extraído del funcionamiento del on-access-scanner.

Objetos detectables encontrados en los ordenadores de los usuarios

En el primer trimestre de 2011 nuestras soluciones antivirus bloquearon con éxito 412.790.509 intentos de infección local en los equipos de los usuarios participantes en Kaspersky Security Network.

En estos incidentes se pudo registrar 462.754 diferentes programas nocivos y potencialmente indeseables. En esta cifra se encuentran, en particular, los objetos que penetraron en los equipos, pero no mediante la web, el correo o los puertos de red, sino, por ejemplo, por la red local o mediante dispositivos de almacenamiento removible.

Objetos detectables encontrados en los ordenadores de los usuarios: TOP 20

 

Lugar Nombre % de usuarios únicos**
1 DangerousObject.Multi.Generic 29,59%
2 Trojan.Win32.Generic 24,70%
3 Net-Worm.Win32.Kido.ir 14,72%
4 Virus.Win32.Sality.aa 6,43%
5 Virus.Win32.Sality.bh 4,70%
6 Net-Worm.Win32.Kido.ih 4,68%
7 Hoax.Win32.Screensaver.b 4,48%
8 HackTool.Win32.Kiser.zv 4,43%
9 Hoax.Win32.ArchSMS.heur 4,08%
10 Worm.Win32.Generic 3,36%
11 Trojan.JS.Agent.bhr 3,32%
12 AdWare.Win32.HotBar.dh 3,28%
13 Packed.Win32.Katusha.o 2,99%
14 Hoax.Win32.ArchSMS.pxm 2,91%
15 Trojan.Script.Iframer 2,80%
16 Worm.Win32.FlyStudio.cu 2,74%
17 HackTool.Win32.Kiser.il 2,50%
18 Trojan-Downloader.Win32.Geral.cnh 2,11%
19 Trojan-Downloader.Win32.VB.eql 2,04%
20 Trojan.Win32.Starter.yy 1,95%

 

Esta estadística contiene los veredictos de detección del módulo del antivirus web, que fueron enviados por los usuarios de los productos de Kaspersky Lab que dieron su consentimiento para el envío de datos estadísticos.
*Porcentaje de usuarios únicos en cuyos equipos el antivirus detectó este objeto, de entre todos los usuarios únicos de los productos de Kaspersky Lab en cuyos equipos tuvieron lugar reacciones del antivirus.

El primer lugar en la estadística lo ocupan diversos programas maliciosos detectados mediante tecnologías “en la nube”. Estas tecnologías funcionan cuando en las bases antivirus todavía no existen ni firmas ni heurísticas que detecten el programa malicioso, pero la compañía antivirus ya tiene información sobre el objeto “en la nube”. En este caso al objeto detectado se le asigna el nombre de DangerousObject.Multi.Generic.

Los puestos del 3 al 6 lo ocupan modificaciones de programas maliciosos bien conocidos desde hace años, Net-Worm.Win32.Kido y Virus.Win32.Sality. Los efectivos métodos de propagación usados por estos programas maliciosos hacen que un mecanismo de infección, una vez activado, siga funcionando mucho tiempo después de la salida de los programas al mundo real. A juzgar por la situación generada y la cantidad de equipos infectados, estos programas maliciosos seguirán liderando por largo tiempo.

En esta estadística, al igual que en la de amenazas de Internet, están los programas de estafa mencionados más arriba y que los productos de Kaspersky Lab detectan como Hoax.Win32.ArchSMS (puestos 9 y 14).

Países en los cuales los usuarios estuvieron bajo mayor riesgo de infección local

En diferentes países hemos calculado el porcentaje de usuarios de KSN en cuyos equipos se bloquearon intentos de infección local. Las cifras obtenidas reflejan la media de equipos infectados en uno u otro país.

TOP 10 de países según su cantidad de ordenadores infectados

 

Lugar País % de usuarios únicos**
1 Sudán 69,86%
2 Bangladesh 64,33%
3 Irak 62,15%
4 Ruanda 57,28%
5 Nepal 55,85%
6 Tanzania 55,11%
7 Afganistán 54,78%
8 Angola 53,63%
9 Uganda 53,48%
10 Omán 53,16%

 

*En los cálculos hemos excluido a los países en los cuales la cantidad de usuarios de los productos de Kaspersky Lab es relativamente pequeña (menos de 10.000).
**Porcentaje de usuarios únicos en cuyos ordenadores se detectaron amenazas locales, de entre la cantidad total de usuarios de productos de Kaspersky Lab en el país.

En el TOP10 de países donde los equipos de los usuarios estuvieron bajo mayor riesgo de infección local hay sólo países de Asia y África. El nivel de informatización en estas regiones están creciendo a pasos acelerados. Por desgracia, este crecimiento no está seguido de un aumento de la educación informática de sus habitantes, lo que se refleja en altos índices de infección de los equipos de los usuarios, que constituye más del 50%. En Sudán (1 lugar), por ejemplo, se han detectado programas maliciosos en 2 de cada 3 equipos conectados a KSN. Recordamos que este país ocupa también el décimo puesto de la estadística de países según el riesgo de adquirir infecciones por Internet.

En lo que atañe a las infecciones locales, podemos agrupar todos los países según su nivel de infección:

  1. En el grupo de nivel máximo de infección, con un índice de más del 60% están Sudán, Bangladesh e Irak.
  2. En el grupo con nivel alto de infección (41-60%) hay 48 países, entre ellos India, Indonesia, Filipinas, Tailandia, Rusia, Ucrania y Kazajstán.
  3. En el grupo con nivel medio de infección (21-40%) hay 55 países, entre ellos China, Brasil, Ecuador, Argentina, Turquía, España, Portugal y Polonia.
  4. En el grupo con nivel mínimo de infección local hay 24 países.

Entre los 5 países más seguros por su bajo nivel de infección local están:

 

Lugar País % de usuarios únicos
1 Japón 6,30%
2 Alemania 9,20%
3 Suiza 9,60%
4 Luxemburgo 10,20%
5 Dinamarca 11,10%

 

Es interesante el hecho de que el segundo y tercer grupo están compuestos por países en vías de desarrollo, mientras que el cuarto lo forman países desarrollados como Austria, Inglaterra, Alemania, EEUU, Francia y Japón.

Vulnerabilidades

En el primer trimestre de 2011 hemos detectado en los ordenadores de los usuarios 28.752.203 aplicaciones y ficheros vulnerables.

En la tabla de abajo está el TOP 10 de vulnerabilidades descubiertas en los ordenadores de los usuarios

 

Secunia ID,
identificador único
de la vulnerabilidad
Nombre y vínculo
a la descripción
de la vulnerabilidad
Posibilidades
que ofrece
la vulnerabilidad
a los delincuentes
Porcentaje
de usuarios en cuyos
equipos se detectó
la vulnerabilidad
Fecha
de publicación
Nivel de peligro
de la vulnerabilidad
1 SA 41340 Adobe Reader / Acrobat SING “uniqueName” Buffer Overflow Vulnerability Acceso al sistema y ejecución de cualquier código con privilegios de usuario local 40.78% 08.09.
2010
Extremely Critical
2 SA 41917 Adobe Flash Player Multiple Vulnerabilities Acceso al sistema y ejecución de cualquier código con privilegios de usuario local
Exposición de información sensible
evasión del sistema de seguridad
31.32% 28.10.
2010
Extremely Critical
3 SA 43267 Adobe Flash Player Multiple Vulnerabilities Acceso al sistema y ejecución de cualquier código con privilegios de usuario local 24.23% 09.02.
2011
Highly Critical
4 SA 43262 Sun Java JDK / JRE / SDK Multiple Vulnerabilities Acceso al sistema y ejecución de cualquier código con privilegios de usuario local
DoS
Exposición de información sensible
Manipulación de datos
23.71% 09.02.
2011
Highly Critical
5 SA 41791 Sun Java JDK / JRE / SDK Multiple Vulnerabilities Acceso al sistema y ejecución de cualquier código con privilegios de usuario local
DoS
Exposición de información sensible
Manipulación de datos
evasión del sistema de seguridad
21.62% 13.10.
2010
Highly Critical
6 SA 39259 Apple QuickTime Multiple Vulnerabilities Acceso al sistema y ejecución de cualquier código con privilegios de usuario local
Exposición de información sensible
Manipulación de datos
12.16% 11.11.
2010
Highly Critical
7 SA 42475 Winamp MIDI Timestamp Parsing Buffer Overflow Vulnerability Acceso al sistema y ejecución de cualquier código con privilegios de usuario local 9.40% 07.12.
2010
Highly Critical
8 SA 31744 Microsoft Office OneNote URI Handling Vulnerability Acceso al sistema y ejecución de cualquier código con privilegios de usuario local 9.05% 09.01.
2007
Highly critical
9 SA 42112 Adobe Shockwave Player Multiple Vulnerabilities Acceso al sistema y ejecución de cualquier código con privilegios de usuario local 8.78% 03.11.
2010
Highly critical
10 SA 39272 Adobe Reader / Acrobat Multiple Vulnerabilities Acceso al sistema y ejecución de cualquier código con privilegios de usuario local
XSS
8.18% 14.04.
2010
Highly Critical

 

Durante el último año la mayor parte de la estadística estuvo ocupada por vulnerabilidades de los productos de Microsoft. Una peculiaridad de la estadística del primer trimestre de 2011 es la presencia de una sola vulnerabilidad de Microsoft (puesto 8). En los equipos se encontraron sobre todo vulnerabilidades en los productos de Adobe, que ocuparon 5 puestos, entre ellos los dos primeros. El cuarto y quinto puesto lo ocuparon vulnerabilidades en la máquina virtual Java. En el TOP 10 hay vulnerabilidades en los reproductores multimedia Apple QuickTime (puesto 6) y Winamp (puesto 7).

Todas las vulnerabilidades presentes en el TOP 10 permiten a los delincuentes obtener acceso irrestricto al sistema. En principio, si se tiene el control irrestricto del sistema, las demás posibilidades que dan las vulnerabilidades pasan a segundo plano.

Conclusión

La principal tendencia del primer trimestre de 2011 es el aumento de los ataques contra diferentes organizaciones. Y no sólo se trata de los tradicionales ataques DDoS que dejan fuera de servicio a las compañías, sino también de la penetración a servidores corporativos con el objetivo de robar información. Todos los ataques se pueden dividir en dos grandes grupos.

El objetivo de los ataques del primer grupo es vender la información robada de los servidores de las compañías. Es importante tomar en consideración que como resultado de los ataques, con frecuencia caen en las manos de los delincuentes los datos de los clientes de la organización afectada. Esta información se puede usar después para, entre otras cosas, llevar a cabo ataques a las compañías en las cuales trabajan los dueños de los datos personales robados por los delincuentes cibernéticos.

El segundo grupo de ataques suele tener carácter de protesta. Estos ataques no están relacionados con el deseo de lucro de los atacantes y a fin de cuentas persiguen un objetivo: poner bajo duda la autoridad de la compañía atacada y poner en duda su reputación.

Según nuestros datos estadísticos, recopilados en los equipos que forma parte de KSN, el mayor riesgo de infección, tanto local como mediante la web lo corren los países en vías de desarrollo. Los grupos de mayor riesgo de infección local (las amenazas locales están bloqueadas en más del 60% de los equipos de los usuarios de Kaspersky Lab en este país) y de alto riesgo (40-60%) están conformados exclusivamente por países en vías de desarrollo. El nivel de computarización en estos países crece muy rápido, pero no se puede decir lo mismo del nivel de educación informática de sus habitantes. Sin embargo, los troyanos con tecnologías más avanzadas hoy en día (TDSS, Sinowal, Zbot, etc) atacan en primer lugar a los usuarios de los países avanzados, como EEUU, Alemania, Inglaterra, Italia, Francia y España. A los “chicos malos” les interesan sobre todo las billeteras de los usuarios de estos países.

Según los datos de IDC, en el cuarto trimestre de 2010 las ventas de smartphones ya superaron a las de ordenadores. En estas circunstancias, la creciente popularidad de Android OS en el mercado de dispositivos móviles podrá pronto conducir a una situación similar a la que ya se ha establecido en el mundo de los ordenadores. La dominación de Android OS permitirá a los escritores de virus no desperdiciar sus fuerzas y concentrarse en la creación de programas maliciosos para una plataforma. Esta táctica permitirá a los delincuentes infectar la mayor cantidad de dispositivos móviles.

La tarea de proteger los dispositivos móviles en este momento se complica porque los usuarios los usan para almacenar y transmitir la valiosa información de las compañías en las que trabajan. Y los empleados de las compañías tienen una actitud bastante ligera frente a la defensa de los datos en estos dispositivos.

El acelerado crecimiento de la popularidad de las redes sociales, blogs, torrents, Youtube y Twitter está haciendo que cambie el paisaje digital. Estos servicios garantizan la alta velocidad de propagación de datos y su accesibilidad en cualquier rincón del mundo. Con frecuencia, la gente confía en la información publicada en los blogs de los usuarios no menos que en la publicada en los medios masivos de información. Los delincuentes ya se han dado cuenta de la popularidad de este tipo de recursos. Por esta razón, en el futuro hay que esperar que aumente la cantidad de ataques mediante estos servicios y contra estos servicios.

Desarrollo de las amenazas informáticas en el primer trimestre de 2011

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada