Informes sobre malware

Desarrollo de las amenazas informáticas en el segundo trimestre de 2013

El segundo trimestre en cifras

  • Según los datos de KSN, los productos de Kaspersky Lab han detectado y neutralizado un total de 983.051.408 amenazas en el segundo trimestre de 2013.
  • Las soluciones de Kaspersky Lab han detectado 577.159.385 ataques lanzados contra recursos online en todo el mundo.
  • Los programas antivirus de Kaspersky Lab han bloqueado un total de 400.604.327 intentos de infectar equipos locales conectados a la red Kaspersky Security Network.
  • Se ha detectado un total de 29.695 nuevas modificaciones de malware para teléfonos móviles.

Generalidades

Ciberespionaje y ataques dirigidos

NetTraveler

A principios de junio, Kaspersky Lab anunció el descubrimiento de un nuevo capítulo en el campo del ciberespionaje.

Actores APT han utilizado una familia de programas maliciosos con el nombre de NetTraveler para infectar a más de 350 víctimas de alto perfil en 40 países. Las víctimas del grupo NetTraveler se encuentran en los sectores público y privado: incluyendo organizaciones gubernamentales, embajadas, la industria del gas y el petróleo, centros de investigación, contratistas militares y activistas.

La amenaza, que ha estado circulando desde 2004, apunta al robo de información sobre la exploración espacial, la nanotecnología, la producción de energía, la energía nuclear, el láser, la medicina y las comunicaciones.

Los atacantes infectaron a sus víctimas mediante mensajes de correo spear-phishing con adjuntos maliciosos Microsoft Office que estaban equipados con dos conocidas vulnerabilidades explotadas: CVE-2012-0158 y CVE-2010-3333. Aunque Microsoft ya publicó los parches para estas vulnerabilidades, las siguen utilizando ampliamente en ataques dirigidos de explotación ya que han resultado ser efectivas.

Los datos extraídos de los equipos infectados suelen incluir listas del sistema de archivos, keylogs y varios tipos de archivos (PDF, hojas de cálculo Excel, documentos y archivos Word). Además, el paquete de herramientas NetTraveler tenía la capacidad de instalar programas maliciosos (troyanos puerta trasera) adicionales para el robo de datos, y se ajustaba para robar otro tipo de información crítica, como los datos de configuración de una aplicación o los archivos de diseño asistido por ordenador.

En combinación con el análisis de datos C&C, los investigadores de Kaspersky Lab recurrieron a la red Kaspersky Security Network (KSN) para identificar datos estadísticos adicionales sobre infecciones.  Los diez países principales con víctimas detectadas por la red KSN fueron Mongolia seguido de Rusia, India, Kazajistán, Kirguistán, China, Tayikistán, Corea del Sur, España y Alemania.

Winnti

A principios de abril, Kaspersky Lab publicó un informe detallado sobre una prolongada campaña de ciberespionaje llevada a cabo por un grupo de ciberdelincuentes, conocido como “Winnti”. El grupo Winnti ha sido responsable de ataques contra compañías de juegos online desde 2009, y se concentra en el robo de certificados digitales firmados por fabricantes legítimos de software y en el robo  de propiedad intelectual.  Este grupo también ha robado el código fuente de proyectos de juegos online.

El troyano que usaron en estos ataques fue una biblioteca DLL compilada para ambientes Windows 64-bit  que usaba un controlador malicioso pero con una firma legítima cuya función era la de una herramienta de administración remota (RAT, por sus siglas en inglés) completamente operativa que les permitía a los atacantes controlar el equipo capturado sin el conocimiento del usuario. Este fue un hallazgo significativo ya que este troyano era el primer programa malicioso en las versiones 64-bit de Microsoft Windows que tenía una firma digital válida.

Los expertos de Kaspersky Lab comenzaron a analizar la campaña del grupo Winnti y descubrieron que habían infectado a más de 30 compañías de la industria de los juegos online, la mayoría de las cuales eran compañías de desarrollo de software para videojuegos online localizadas en el Sudeste asiático. Sin embargo, también se identificó a otras compañías de juegos online en Alemania, EE.UU., Japón, China, Rusia, Brasil, Perú y Bielorrusia que fueron víctimas del grupo Winnti.

Este grupo se mantiene activo todavía y la investigación de Kaspersky Lab continúa.

Seguimiento a Winni: certificados robados usados en ataques contra tibetanos y uigures

Apenas una semana después de que se publicara nuestro informe sobre el grupo Winnti, nuestro equipo de investigación encontró un exploit para Flash Player en un sitio de asistencia a niños tibetanos refugiados. Infectaron este sitio para que distribuyera troyanos puerta trasera con firmas de certificados robados del arsenal de Winnti.

Este fue el principal ejemplo de un ataque tipo drenaje en el que los atacantes buscaron los sitios web preferidos de sus víctimas y los comprometieron para infectar sus equipos. También quedaron afectados y al servicio de “Exploit.SWF.CVE-2013-0634.a” otros sitios relacionados con los tibetanos y los uigures.

Programas maliciosos e historias de hackeos en el segundo trimestre

Carberp

En marzo y abril de este año, quedaron bajo arresto dos grupos de ciberdelincuentes, acusados del robo de cuentas bancarias en Rusia y Ucrania.

Eran usuarios y supuestos desarrolladores del troyano Carberp, que es un clásico ejemplo de fraudes bancarios online y de la implementación de cientos de redes zombi alrededor del mundo. Los autores se habían dedicado activamente y por años a la venta de Carberp en foros clandestinos, generalmente bajo un modelo de encargo, por lo que el troyano llegó incluso a infectar el ambiente móvil  para interceptar los números de autorización de transacción (TAN, por sus siglas en inglés) y enviarlos mediante mensajes SMS.

En junio de este año, se publicó un archivo comprimido de 2 GB que contenía código fuente de Carberp. Aunque notamos que la cantidad de ataques a través de versiones modificadas de Carberp está en declive, por desgracia la historia no termina ahí. Como sucedió en anteriores casos en los que el código fuente de conocidos programas maliciosos se filtró al público, podemos afirmar con suficiente seguridad que ciberdelincuentes rivales reciclarán partes del mismo para mejorar sus propias creaciones, expandir su “cuota de mercado” y crear sus propias variantes de Carberp, como sucedió con la filtración del código fuente de Zeus en 2011.

La locura por el Bitcoin

El valor de los Bitcoins ha aumentado de forma espectacular desde el año pasado. Una unidad equivalía a menos de 1 centavo de dólar americano, pero su valor se disparó hasta los 130 dólares. Y aunque la tasa de esta moneda es volátil, sigue creciendo de forma progresiva.  Hay un viejo adagio que dice: “donde haya dinero para robar, habrá delito” y esto se aplica también a los Bitcoins.

El Bitcoin se ha establecido como la moneda preferida por el hampa cibernético debido a que para las autoridades resulta muy difícil de rastrear, lo que la hace una forma de pago segura y anónima.

En abril, el equipo de investigación de Kaspersky Lab descubrió una campaña de ciberdelincuentes que usaban Skype para distribuir programas de minería de Bitcoin. Esta campaña usaba la ingeniería social como el vector de amenaza inicial y descargaba otros programas maliciosos para instalarlos en los equipos capturados. La campaña alcanzó altos índices de hasta 2.000 clics por hora. Los Bitcoins obtenidos por las máquinas capturadas se enviaban a la cuenta de los ciberdelincuentes responsables de la estafa.

Un mes después, nuestro equipo de investigación detectó una campaña brasileña de phishing contra Bitcoin. Varios sitios web legítimos resultaron infectados y se insertaron iFrames para lanzar una aplicación de Java que a su vez desviaba a los usuarios hacia un sitio web falso MtGox a través del uso malicioso de archivos PAC . MtGox es una plataforma de comercio japonesa para Bitcoin que afirma manejar más del 80% de todas las transacciones de esta moneda virtual. Obviamente, el objetivo de esta campaña es capturar los datos de usuario de las víctimas y robar Bitcoins.

Seguridad en la Web y fugas de información

El segundo trimestre de este año también fue testigo de fugas de información que involucraron datos confidenciales, incluyendo los de usuario.

Para los usuarios, en particular los expertos en el uso de Internet que tienen varias cuentas registradas y que todavía no se vieron afectados, las cosas se ponen cada vez más difíciles ya que hemos observado fugas de información de alto perfil cada mes.

Estos son algunos ejemplos de recientes fugas de información:

A fines de mayo, Drupal notificó a sus usuarios que hackers habían logrado acceder a nombres de usuario, direcciones de correo y contraseñas resumidas (hash). El desarrollador de sistemas de administración de contenidos respondió reconfigurando todas las contraseñas, como medida precautoria. Por suerte, las contraseñas se habían guardado usando hash y sal. La fuga se detectó durante una auditoría de seguridad sobre un exploit en un software de otra marca instalado en su portal web. Según Drupal, los datos de tarjetas de crédito no se vieron comprometidos.

El 29 de junio, el navegador web Opera distribuyó entre sus usuarios maliciosas actualizaciones para el navegador después de que su red interna se viera afectada y robaran el certificado de firma de un código. Aunque el certificado ya había expirado al momento del ataque, todavía podía resultar en infecciones sucesivas, ya que no todas las versiones de Windows hacen bien la verificación de certificados. A pesar del corto tiempo que estuvo activa la carga maliciosa, varios miles de usuarios de Opera pueden haber aplicado la actualización maliciosa. Kaspersky Lab detecta el troyano (con capacidades de robo de datos y de espionaje del uso del teclado) que se usa en este ataque como Trojan-PSW.Win32.Tepfer.msdu.

Redes zombi especiales

Ataques de redes zombi contra las instalaciones de WordPress

A principios de abril, GatorHost informó sobre una red zombi con más de 90.000 direcciones IP únicas que se usaba para lanzar un violento ataque a nivel mundial contra las instalaciones de WordPress.  Se supone que el objetivo del ataque era introducir un troyano puerta trasera en los servidores y capturarlos para la red. En algunos casos, el famoso paquete exploit BlackHole se instaló con éxito.

Accedido a los servidores de WordPress y abusar de ellos es un mérito para los ciberdelincuentes por el mayor ancho de banda y por el rendimiento en comparación con la mayoría de los equipos de escritorio, además de la posibilidad de seguir distribuyendo programas maliciosos mediante blogs ya establecidos y con lectores habituales.

La red zombi IRC ataca la vulnerabilidad sin parche Plesk

Dos meses después del ataque de una red zombi a las instalaciones de WordPress, los investigadores encontraron  una red zombi IRC que explotaba una vulnerabilidad en Plesk, un panel de control de hosting ampliamente usado. La explotación de esta vulnerabilidad (CVE-2012-1823) resultó en la ejecución remota de un código con los derechos del usuario de Apache.  La vulnerabilidad afectaba a Plesk 9.5.4 y a sus anteriores versiones. Según Ars Technica, más de 360.000 instalaciones estuvieron en peligro.

La red zombi IRC infectaba a servidores web vulnerables con un troyano puerta trasera que se conectaba con el servidor de control y comando.  Curiosamente, el servidor de control y comando era susceptible a la misma vulnerabilidad de Plesk.  Los investigadores usaron esta vulnerabilidad para monitorear la red zombi y encontraron que unos 900 servidores web infectados estaban tratando de conectarse. Se diseñó una herramienta para desinfectar los servidores zombi y anular la nueva red zombi.

Los programas maliciosos para dispositivos móviles siguen en ascenso

Sostenido aumento de la cantidad, calidad y diversidad

Android se ha establecido como el blanco favorito de los ciberdelincuentes entre todos los sistemas operativos móviles, y se lo puede considerar como el equivalente de Windows en el mundo de los dispositivos móviles.

Casi todas las muestras móviles que se descubrieron en ambiente móvil en el segundo trimestre de 2013 apuntaban a Android, tal y como sucedió en el primer trimestre de este año. Se alcanzó un hito significativo al final de este trimestre: el 30 de junio, se superó la barrera de las 100.000 modificaciones (con 629 familias de programas maliciosos).

Debemos notar que no contabilizamos las aplicaciones maliciosas individuales, sino los códigos maliciosos. Sin embargo, estos códigos se utilizan mucho en las aplicaciones Trojanised, lo que supone un número algo mayor de aplicaciones maliciosas que esperan su descarga. El procedimiento común de los ciberdelincuentes consiste en descargar aplicaciones legítimas, añadirle códigos maliciosos y usarlas como medio de propagación. Las aplicaciones modificadas vuelven a subirse, especialmente a tiendas de aplicaciones de terceras partes.  Las aplicaciones más populares son el blanco preferido para aprovecharse de su reputación, ya que los usuarios siempre las buscan, lo que facilita el trabajo de los ciberdelincuentes.

Según los datos estadísticos, en el segundo trimestre se dio un constante aumento desde el primer trimestre, con un total de 29.695 modificaciones (primer trimestre de 2013: 22.749). En abril se detectaron 7.141 modificaciones, lo que representa el punto más bajo en el segundo trimestre. Sin embargo, en mayo y junio Kaspersky Lab detectó más de 11.000 modificaciones (11.399 y 11155, respectivamente). En general, el año 2013 fue testigo de un notable salto en la cantidad de nuevas modificaciones móviles.


Cantidad de muestras en nuestra colección

Mientras que los troyanos SMS han sobresalido en los ataques móviles, su proporción en nuestra base de datos muestra una perspectiva distinta.

El primer lugar corresponde a los troyanos puerta trasera (Backdoors) con el 32,3%, y en la segunda posición se encuentran los troyanos SMS (SMS-Trojans), con el 23,2%. Los troyanos espía (Trojan-Spys) se encuentran en la cuarta plaza con el 4,9%. En cuanto a capacidades y flexibilidad, la tendencia en los programas maliciosos para dispositivos móviles converge con la de los programas maliciosos en el mundo PC. Las muestras modernas abusan de las tecnologías de ofuscación para evadir las medidas de seguridad, y suelen llevar múltiples cargas que hacen que la infección sea más persistente, que se extraiga información adicional o se descarguen e instalen programas maliciosos adicionales.

Obad: el troyano Android más sofisticado de todos los tiempos

En el segundo trimestre de este año, detectamos lo que es probablemente el troyano más sofisticado    de todos los tiempos dirigido contra Android. Puede enviar mensajes SMS a números de pago, descargar e instalar otros programas maliciosos en el dispositivo infectado y/o enviarlos por Bluetooth, así como ejecutar comandos remotos desde la consola. Los productos de Kaspersky Lab detectan este programa malicioso como Backdoor.AndroidOS.Obad.a.

Los creadores de Backdoor.AndroidOS.Obad.a descubrieron una falla en el conocido programa dex2jar que los analistas usan para convertir archivos APK al formato JAR, que es más fácil de usar y analizar. La vulnerabilidad que los ciberdelincuentes descubrieron obstaculiza la conversión de Dalvik bytecode a Java bytecode, dificultando aún más el análisis estadístico del troyano.

Los ciberdelincuentes también descubrieron un error en el sistema operativo Android relacionado con el análisis del archivo AndroidManifest.xml que se encuentra en cada aplicación de Android y se usa para describir la estructura de la aplicación, definir sus parámetros de ejecución, etc. Los creadores de este programa malicioso han modificado AndroidManifest.xml de tal manera que no cumple con el estándar definido por Google, sino que, debido a la vulnerabilidad, se analiza correctamente en el smartphone. Esto complica en gran medida el análisis dinámico del troyano.

Los creadores de Backdoor.AndroidOS.Obad.a se han aprovechado de otra falla que no se conocía en Android, que le permite al programa malicioso adquirir privilegios ampliados de administrador de dispositivo (Device Administrator) sin tener que figurar en la lista de aplicaciones con estos privilegios. Esto imposibilita eliminar el programa malicioso del dispositivo móvil.

En general, el programa malicioso explota tres vulnerabilidades desconocidas. Nunca habíamos visto nada parecido en el mundo de los programas maliciosos para dispositivos móviles.

El troyano puede usar los privilegios ampliados de Device Administrator para bloquear brevemente la pantalla del dispositivo (por no más de 10 segundos). Esto suele suceder después de conectarse a Wi-Fi gratuito o de activar Bluetooth, que este programa malicioso puede usar para enviar sus copias y otras aplicaciones maliciosos a otros dispositivos que se encuentren en las cercanías. Es posible que Backdoor.AndroidOS.Obad.a haga esto para evitar que el usuario se dé cuenta de esta actividad maliciosa.

Para enviar información sobre un dispositivo infectado y sobre el “trabajo” realizado, Backdoor.AndroidOS.Obad.a usa la conexión a Internet que esté activa en ese momento. Si no hay una conexión disponible, el troyano busca redes Wi-Fi cercanas que no requieran autenticación y se conecta a una de las redes que encuentre.

Después de su primera ejecución, la aplicación maliciosa recopila la dirección MAC del dispositivo Bluetooth, el nombre del operador, el número de teléfono y el IMEI, el balance de la cuenta, la hora local e información sobre si se han obtenido los privilegios de Device Administrator o superusuario (raíz). Toda esta información se envía al servidor de comando. El programa malicioso también le proporciona al servidor de comando tablas actualizadas de números de pago y prefijos para enviar mensajes SMS, una lista de las tareas y una lista de servidores de control y comando. Durante la primera sesión de comunicación se envía al servidor de comando una tabla vacía y una lista de servidores de control y comando; en el transcurso de la sesión el troyano puede obtener una tabla actualizada de números de pago y una nueva lista de direcciones de servidores de control y comando.

Los ciberdelincuentes pueden controlar el troyano a través de mensajes de texto: el troyano puede recibir desde el servidor hilos de llaves que definen ciertas acciones ((key_con, key_url, key_die) para luego buscarlos en los mensajes de texto entrante. Cada mensaje entrante se verifica en busca de cualquiera de los hilos de llaves. Si se encuentra una llave, se realiza la acción correspondiente: key_con: conectarse al servidor de inmediato; key_die: eliminar tarea de la base de datos; key_url: cambiar a otro servidor de control y comando (el texto debe incluir las nuevas direcciones de estos servidores). Esto les permite a los ciberdelincuentes crear un nuevo servidor de control y comando y enviar sus direcciones a través de mensajes SMS con una llave key_url, tras lo cual todos los dispositivos infectados migrarán al nuevo servidor.

El troyano recibe comandos del servidor de control y comando y los ingresa en una base de datos. Cada registro en esta base de datos contiene el número del comando, la hora de ejecución especificada por el servidor y sus parámetros. La lista de acciones que el troyano puede realizar después de recibir comandos es esta:

  • Enviar un mensaje de texto. Los parámetros incluyen el número del objetivo y el texto a enviarse. Las contestaciones se eliminan.
  • Ping.
  • Obtener el balance vía USSD.
  • Funcionar como un servidor proxy.
  • Conectarse a la dirección especificada.
  • Descargar e instalar un archivo desde el servidor.
  • Enviar al servidor una lista de las aplicaciones instaladas en el dispositivo.
  • Enviar información sobre una aplicación especificada por el servidor de comando.
  • Enviar los contactos del usuario al servidor.
  • Shell remoto. Ejecutar desde la consola comandos especificados por los ciberdelincuentes.
  • Enviar un archivo a todos los dispositivos Bluetooth detectados.

Falso protector: Programa malicioso extorsionador para Android

En junio, se supo que un ransomware (programa malicioso extorsionador) llegó a los dispositivos móviles, o más precisamente, una mezcla de falso antivirus y ransomware. La aplicación asociada se llama “Free Calls Update”. Después de ejecutar la aplicación instalada, intenta obtener los privilegios de administrador de dispositivo para modificar la configuración del dispositivo y poder encender/apagar las conexiones Wi-Fi y 3G Internet. El archivo de instalación se elimina después de la instalación para neutralizar la solución antivirus legítima, si es que estuviera instalada en el sistema. La aplicación es un falso antivirus que finge analizar programas maliciosos y muestra que no existe ninguno en el dispositivo, alentando a la víctima a adquirir una licencia para obtener la versión completa, tal como sucede en el ambiente PC.

Al navegar, la aplicación muestra una ventana pop-up que logra asustar al usuario y le advierte que un programa malicioso intenta robar contenido pornográfico del teléfono; esta advertencia es repetitiva y bloquea totalmente el dispositivo. El falso protector impide eliminar la aplicación o ejecutar otras cuando se apropia de los privilegios de administrador.

Datos estadísticos

Todos los datos estadísticos en este informe se obtuvieron de la red Kaspersky Security Network (KSN) en la nube. La información estadística se recopiló de los usuarios de KSN que aceptaron compartir sus datos locales. Millones de usuarios de los productos de Kaspersky Lab en 213 países participan en el intercambio mundial de información sobre actividades maliciosas.

Amenazas que circulan en Internet

Los datos estadísticos en esta sección provienen de los componentes antivirus web que protegen a los usuarios cuando un código malicioso intenta descargarse desde sitios web infectados. Lo sitios web infectados pueden pertenecer a ciberdelincuentes o pueden tener contenidos contribuidos por usuarios (como es el caso de los foros) así como recursos legítimos pirateados.

Detección de las amenazas que circulan en Internet

En el segundo trimestre de este año, los productos de Kaspersky Lab detectaron 577 159 385 ataques lanzados por recursos de Internet en todo el mundo.

Top 20 de las amenazas detectables en Internet

Nombre* % de todos los ataques**
1 URL maliciosas 91,52%
2 Trojan.Script.Generic 3,61%
3 Trojan.Script.Iframer 0.80%
4 AdWare.Win32.MegaSearch.am 0,54%
5 Exploit.Script.Blocker 0,41%
6 Trojan-Downloader.Script.Generic 0.27%
7 Exploit.Java.Generic 0,16%
8 Trojan.Win32.Generic 0,16%
9 Exploit.Script.Blocker.u 0,12%
10 AdWare.Win32.Agent.aece 0,11%
11 Trojan-Downloader.JS.JScript.cb 0,11%
12 Trojan.JS.FBook.q 0,10%
13 Trojan-Downloader.Win32.Generic 0,09%
14 Exploit.Script.Generic 0,08%
15 Trojan-Downloader.HTML.Iframe.ahs 0,05%
16 Packed.Multi.MultiPacked.gen 0,05%
17 Trojan-Clicker.HTML.Iframe.bk 0,05%
18 Trojan.JS.Iframe.aeq 0,04%
19 Trojan.JS.Redirector.xb 0,04%
20 Exploit.Win32.CVE-2011-3402.a 0,04%

 

*Estos datos estadísticos representan los veredictos de detección del módulo antivirus web y fueron proporcionados por los usuarios de los productos de Kaspersky Lab que aceptaron compartir sus datos locales.

**Porcentaje de incidentes únicos registrados por el módulo antivirus web en los equipos de los usuarios.

El primer lugar en el Top 20 de Amenazas detectables en el segundo trimestre de 2013 corresponde nuevamente a los enlaces maliciosos de las listas de rechazados. Su participación aumentó en un 0,08% desde el primer trimestre del año, alcanzando el 91,55% de todas las detecciones antivirus web.

Los veredictos que identifican a Trojan.Script.Generic (segundo lugar) y a Trojan.Script.Iframer (tercer lugar) se mantuvieron en el Top 5 de Amenazas detectables en el anterior trimestre. Estas amenazas se bloquean cuando intentan descargarse a través de ataques al paso (drive-by) que es uno de los métodos modernos más utilizados para atacar los equipos de los usuarios. El porcentaje de las detecciones de Trojan.Script.Generic aumentó en un 0,82%, mientras que las de Trojan.Script.Iframer lo hicieron en un 0,07%.

En el segundo trimestre de 2013, casi todas las amenazas del Top 20 que los componentes antivirus web pueden detectar eran programas maliciosos que de alguna manera participaron en ataques al paso.

Países cuyos recursos en Internet están infectados con programas maliciosos

Este indicador se refiere a los países en los que se localizan sitios web infectados con programas maliciosos. Para determinar la fuente geográfica de los ataques a través de la web, se usó un método por el cual los nombres de dominios se cotejan con las direcciones IP de dominio, y después se establece la localización geográfica de una dirección IP específica (GEOIP).

Un 83% de los recursos en Internet usados para propagar programas maliciosos se encuentra en 10 países. En el segundo trimestre de 2013, este número se incrementó en un 2%.


Clasificación de los recursos en Internet infectados con programas maliciosos en el segundo trimestre de 2013

Los países con la mayor cantidad de servicios de hosting maliciosos apenas se modificaron desde el primer trimestre del año. Mientras que EE.UU. (24,4%) y Rusia (20,7%) mantuvieron sus posiciones de líderes, Irlanda salió del Top 10, siendo remplazada por Vietnam en el séptimo lugar, con el 2,1%.

Países cuyos usuarios corren el mayor riesgo de infección por Internet

Para evaluar el nivel de riesgo de la infección por Internet a la que se ven expuestos los usuarios de varios países, hemos calculado la frecuencia con la que los productos de Kaspersky Lab encontraron detecciones antivirus web durante los últimos tres meses.

País %
1 Armenia 53,92%
2 Rusia 52,93%
3 Kazajistán 52,82%
4 Tayikistán 52,52%
5 Azerbaiyán 52,38%
6 Vietnam 47,01%
7 Moldavia 44,80%
8 Bielorrusia 44,68%
9 Ucrania 43,89%
10 Kirguistán 42,28%
11 Georgia 39,83%
12 Uzbekistán 39,04%
13 Sri Lanka 36,33%
14 Grecia 35,75%
15 India 35,47%
16 Tailandia 34,97%
17 Austria 34,85%
18 Turquía 34,74%
19 Libia 34,40%
20 Algeria 34,10%

 

Top 20 de los países* con los niveles más altos de riesgo de infección** en el segundo trimestre de 2013

*Para el propósito de estos cálculos, hemos excluido aquellos países cuyo número de usuarios de productos de Kaspersky Lab es relativamente bajo (menos de 10.000).

**Porcentaje de usuarios únicos en el país con equipos con productos de Kaspersky Lab que bloquearon las amenazas a través de la web.

El Top 10 de los países cuyos usuarios encuentran programas maliciosos con mayor frecuencia está compuesto casi por completo por los de la ex Unión Soviética, con la excepción de Vietnam. Rusia (52,9%) ocupó la segunda posición en el segundo trimestre. En el segundo trimestre del año aparecieron nuevos integrantes del Top 20: Libia (34,4%), Austria (34,9%) y Tailandia (35%).

Todos los países pueden clasificarse en cuatro grupos básicos.

  1. Ninguno calificó para el grupo de riesgo máximo (países en los que más del 60% de los usuarios se enfrentó al menos una vez a una amenaza en Internet) en este último trimestre.
  2. Riesgo elevado. Los primeros diez países del Top 20 encajaron en este grupo (tres menos que en el primer trimestre de 2013), entre los que están Vietnam y países de la ex Unión Soviética, particularmente Armenia (53,9%), Rusia (52,9%), Kazajistán (52,8%), Moldavia (44,8%), Bielorrusia (44,7%) y Ucrania (43,9%).
  3. Riesgo moderado. Este grupo incluye a los países en los que entre el 21% y 40,9% de los usuarios se enfrentó al menos una vez a una amenaza en Internet. En el segundo trimestre de este año 82 países conformaron este grupo, entre los cuales están Italia (29,2%), Alemania (33,7%), Francia (28,5%), Sudán (28,2%), España (28,4%), Qatar (28,2%), EE.UU. (28,6%), Irlanda (27%), Reino Unido (28,3%), Emiratos Árabes Unidos (25,6%) y Holanda (21,9%).
  4. Riesgo bajo. En el segundo trimestre de 2013, este grupo incluyó 52 países cuya participación varió entre el 9% y el 20,9%. Las cifras más bajas (por debajo del 20%) de ataques provenientes de la web se dieron en países africanos cuyo Internet no está plenamente desarrollado. Las excepciones fueron Dinamarca (18,6%) y Japón (18,1%).

q2malware2013_pic04

Riesgo de infección en el mundo en el segundo trimestre de 2013

Un promedio del 35,2% de equipos conectados a la red KSN se enfrentó al menos a un ataque mientras los usuarios navegaban en la web en los últimos tres meses (un 3,9% de aumento en relación al primer trimestre de este año).

Amenazas locales

Esta sección contiene un análisis estadístico de los datos obtenidos del análisis en el acceso y del análisis de diferentes discos, incluyendo los portátiles.

Amenazas detectadas en los equipos de los usuarios

En el segundo trimestre de 2013, las soluciones antivirus de Kaspersky Lab lograron neutralizar 400 604 327 intentos de infección local en los equipos de los usuarios que participan de la red Kaspersky Security Network.

Amenazas detectadas en los equipos de los usuarios: TOP 20

Nombre % de usuarios individuales*
1 DangerousObject.Multi.Generic 34,47%
2 Trojan.Win32.Generic 28,69%
3 Trojan.Win32.AutoRun.gen 21,18%
4 Virus.Win32.Sality.gen 13,19%
5 Exploit.Win32.CVE-2010-2568.gen 10,97%
6 AdWare.Win32.Bromngr.i 8,89%
7 Trojan.Win32.Starter.lgb 8,03%
8 Worm.Win32.Debris.a 6,53%
9 Virus.Win32.Generic 5,30%
10 Trojan.Script.Generic 5,11%
11 Virus.Win32.Nimnul.a 5,10%
12 Net-Worm.Win32.Kido.ih 5,07%
13 HiddenObject.Multi.Generic 4,79%
14 Net-Worm.Win32.Kido.ir 4,27%
15 Exploit.Java.CVE-2012-1723.gen 3,91%
16 AdWare.Win32.Yotoon.e 3,62%
17 AdWare.JS.Yontoo.a 3,61%
18 DangerousPattern.Multi.Generic 3,60%
19 Trojan.Win32.Starter.lfh 3,52%
20 Trojan.WinLNK.Runner.ea 3,50%

 

 

Estos datos estadísticos se recopilaron a partir de los veredictos de detección de programas maliciosos generados en los módulos de análisis en el acceso y por petición en los equipos de los usuarios de productos de Kaspersky Lab que aceptaron compartir su información estadística.

* Proporción de usuarios individuales en cuyos equipos el módulo antivirus detectó estos objetos como un porcentaje de todos los usuarios individuales de los productos de Kaspersky Lab en cuyos equipos de detectó un programa malicioso.

Como antes, se identifican claramente tres líderes en este Top 20.

Los programas maliciosos clasificados como DangerousObject.Multi.Generic detectados mediante tecnología en nube ocuparon el primer lugar con el 34,47% (casi el doble que el registrado en el primer trimestre). Las tecnologías en nube trabajan cuando todavía no están disponibles las firmas en las bases de datos antivirus ni el método heurístico para detectar programas maliciosos, pero la nube de Kaspersky Lab ya posee datos sobre las amenazas. En esencia, esta es la forma en que se detectan los nuevos programas maliciosos.

La amenaza Trojan.Win32.Generic ocupó la segunda posición (28,69%) en base a los veredictos del analizador heurístico en la detección proactiva de numerosos programas maliciosos. La tercera plaza correspondió a Trojan.Win32.AutoRun.gen (21,18%), e incluye los programas maliciosos que utilizan la característica autorun.

 

Países cuyos usuarios corren el riesgo más elevado de infección local

Las siguientes cifras muestran el promedio de infección entre los equipos de los usuarios de diferentes países. Los participantes de la red KSN que comparten su información estadística con Kaspersky Lab tuvieron al menos un programa malicioso detectado en casi uno de cada tres equipos (29,9%), ya sea en el disco duro o en uno portátil conectado al equipo. Esto significa un 1,5% menos que en el último trimestre.

País %
1 Vietnam 59,88%
2 Bangladesh 58,66%
3 Nepal 54,20%
4 Mongolia 53,54%
5 Afganistán 51,79%
6 Sudán 51,58%
7 Algeria 50,49%
8 India 49,46%
9 Paquistán 49,45%
10 Camboya 48,82%
11 Laos 48,60%
12 Maldivas 47,70%
13 Yibuti 47,07%
14 Iraq 46,91%
15 Mauritania 45,71%
16 Yemen 45,23%
17 Indonesia 44,52%
18 Египет 44,42%
19 Marruecos 43,98%
20 Túnez 43,95%

 

Niveles de infección de equipos* por país — Top 20 del segundo trimestre de 2013**

*Porcentaje de usuarios únicos en el país con equipos con productos de Kaspersky Lab que bloquearon las amenazas a través de la web.

** Para los cálculos, hemos excluido a los países que tienen menos de 10.000 usuarios de Kaspersky Lab.

Por quinto trimestre consecutivo, las posiciones en el Top 20 de esta categoría pertenecieron a países de África, Oriente Próximo y el Sudeste asiático. Vietnam encabeza la clasificación de los equipos con códigos maliciosos bloqueados (59,9%); Bangladesh, que en el trimestre anterior fuera el líder, ocupó un cercano segundo lugar con el 58,7%, es decir, un 9,1% menos que en el primer trimestre del año.

Los índices de infecciones locales también pueden clasificarse en cuatro grupos según el nivel de riesgo:

  1. Índice máximo de infección local (más del 60%). Afortunadamente, en los últimos tres meses ningún país calificó para esta categoría.
  2. Índice elevado de infección local (41-60%). En el segundo trimestre de 2013, un total de 34 países calificaron para este grupo, incluyendo Vietnam (59,9%), Bangladesh (58,7%), Nepal (54,2%), India (49,5%) e Irán (42,6%).
  3. Índice moderado de infección local (21-40,9%). Calificaron para este grupo un total de 77 países, entre los que se cuentan: Líbano (40%), China (36,7%), Qatar (34,1%), Rusia (30,5%), Ucrania (30,1%), España (23,9%), Italia (21,2%) y Chipre (21,6%).
  4. Índice bajo de infección local (menos del 21%). Calificaron para este grupo un total de 33 países, entre los que se cuentan: Francia (19,6%), Bélgica (17,5%), EE.UU. (17,9%), Reino Unido (17,5%), Australia (17,5%), Alemania (18,5%), Estonia (15,2%), Holanda (14,6%), Suecia (12,1%), Dinamarca (9,7%) y Japón (9,1%).

q2malware2013_pic05

Riesgo de infección local en el mundo en el segundo trimestre de 2013

Este es el Top 10 de países con el riesgo más bajo de infección en el segundo trimestre de 2013:

País %
1 Japón 9,01%
2 Dinamarca 9,72%
3 Finlandia 11,83%
4 Suecia 12,10%
5 República Checa 12,78%
6 Martinica 13,94%
7 Noruega 14,22%
8 Irlanda 14,47%
9 Holanda 14,55%
10 Eslovenia 14,70%

 

En el segundo trimestre del año, dos nuevos países ingresaron al Top 10: Martinica y Eslovenia, desplazando a Suiza y Nueva Zelanda.

Desarrollo de las amenazas informáticas en el segundo trimestre de 2013

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada