Informes sobre malware

Desarrollo de las amenazas informáticas en el tercer trimestre de 2010

Panorama general de la situación

En el tercer trimestre de 2010 ha habido muchos más sucesos que en el segundo. En total, durante el trimestre se ha bloqueado más de 600 millones de intentos de infectar ordenadores con programas maliciosos y potencialmente peligrosos, lo que es un 10% más que en el trimestre anterior. De los objetos maliciosos detectados, 534.427.690 fueron programas maliciosos. Se detectaron programas maliciosos que muestran el nuevo nivel de complejidad tecnológica de las creaciones de los escritores de virus. Por primera vez hemos visto un programa malicioso que usa cinco vulnerabilidades a la vez para irrumpir en el ordenador. Todo parece indicar que en la tarea técnica de este programa malicioso se había incluido una cláusula que estipulaba un “funcionamiento a prueba de fallos” y una alta probabilidad de impacto en el blanco.

Los escritores de virus estudian con mucha atención las tecnologías de defensa contra hackers y crean nuevos métodos para evadir los sistemas de defensa, lo que acelera la carrera armamentista y obliga a la industria antivirus a ser más activa en la creación y desarrollo de nuevas tecnologías de detección y tratamiento.

A su vez, el desarrollo de la competencia en los segmentos del mercado clandestino que ya son tradicionales para los delincuentes informáticos, conduce a la disminución de la rentabilidad de los esquemas existentes en estos negocios y hace que los delincuentes profesionales busquen nuevas fuentes de enriquecimiento ilícito. Podemos decir que en este momento está ocurriendo un desplazamiento de los intereses de la delincuencia informática hacia los ataques dirigidos a las organizaciones. Se trata de ataques cuyo objetivo es poner fuera de servicio a una compañía en particular, chantajearla o robarle su propiedad intelectual, y todo esto debe generar grandes ganancias a los organizadores.

Gamberros informáticos, estafadores informáticos, espías informáticos… ¿qué más nos depara el futuro?

Uno de los sucesos más importantes e interesantes del tercer trimestre de 2010 en el mundo de la seguridad informática tiene un tema muy similar al de la película La Jungla 4.0 (en Latinoamérica Duro de matar 4.0). Nos referimos al ataque del gusano Stuxnet.

Se detectó el gusano a principios de junio y de inmediato atrajo la atención de los expertos en seguridad de diferentes países. Las razones eran varias. En primer lugar, los componentes del gusano tenían certificados digitales vigentes. Esto significa que los escritores de virus, a todas luces de forma ilegal, habían conseguido las llaves privadas de los certificados digitales de varias compañías. En segundo lugar, para propagarse el gusano usaba una vulnerabilidad de día cero en los ficheros LNK. Esto era lo que estaba en la superficie. Muchos interesantes descubrimientos esperaban todavía a los investigadores. En particular, se descubrió que Stuxnet usaba tres vulnerabilidades más de día cero.

Después de analizar el código del gusano quedó claro que sus actividades destructivas se manifestarían si infectaba un sistema con el sistema operativo Windows con determinado software: SIMATIC WinCC o PCS7 de la compañía SIMATIC AG. Antes de este caso, en las descripciones de los programas maliciosos no había ninguna mención de este software, que es de uso exclusivo en los sistemas SCADA. Pero Stuxnet no funciona en cualquier sistema con WinCC, sino sólo en aquellos con una configuración determinada en los cuales estén presentes controladores lógicos programables (PLC) Symatic y convertidores de frecuencia de rotación de determinadas marcas.

Pero ¿qué es lo que trata de hacer el componente del gusano responsable de las funciones destructivas? Pues trata de conectarse con WinCC usando las contraseñas predeterminadas por el fabricante. La biblioteca dinámica instalada por el gusano intercepta parte de las funciones del sistema y, por lo tanto, puede influir en las operaciones del sistema de gestión de la factoría. Es evidente que este programa no se creó para robar contraseñas, sino para hacer espionaje industrial y en teoría se lo puede usar para realizar sabotajes. Un análisis más profundo del gusano mostró que su principal tarea es modificar la lógica de funcionamiento de los controladores (Simatic PLC) en los convertidores de frecuencia que se usan para controlar la velocidad de rotación de los motores. Y estos controladores trabajan con motores de muy alta velocidad, que tienen aplicaciones muy limitadas, por ejemplo, en centrifugación.

A pesar de que los datos obtenidos dan la posibilidad de hacer conjeturas sobre los objetivos reales del ataque, es importante hacer notar que, al igual que el ataque Aurora que describimos en el primer trimestre, el ataque de Stuxnet tiene un propósito especial, que hasta el momento no se ha podido esclarecer. Surge la pregunta: ¿por qué? Sucede que las organizaciones contra las que se han lanzado los ataques muy pocas veces publican información sobre los mismos, porque esto puede echar a perder su reputación. Según la estadística oficial de Siemens, a principios de septiembre sabían de la infección de 15 sistemas en todo el mundo.

El hecho de que las organizaciones se resistan a publicar información sobre los ataques influye en las actividades de las compañías antivirus. Para que las compañías antivirus puedan hacer frente a los ataques especializados, necesitan información sobre el comportamiento del programa malicioso en el sistema infectado, porque los métodos de firmas son poco efectivos contra este tipo de ataque. En primer lugar, el delincuente siempre puede modificar el código del programa malicioso mediante métodos de cifrado o enmarañamiento de tal manera que deje de detectarse con los métodos de firmas. En segundo, es posible que el ejemplar de programa malicioso nunca llegue a manos de las compañías antivirus, y que nunca se cree la firma correspondiente. Sin embargo es imposible ocultar del todo las funcionalidades del programa malicioso. Al verse en su objetivo, el troyano o gusano tratará de ejecutar las funciones para las que fue creado, manifestando su carga destructiva. En ese preciso instante es que el antivirus lo puede atrapar con la ayuda de métodos de análisis de comportamiento, que son los más adecuados en el caso de los ataques específicos.

Pero todo habla del alto profesionalismo de los programadores de Stuxnet. A fin de cuentas, Stuxnet es un gusano diseñado para sabotear el funcionamiento de los controladores lógicos programables (PLC) usados en las grandes factorías industriales. El gusano usa cuatro vulnerabilidades de día cero y tiene un componente de rootkit, que cuenta con un certificado digital robado a Realtec Semiconductors y Jmicron, que analizaremos más adelante. Un código tan complejo debe tener un objetivo muy importante, ya que se gastó mucho dinero en su creación.

Los certificados digitales y los programas maliciosos

Los certificados y firmas digitales son uno de los fundamentos en que se basa la confianza que se tiene en los diferentes objetos del mundo informático. Las firmas digitales de los ficheros ejecutables se empezaron a usar con WindowsNT y desde entonces Microsoft ha venido llevando a cabo una labor activa para popularizar este método entre los desarrolladores. El certificado da la posibilidad de garantizar la integridad del programa y determinar su procedencia.

Por supuesto, la presencia de una firma digital en el fichero juega un papel importante en la industria antivirus. Por ejemplo, los ficheros firmados por los fabricantes de confianza se consideran limpios. Esta tecnología permite a los desarrolladores de soluciones antivirus reducir la cantidad de falsos positivos y, al mismo tiempo, de economizar recursos durante el escaneo de los ordenadores de los usuarios para detectar infecciones.

Desgraciadamente, los certificados digitales tienen una serie de problemas. El primer problema es que es posible “recortar” el certificado de un fichero con firma legítima. Con mayor frecuencia, por supuesto, se “recortan” los certificados de Microsoft. Este truco no es nuevo y los autores de virus los suelen usar con frecuencia. Por ejemplo, este trimestre es lo que hicieron los propagadores de Zbot, que recortaron el certificado de un fichero legítimo y lo pegaron en un componente de Zbot. A primera vista, estos ficheros parecen legítimos. Sin embargo, esta impresión es falsa. Para firmar el fichero se usa su hash, una cifra que es única para cada objeto. Cuando se recortan los certificados, el hash del fichero y el hash de la firma son diferentes, lo que hace que el certificado pierda su validez. De esta manera se puede constatar que se trata de una falsificación. Lo más probable es que los delincuentes que usan un certificado de un fichero legítimo firmado por un fabricante famoso traten de engañar a los analistas de virus y a los usuarios. En vista de que estos trucos son frecuentes, es importante que los antivirus no solo comprueben la presencia del certificado, sino también que es el que corresponde al fichero.

El segundo problema es más complejo y se debe a que el delincuente puede recibir el certificado digital de una manera completamente legal, como cualquier otro desarrollador de software. Por ejemplo, desarrollando un “software de administración remota sin GUI”, que en realidad es un backdoor. Este tipo de “defensa” contra la detección es muy popular entre los creadores de AdWare, RiskWare y antivirus falsos. Habiendo recibido del centro de certificación la clave necesaria, el delincuente puede firmar cualquiera de sus creaciones sin ningún problema. Pero en este caso, las compañías antivirus pueden detectar con bastante celeridad a la oveja descarriada, con lo que pueden detectar con gran efectividad todos los ficheros que tengan este certificado.

Como ya hemos mencionado, la mayor parte de las grandes compañías productoras de software usan certificados digitales. La información necesaria para crear la firma del fichero se almacena en los ordenadores de los desarrolladores de la compañía, y estos están conectados a Internet. El año pasado fuimos testigos de las consecuencias de la infección de las estaciones de trabajo de los programadores causada por el virus de concepto Virus.Win32.Induc, que se incrustaba en los programas en la fase de montaje y compilación del código. El día que se descubrió este virus, los antivirus detectaron virus en centenares de programas legales. En el caso de los certificados todo es mucho peor. Una clave cerrada es, en esencia, un fichero que puede ser robado como cualquier otra propiedad virtual. Los componentes del gusano Stuxnet venían firmados con certificados de Realtec Stuxnet y JMicron. No se sabe a ciencia cierta cómo cayó la clave en manos de los delincuentes, pero es evidente que existen varias vías. Pudieron obtener estos importantes ficheros comprándoselos a los insiders, o robándolos por medio de algún backdoor u otro programa malicioso similar. El robo de certificados es una de las funciones del propagado troyano Zbot (ZeuS).

La presencia de firmas legales es una de las causas por las que el gusano Stuxnet consiguió pasar desapercibido por los antivirus durante bastante tiempo. Los programas maliciosos firmados con certificados legítimos pueden evadir con facilidad los mecanismos de defensa, incluso los del moderno sistema operativo Windows 7. Así, al instalar en el sistema un driver malicioso o un componente ActiveX firmado, no salta una ventana de advertencia. La posterior difusión de Windows 7, que según la estadística de Net Applications ocupa hoy en día el 16% del mercado y la paulatina desaparición de Windows XP conducirá al crecimiento del problema de los certificados digitales. A juzgar por las tendencias que se observan en la actualidad, este problema puede convertirse en uno de los principales en el próximo año 2011.

TDSS: una nueva etapa de desarrollo. Ahora disponible para x64

No hay que olvidar que, aparte de los métodos mencionados, existen otras formas de burlar los sistemas integrados de defensa. Como ya habíamos mencionando, Windows cuenta con un mecanismo de defensa contra la instalación de drivers sin firma digital. Los desarrolladores de Stuxnet fueron capaces de evadir este sistema obteniendo las claves de conocidas compañías y firmando con ellas los componentes de su rootkit. Los escritores de virus que crearon el código del troyano TDSS, descrito en los artículos de nuestros expertos en el segundo trimestre de este año, eligieron otro camino.

En agosto se detectó una nueva versión de este programa malicioso, que recibió el número TDL-4. La innovación más interesante es que ahora el rootkit utilizado para camuflar las acciones maliciosas del troyano también funciona en los sistemas x64. En la versión anterior de TDL-3 se recurría a la infección de los drivers del disco físico, lo que permitía que el rootkit se iniciara casi de inmediato después del sistema operativo. Sin embargo, este método de inoculación de los drivers provoca el cambio de los hash y la consecuencia es que la firma digital deja de corresponder al fichero, situación que el mecanismo de protección de las versiones x64 de Windows son capaces de detectar. Para evadir este mecanismo, la nueva versión de TDSS infecta una región del MBR usando una tecnología similar a la implementada en el bootkit Sinowal. En este caso, el código malicioso empieza a ejecutarse antes del inicio del sistema operativo y puede modificar los parámetros de inicio del mismo de tal manera que se pueda registrar los drivers sin firma en el sistema operativo. El cargador del rootkit, una vez que detecta en qué tipo de sistema (x86 ó x64) tendrá que funcionar el programa malicioso, carga el código del driver en la memoria y lo registra en el sistema. Después, el sistema operativo se carga con el código malicioso ya incrustado. Pero al mismo tiempo, el rootkit funciona de tal manera que no modifica la región del núcleo protegida por la tecnología PatchGuard, integrada en el sistema operativo.

Como habíamos pronosticado, es evidente que se han vuelto más complicadas las tecnologías de infección y camuflaje, lo que hace que también se hagan más complicadas las tecnologías de detección y tratamiento de estos programas maliciosos. Si los programas maliciosos y antivirus siguen dando batalla en niveles cada vez más profundos, es posible que no esté lejos el día en que los más audaces conceptos de infección del BIOS y los hipervisores se conviertan en el pan de cada día.

La lucha contra los novísimos y complejos programas maliciosos es una tarea difícil para todas las compañías antivirus, y por esto Kaspersky Lab, además de los sistemas de tratamiento incluidos en los principales productos de la compañía, ha publicado una nueva versión gratuita de la utilidad antirootkit TDSSkiller, que detecta y elimina las versiones más nuevas de TDSS.

Los hackers y la ley

El año pasado escribimos sobre las peculiaridades de las acciones de los delincuentes informáticos en el espacio postsoviético. Allí, entre los delincuentes goza de especial popularidad el esquema de extorsión mediante los bloqueadores de SMS. El esquema es muy sencillo: se carga en el ordenador del usuario un programa que bloquea el funcionamiento del sistema operativo o del navegador de Internet. Para desbloquear el sistema se exige enviar un mensaje SMS a un número corto, con un coste que va desde los 300 a los 1000 rublos. Considerando la gran cantidad de usuarios afectados, las compañías antivirus, entre ellas Kaspersky Lab, han organizado servicios de desbloqueo.

 
Porcentaje de usuarios de KSN en cuyos ordenadores se desactivaron
ejemplares de las familias más propagadas de bloqueadores SMS

Las compañías antivirus luchan contra los resultados de las actividades de los delincuentes, pero son los órganos de seguridad del estado los que se encargan de los delincuentes: este trimestre se capturó y neutralizó una gran banda de delincuentes que se dedicaba a negocios ilegales mediante bloqueadores SMS. A finales de agosto, en Moscú se arrestó 10 personas acusadas de crear bloqueadores SMS. Según los datos del Ministerio del Interior de la Federación de Rusia, las ganancias obtenidas por este grupo se calculan en 500 millones de rublos, cerca de 17 millones de dólares.

Se inició un proceso penal. Es algo importante que se juzgará a los acusados no sólo según el artículo 273 del Código Penal ruso (“Creación, uso y difusión de programas maliciosos para ordenadores”), por el cual no suelen recibir condenas largas, sino también según el artículo 159 (“Estafa”). Considerando que 500 millones de rublos es un robo mayor, si se logra demostrar la culpabilidad de los acusados, les esperan condenas mucho mayores.

Estas son buenas noticias para los expertos antivirus y los representantes de los órganos de seguridad del estado que se dedican a atrapar a los delincuentes informáticos. Pero hay un “pero”. El año pasado se detuvo a los organizadores de un ataque sin precedentes que robaron más de nueve millones de dólares de 2.100 cajas automáticas en 280 países del mundo. Una parte de la banda fue detenida en EEUU y ahora sobre sus integrantes pende una sentencia de hasta 20 años de cárcel y grandes multas. Ahora veamos qué pasó con uno de los organizadores del ataque que fue juzgado en Rusia. Es precisamente esta persona, según estableció la investigación, la que irrumpió en RBS Worldpay y copió de allí los números de tarjetas de crédito y códigos PIN necesarios para crear tarjetas de crédito falsas. El tribunal lo declaró culpable de robo mayor, acceso ilegal a información en ordenadores y recopilación de datos considerados secreto bancario. Y aquí empieza lo más interesante: por todos los delitos imputados recibió 6 años de cárcel (condicionales) con un periodo de prueba de 4 años. Resulta que por robar una enorme suma de dinero en Internet, en Rusia el culpable recibe sólo un periodo de prueba. Es muy posible que lo mismo pase con los implicados en el caso de los bloqueadores SMS. Sinceramente, espero que no sea así.

En el esquema de robo descrito más arriba las personas que lavaron el dinero jugaron un rol importante: se crearon cuentas a sus nombres y son precisamente ellos quienes sacaron el dinero de los cajeros automáticos. Con frecuencia se los denomina “mulas” y el trimestre anterior relatamos cómo se trató de reclutarlos mediante un grupo de Facebook en el que ingresaron 224.000 personas.

A finales de septiembre, en EEUU se arrestó a 20 “mulas” que se dedicaban al lavado del dinero robado por medio del troyano Zbot (ZeuS). Al mismo tiempo, en Inglaterra se arrestó a un grupo de personas que se dedicaba a la misma labor (http://www.wired.com/threatlevel/2010/09/zeus-raid/). Cabe destacar que los primeros días de octubre bajó la virulencia de las actividades de los propagadores del troyano ZeuS.

 
Porcentaje de troyanos de la familia Zbot detectados cada día
(del total de todos los programas maliciosos)

Si los órganos de seguridad mantienen el ritmo de desmantelamiento de las bandas de delincuentes informáticos, nos espera un otoño muy interesante, después del cual muchos hackers principiantes lo pensarán dos veces antes de seguir la ruta elegida.

Estadísticas

A continuación presentamos los datos estadísticos sobre el funcionamiento de diversos componentes de protección contra programas maliciosos. Todos los datos incluidos en este informe se obtuvieron mediante la red distribuida antivirus Kaspersky Security Network (KSN).Participan de este intercambio mundial de información sobre las actividades de programas maliciosos millones de usuarios de las soluciones de Kaspersky Lab en 213 países.

Códigos de explotación y vulnerabilidades

Códigos de explotación

En el tercer trimestre de 2010, se detectaron 16.520.165 códigos de explotación. Es necesario señalar que esta cifra no incluye los módulos con funcionalidades de los códigos de explotación incorporados en gusanos y en troyanos.

Analicemos los códigos de explotación más comunes en el tercer trimestre de 2010.

 
Clasificación de los objetos OAS, WAV, MAV detectados
según las familias de códigos de explotación

Las dos primeras posiciones de la clasificación corresponden a códigos de explotación detectados por los métodos de análisis heurístico proactivo. En la tercera y la novena posiciones encontramos códigos de explotación dirigidos a vulnerabilidades presentes en distintas versiones de Adobe Reader. En total, representan el 12,5% de todos los códigos de explotación detectados. Nuestro pronóstico sobre el rápido aumento de la popularidad de los códigos de explotación dirigidos a la vulnerabilidad CVE-2010-1885 en Windows Help y Support Center. Al final del trimestre encontramos estos códigos de explotación en la cuarta y la octava posiciones que representan el 12% del total de códigos de explotación. Entre los Top 10 encontramos una familia de códigos de explotación CVE-2010-0886 que usan una vulnerabilidad en Java (4,8%).

Los códigos de explotación que usan la vulnerabilidad CVE-2010-2568 en los archivos LNK atraen mayor interés. El pionero fue el gusano Stuxnet. El 2 de agosto Microsoft publicó el parche para esta vulnerabilidad descubierta en julio. Esta vulnerabilidad permite que los programas maliciosos se propaguen con toda facilidad a través de los discos extraíbles, principalmente de los dispositivos USB. Para propagar sus programas maliciosos a través de dispositivos USB, los delincuentes informáticos, hasta hace muy poco, usaban los archivos autorun.inf, especialmente creados para este objetivo. La explotación de la vulnerabilidad en los archivos LNK ofrece una posibilidad adicional para ejecutarlos desde el dispositivo USB sin necesidad de que intervenga el usuario. Para ello, el ciberdelincuente crea un archivo LNK especial que, una vez colocado en un administrador de archivos (por ejemplo, Microsoft Explorer), ejecutará el código malicioso. Para que el ordenador se infecte, basta que el usuario abra la carpeta para consultar el contenido del dispositivo USB infectado.

Tras la publicación de la información relacionada con esta posibilidad tan atractiva para los ciberdelincuentes, empezaron a explotarla otros autores de virus. Es así que detectamos el uso del código de explotación de la vulnerabilidad contenida en los archivos LNK en los distribuidores de Sality y Zbot (ZeuS). En total, el 6% de los usuarios de KSN sufrieron ataques que involucraban a los códigos de explotación de la vulnerabilidad CVE-2010-2568 durante el trimestre en cuestión.

 
Cantidad de códigos de explotación detectados usados en la propagación a
través de dispositivos extraíbles gracias a la vulnerabilidad CVE-2010-2568

Vulnerabilidades

En el transcurso del tercer trimestre de 2010, se identificaron 31.425.011 aplicaciones y archivos vulnerables.

El siguiente cuadro muestra las Top 10 vulnerabilidades detectadas en los ordenadores de los usuarios:

 

Secunia ID,
identificador único
de la vulnerabilidad
Progreso
en la clasificación
Nombre y vínculo
a la descripción
de la vulnerabilidad
Posibilidades
que ofrece
la vulnerabilidad
a los delincuentes
Porcentaje
de usuarios en cuyos
equipos se detectó
la vulnerabilidad
Fecha
de publicación
Nivel
de peligro
de la vulnerabilidad
1 SA 37255 1 Sun Java JDK / JRE Multiple Vulnerabilities
  • obtención de acceso al sistema de ejecución de un código aleatorio con los privilegios de un usuario local
  • Exposición del sistema de información
  • Manipulación de datos
  • DoS
  • Evadir el sistema de seguridad
30,98% 12.02.
2010
Moderadamente crítico
2 SA 40026 ¡Nuevo! Adobe Flash Player Multiple Vulnerabilities
  • obtención de acceso al sistema de ejecución de un código aleatorio con los privilegios de un usuario local
  • Programación de script inter sitio
26,97% 05.06.
2010
Extremadamente Crítico
3 SA 40907 ¡Nuevo! Adobe Flash Player Multiple Vulnerabilities obtención de acceso al sistema y ejecución de un código aleatorio con los privilegios de un usuario local 26,97% 11.08.
2010
Altamente Crítico
4 SA 31744 1 Microsoft Office OneNote URI Handling Vulnerability obtención de acceso al sistema y ejecución de un código aleatorio con los privilegios de un usuario local 23,93% 2007-01-09 Alto
5 SA 38805 -4 Microsoft Office Excel Multiple Vulnerabilities obtención de acceso al sistema y ejecución de un código aleatorio con los privilegios de un usuario local 21,83% 09.06.2009 Alto
6 SA 35377 -3 Microsoft Office Word Two Vulnerabilities obtención de acceso al sistema y ejecución de un código aleatorio con los privilegios de un usuario local 20,18% 09.03.
2010
Alto
7 SA 40034 ¡Nuevo! Adobe Reader/Acrobat Multiple Vulnerabilities obtención de acceso al sistema y ejecución de un código aleatorio con los privilegios de un usuario local 18,73% 05.01.
2010
Extremadamente Crítico
8 SA 37690 2 Adobe Reader/Acrobat Multiple Vulnerabilities
  • obtención de acceso al sistema y ejecución de un código aleatorio con los privilegios de un usuario local
  • Programación de script inter sitio
15,28% 15.12.
2010
Extremadamente Crítico
9 SA 34572 -3 Microsoft PowerPoint OutlineTextRefAtom Parsing Vulnerability obtención de acceso al sistema y ejecución de un código aleatorio con los privilegios de un usuario local 11,80% 09.09.
2008
Alto
10 SA 40554 ¡Nuevo! Microsoft Office Access ActiveX Controls Two Vulnerabilities obtención de acceso al sistema y ejecución de un código aleatorio con los privilegios de un usuario local 11,17% 11.08.
2010
Altamente Crítico

 

Cuatro nuevas vulnerabilidades hacen su aparición: dos en Adobe Flash Player, una en Adobe Reader y una en Microsoft Office. Debido a la gran popularidad de las aplicaciones de Microsoft y Adobe, nueve de las diez vulnerabilidades más expandidas se detectaron en estas marcas: cinco en los programas de Microsoft, cuatro en los de Adobe y una en Oracle Java.

Todas las vulnerabilidades que figuran en la lista de los Top 10 permiten que los ciberdelincuentes obtengan un acceso completo al sistema. Ante esto, todas las otras posibilidades que ofrecen las vulnerabilidades pasan a un segundo plano.

Hay que señalar que la lista de los Top 10 incluye tres vulnerabilidades detectadas en 2009 y una en 2008. La primera posición pertenece a una vulnerabilidad descubierta a mediados del primer trimestre de 2010. Esto pone en evidencia, una vez más, la lentitud con la que los usuarios actualizan sus sistemas.

Amenazas que circulan en Internet

Todos los datos estadísticos presentados en esta sección se obtuvieron a través del antivirus Internet que protege a los usuarios cuando descargan un código malicioso desde un sitio infectado.

Objetos detectados en Internet

En el tercer trimestre de 2010 se detectaron 156.348.430 ataques lanzados desde diversos sitios localizados en todo el mundo

 
Clasificación del comportamiento de los objetos detectados en Internet

La mayoría (un 60%) de los objetos detectados en Internet son enlaces registrados en la lista de rechazados. Esta es una lista que registra los sitios con diversos contenidos maliciosos y que puede dividirse en dos categorías. La primera incluye los sitios o métodos de ingeniería social activamente usados para hacer que sea el mismo usuario el que instale un programa malicioso. La segunda agrupa los sitios que con solo visitarlos descargan e instalan un programa malicioso sin que se percate el usuario (descargas drive-by basadas en códigos de explotación).

La segunda posición la ocupan los troyanos escritos en distintos lenguajes script, como JS, VBS, y piezas del código HTML detectadas como Trojan.Script.Iframer que desvían a los usuarios hacia sitios con contenidos maliciosos.

En la quinta posición, según la frecuencia de su detección, se encuentran los programas publicitarios ampliamente extendidos en cuatro países: Estados Unidos (28%), China (14%), India (6%) e Inglaterra (4%).

La lista de las plataformas en las que se ejecutan los programas maliciosos en Internet cuenta con 74 registros. La modificación más notable es la aparición de Andriod OS. Esto está relacionado con el descubrimiento del primer troyano del tipo Trojan-SMS para teléfonos con plataforma Google Android. El troyano se propaga bajo la forma de un lector de videos para adultos. En la medida en que el troyano tenga acceso a las funciones de envío de mensajes SMS, aparecerá un aviso del sistema operativo cuando se instale. Si el usuario ignora este mensaje e instala el programa, en lugar de mostrar videos, el programa comenzará a ejecutar las acciones para las que fue creado, es decir, el envío de mensajes SMS con tarifas excesivas.

Top 20 de los países cuyos recursos alojan programas maliciosos

En la mayoría de los casos, los ciberdelincuentes colocan sus códigos maliciosos en recursos legítimos comprometidos o usan servicios de alojamiento dudosos inviolables que no verifican los datos de los propietarios en el momento del registro y que no prestan mucha atención a las reclamaciones de los usuarios.

Los recursos de Internet que alojan programas maliciosos existen en casi todos los países del mundo. Sin embargo, el 83% de los sitios detectados y utilizados para la propagación de programas maliciosos se dividen entre 10 países.

 
Clasificación de recursos, por país, que alojan programas maliciosos. Tercer trimestre de 2010

No se presentan novedades en esta clasificación trimestral. El primer lugar sigue perteneciendo a Estados Unidos (-4%) cuyos recursos Internet alojan casi el 25% de los contenidos maliciosos. Apenas hubo algunas modificaciones en el orden de la clasificación en los últimos tres meses. Esto se explica por el hecho de que los organismos de regulación de Internet no adoptan medidas estrictas (por ejemplo, las medidas adoptadas por China a fines de 2009) que tengan un impacto considerable en el volumen de contenidos maliciosos alojados en los servidores de uno u otro país.

Países cuyos internautas han estado más expuestos a riesgos de infecciones en Internet

Como bien se sabe, Internet no conoce de fronteras. Todos los recursos en Internet son accesibles para cualquier persona en cualquier parte del mundo. En consecuencia, los programas maliciosos que circulan en Internet pueden infectar a los usuarios de cualquier país.

Hemos calculado el porcentaje de usuarios de KSN en ordenadores en los que se han bloqueado intentos de infección mientras navegaban en Internet. Nuestros datos constatan las diferencias en el nivel de riesgos de infección a través de programas maliciosos en Internet según los países en cuestión.

Top 10 de los países en los que se registró la mayor cantidad de intentos de infección de ordenadores vía Internet:

 

País % de usuarios
cuyos ordenadores
sufrieron ataques
Federación Rusa 52,77%
Bielorrusia 44,19%
China 41,29%
Kazajistán 40,68%
Ucrania 39,16%
Estados Unidos 38,13%
India 37,61%
Bangladesh 36,00%
Sri Lanka 35,95%
Arabia Saudí 33,99%

 

En el tercer trimestre, se registró en Rusia la mayor parte de los intentos de infección de ordenadores mediante programas maliciosos desde Internet: el 52,8% de la sección rusa de KSN sufrió ataques. En general, el primer eslabón del ataque está compuesto de códigos de explotación en scripts detectados por el análisis heurístico. En Bielorrusia, que ocupa la segunda posición, la situación es similar. En China, como en el trimestre precedente, los ataques lanzados por Exploit.JS.Agent.bab se propagaron en gran medida. Si este código de explotación llega a funcionar, procede a descargar toda una serie de programas maliciosos, como una herramienta para disimular actividades, un descargador, Backdoor.Win32.Hupigon, y otros programas diseñados para robar datos de cuentas de los juegos en línea más populares en la región.

Amenazas para los ordenadores de los usuarios

Los datos estadísticos incluidos en esta sección se obtuvieron mediante el módulo de análisis al acceso. Durante el tercer trimestre se bloquearon 235.624.731 intentos de infección de ordenadores miembros de la red mundial de protección Kaspersky Security Network.

Top 5 de comportamiento sobre la base de estadísticas de OAS.

 

La clasificación de los programas maliciosos según su comportamiento ha variado muy poco en relación al anterior trimestre. La segunda posición que ocupan los gusanos se debe a los programas maliciosos Worm.Win32.FlyStudio.cu, Worm.Win32.Mabezat.b, Worm.Win32.VBNA.b y Worm.Win32.Autoit.xl que ya citamos en anteriores informes. No se produjo ninguna modificación importante por parte de los troyanos descargadores. Los programas más expandidos en esta categoría están escritos en VisualBasic y se los detectó como Trojan-Downloader.Win32.VB.eql.

La detección mediante las tecnologías de “nube” es la más interesante. Estas tecnologías intervienen cuando las bases de datos antivirus todavía no han registrado las definiciones y cuando no es posible detectar un programa malicioso con un analizador heurístico, pero el editor de programas antivirus tiene acceso en la “nube” a la información relacionada con este objeto. En este caso, el objeto detectado recibe el nombre DangerousObject.Multi.Genric. En el tercer trimestre de 2010, este nombre se asignó a programas maliciosos muy populares, como Trojan.Win32.FlyStudio.acr,Worm.Win32.AutoRun.bhxu, Trojan.Win32.VBKrypt.mm y el muy mediático Worm.Win32.Stuxnet.b. Durante el trimestre, 1 de cada 6 miembros de KSN estuvo protegido contra nuevos programas maliciosos o sus variantes gracias a la tecnología de “nube”.

Conclusión

Los eventos registrados en el tercer trimestre indican que estamos en el alba de una nueva era en la evolución de la ciberdelincuencia. El pronóstico que hicimos al final del año pasado sobre la aparición de programas maliciosos más complejos se ha confirmado varias veces durante el trimestre.

La evolución de las ciberamenazas ha recorrido varias etapas. La primera se remonta a los años 90, cuando los ciberpiratas creaban virus sólo para su propio placer, y para combatirlos apenas bastaba una base de datos de firmas. El inicio del segundo milenio estuvo marcado por la aparición de nuevas tecnologías de propagación de códigos maliciosos a través del correo electrónico y de redes. Esto implicó modificaciones en las tecnologías de seguridad; en el caso de estallidos virales, lo que contaba era la rapidez de reacción de los desarrolladores de programas antivirus. Esta época coincide también con el viraje de los creadores de virus hacia el campo de la delincuencia, pues su motivación pasó a ser la búsqueda de lucro y el simple bandolerismo, que dieron lugar al robo de información, al chantaje y al fraude. Los internautas se transformaron en una fuente de ingresos nada despreciable. La etapa de la ciberdelincuencia trajo consigo la aparición de una cantidad significativa de complejas amenazas con el fin de robar datos financieros y bienes virtuales.

Lo que está sucediendo hoy en día es una nueva etapa en la evolución de la creación de virus. Todo parece indicar que estamos saliendo de la etapa de la ciberdelincuencia para adentrarnos en la del ciberespionaje y el ciberterrorismo. El concepto de infecciones masivas, como fue el caso de los gusanos Klez, Meedom, Sasser, Kido, etc., dejó su lugar a la idea del golpe quirúrgico. Las tecnologías usadas en ataques específicos, ya se trate de complejos programas maliciosos o de métodos de ingeniería social, son algo así como la bala de plata que permite a los programas maliciosos atravesar todas las barreras de protección y alcanzar su objetivo, único, pero muy importante. No sólo ha cambiado el concepto, sino que el nivel tecnológico ha progresado muy significativamente.

Resulta muy difícil detectar los ataques específicos. El elemento más importante en la protección contra este tipo de ataques es la preparación de los usuarios y el profesionalismo de los encargados de la seguridad de la compañía. Si el usuario no entiende la necesidad de contar con una protección, que suele reducir la operabilidad del ordenador, todo intento de implementar una protección de calidad contra los ataques específicos simplemente fracasarán. El segundo elemento importante tiene que ver con el nivel de las tecnologías proactivas desarrolladas por los creadores del sistema de seguridad informática.

Stuxnet no fue diseñado originalmente para robar las contraseñas de acceso a cuentas o documentos, sino para recibir los comandos de importantes objetos industriales. Sólo profesionales cuyos servicios tienen un elevado costo pudieron crear tal programa malicioso. La propiedad intelectual de las grandes compañías puede ser tan atractiva para personas del mundo real que ordenan y financian ataques en el mundo virtual.

Para plantear perspectivas a corto plazo, será necesario esperar que aumente la cantidad de los incidentes relacionados con archivos maliciosos firmados. El incremento de los sistemas operativos 64-bit ocasionará una progresiva modificación de las tecnologías de encubrimiento de actividades, y es muy probable que los autores de virus se concentren en los bootkits.

Desarrollo de las amenazas informáticas en el tercer trimestre de 2010

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada