News

¿Estamos ante la decadencia y caída de Slammer?

Slammer (Helkern) y yo compartimos una larga historia… desde el 25 de enero de 2003, para ser exactos. Para mí fue una memorable bienvenida a mi nuevo trabajo como analista de virus en Kaspersky Lab. Era un fin de semana y estaba solo, a cargo de vigilar el flujo entrante de archivos sospechosos. Apenas había estado en la empresa por un mes.

Ese día Internet sufrió una de las epidemias de virus más grandes de su historia: en sólo 15 minutos, un gusano que utilizaba una vulnerabilidad en MS SQ Server infectó cientos de miles de ordenadores en todo el mundo y dejó a Sud Corea sin Internet por algunas horas.

Se trataba de un virus de 376 bytes “sin cuerpo”, que no se escribe a sí mismo en el sistema, sólo se mantiene en la memoria de operaciones.

Eso fue hace más de 8 años, pero Slammer sigue dando vueltas en la red y a menudo encabeza nuestras listas de ataques de redes. Millones y miles de millones de paquetes maliciosos se envían cada día en busca de víctimas, lo que genera una gran cantidad de tráfico basura.

Pero pasó algo extraño el 9 de marzo de 2011. Nuestro sistema automático de análisis de amenazas, Kaspersky Security Network, detectó una caída significativa en la cantidad de ordenadores que lanzaban ataques y una reducción aún más grande en el número de ordenadores atacados. Recibimos los datos de nuestro módulo IDS (Sistema de Detección de Intrusiones), que monitorea los ataques de redes. El sistema también determina la fuente de los ataques.

Miren el siguiente gráfico:

Pueden ver que, durante los últimos meses, la cantidad de ordenadores atacados por los paquetes del gusano Slammer ha fluctuado mucho, pero nunca había bajado de los 200.000 alojamientos únicos en un solo día. Pero el 9 de marzo, el número bajó casi diez veces, y ahora tiene alrededor de 15.000 alojamientos únicos al día.

Al principio pensábamos que esta caída tan notoria se debía a que se habían desconectado varios canales de Internet después del terremoto en Japón. Pero esa teoría se rechazó pronto. Antes de la decadencia de Slammer, detectamos sólo alrededor de 150 ordenadores que habían sido atacados por el gusano. Después del 11 de marzo, ese número bajó a 35, pero era obvio que esto no tenía ninguna relación con el cambio general en el número de fuentes de ataques, que rondaba los cientos de miles.

La segunda teoría estaba basada en el hecho de que el gusano comenzó a desaparecer el mismo día en que se lanzaron los últimos parches de Microsoft. Parecía posible que ambos acontecimientos estuviesen relacionados, pero ninguno de los parches que se había lanzado ese día estaba relacionado con MS SQL. Además, era obvio que los ordenadores que actúan como fuente del gusano no se actualizan, ya que el gusano aprovecha una vulnerabilidad de 2002.

Otra teoría sugiere que un importante proveedor de Internet comenzó a filtrar el puerto 1434 (el que utiliza el gusano). Pero todavía había que confirmarlo. Esta es una lista de los 10 países y regiones más afectados por los ataques el 8 de marzo:

Esta es la misma lista, el 12 de marzo:

La disminución más grande se vio en China, pero la misma tendencia se repitió en Rusia, Brasil, Estados Unidos y España. La única excepción es Taiwán, que es el único país donde la amenaza creció. Estas estadísticas también acabaron con nuestra teoría del proveedor de Internet, porque no existe ningún proveedor que opere en todos estos países.

El aspecto más interesante es el cambio en el número de fuentes desde las que el gusano se propagó en estos días.

El 8 de marzo, 711 ordenadores comenzaron a enviar paquetes desde 50 países. Las 10 fuentes de ataques más frecuentes fueron las siguientes:

Cuatro días después, el 12 de marzo, estas figuras habían descendido a menos de la mitad, a 196 ordenadores en sólo 18 países.

Los datos del Instituto SANS también confirman la disminución del número de fuentes de ataques:

Los expertos del instituto también se preguntan la razón de la caída, pero todavía no hay una respuesta clara.

Lo que hemos visto es una disminución de la actividad del gusano (número de ordenadores atacados) en casi 10 veces, y una caída de más del 50% en el número de fuentes que lo propagan.

¿Estamos ante la decadencia y caída de Slammer?

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada