Primer trimestre de 2012 en cifras
- Según los datos generados por KSN, los productos de Kaspersky Lab detectaron y neutralizaron casi 1000 millones de objetos maliciosos en el primer trimestre de 2012. Estas cifra sobrepasa la del trimestre anterior en un 28%.
- Los intentos de penetración de programas maliciosos desde Internet representaron el 50% de todos los ataques. Estas cifra sobrepasa la del trimestre anterior en un 10%.
- Se detectaron 95.080.549 URLs usadas por programas maliciosos, es decir, un 61% más que en el último trimestre del año 2011.
Panorama general
Redes zombi recargadas
Hoy en día, las redes zombi constituyen una de las principales tecnologías usadas por los ciberdelincuentes. Estas tecnologías se han desarrollado por varios años y han creado, por ejemplo, las redes zombi descentralizadas y las administradas por medio de las redes sociales, y las descargas al paso han sido el principal método de infección. En este sentido, 2011 fue un año relativamente libre de acontecimientos relevantes pues los ciberdelincuentes no presentaron nada radicalmente nuevo. Pero todo cambió a principios de 2012.
En el primer trimestre de 2012, los ciberdelincuentes crearon por primera vez una red zombi que usaba un robot “sin archivo”. Los investigadores en seguridad informática descubrieron una red zombi móvil cuyo tamaño era comparable con las típicas redes zombi de Windows, y una red zombi de más de medio millón de ordenadores Apple con plataforma Mac OS X.
El bot invisible
En el primer trimestre de 2012, descubrimos una red zombi creada con una nueva tecnología: los dueños de la red crearon un robot “sin archivo”. Este código malicioso pertenece a una rara categoría de programas maliciosos que sólo existen en la memoria RAM del ordenador.
El problema se manifestaba en forma de anomalías en los ordenadores infectados: comenzaron a enviar peticiones de red a recursos de terceras partes después de visitar algunos sitios web populares en el internet ruso, y en algunos casos aparecieron archivos codificados en los discos duros. Sin embargo, no aparecía ningún nuevo archivo ejecutable en los discos duros. Un análisis detallado permitió identificar la cadena completa en la que estaban involucrados los ordenadores infectados que a su vez conformaban la red zombi, lo cual distaba mucho de ser algo sencillo.
En una primera etapa, el ordenador se infectaba mediante un ataque al paso que descargaba un exploit Java para la vulnerabilidad CVE-2011-3544. El enlace, que desviaba a los usuarios al sitio web que contenía el exploit, venía insertado en un teaser comercial que aparecía en los sitios dedicados a noticias. El teaser comercial se distribuía por medio de AdFox, una red rusa de banners.
Después de explotar la vulnerabilidad, el exploit inyectaba una DLL maliciosa directamente en la memoria del proceso Java, en vez de descargar el archivo malicioso en el disco duro. Después de inyectado y ejecutado, el programa malicioso actuaba como un proceso de Java, que recopilaba información desde los sitios que el usuario visitaba. Si entre los datos recogidos figuraban recursos bancarios, entonces se instalaba el troyano Lurk, que está diseñado para robar los datos de las cuentas bancarias online.
Gracias a las acciones profesionales de los expertos de Kaspersky Lab, del personal de AdFox y de un investigador que prefirió el anonimato, se logró detener la infección.
Aunque los procesos maliciosos permanecían en la memoria RAM hasta que el sistema operativo se reiniciaba, la infección se propagó por medio de sitios web populares. Los ciberdelincuentes podían infectar ordenadores a diario, lo que les permitía mantener la población de robots. Vale la pena notar que no quedaba virtualmente ningún rastro de la infección o de los datos recogidos en el disco duro del ordenador una vez que se reiniciaba el sistema operativo.
En este incidente, dos tecnologías conocidas, explotación de vulnerabilidades e inyección en un proceso legítimo sin guardar un archivo en el disco duro, se combinaron en un solo y peligroso programa malicioso. Cuando se usa un robot “sin archivo”, resulta muy difícil identificar los ordenadores que componen la red zombi, ya que no aparece ningún archivo ejecutable en el disco duro y los ciberdelincuentes realizan todas sus acciones camuflándolas como procesos legítimos de Java. Aunque los parches son efectivos contra esta y otras amenazas similares, algunos usuarios no suelen parchar sus equipos de forma regular. Esto significa que en el futuro podríamos volver a encontrarnos con similares programas maliciosos, aunque ya no en una escala masiva
Redes zombi móviles
En nuestro informe del tercer trimestre de 2011, mencionamos que los desarrolladores de programas maliciosos para dispositivos móviles se concentraron en la plataforma Android OS. En el primer trimestre de 2012, detectamos más de 5.000 (5.444) programas maliciosos para esta plataforma. La cantidad total de programas maliciosos dirigidos contra Android se ha multiplicado por nueve durante el último semestre.
Cantidad de modificaciones de programas maliciosos para Android OS
Los autores chinos y rusos de programas maliciosos muestran el mayor interés por la plataforma Android. Los autores chinos se las han ingeniado para crear una red zombi de 10.000 a 30.000 dispositivos activos, y la cantidad total de smartphones infectados llega a los cientos de miles.
Esta red zombi se creó con el (troyano) puerta trasera RootSmart, que posee una extensa funcionalidad relacionada con el control remoto de dispositivos y tabletas Android. RootSnmart se propaga mediante un método probado: sus autores han rempaquetado un programa legítimo y lo han subido al sitio web de una tienda no oficial de aplicaciones para Android que es muy popular en China. Como resultado, los usuarios que descargaron el programa para configurar sus dispositivos también recibieron el troyano que los capturó para la red zombi.
El alcance que ha tenido la infección causada por RootSmart significa que los ciberdelincuentes han logrado lucrar con la red zombi de dispositivos móviles. Eligieron el método más popular entre los ciberdelincuentes dedicados a los dispositivos móviles: el envío de mensajes SMS de pago a números comerciales. Pero, ¿para qué hacerse con el control total del dispositivo si la principal función del robot es enviar mensajes SMS de pago? Es simple: el control total les permite ocultar la presencia del programa malicioso en el dispositivo por mucho tiempo lo que a su vez les permite drenar el dinero de la cuenta de los usuarios también por más tiempo.
La historia de la primera red zombi masiva de dispositivos móviles deja muchas lecciones por aprender.
Primero, puesto que las nuevas versiones de sistemas operativos móviles no se publican muy a menudo, los ciberdelincuentes pueden seguir usando los mismos exploits por meses, porque funcionarán en la mayoría de los dispositivos.
Segundo, ya que no es muy común que los usuarios instalen soluciones antivirus en sus dispositivos móviles, los usan sin sospechar que están infectados, lo que permite a los dueños de la red zombi seguir controlando los dispositivos.
Hasta el momento, la situación no ha tenido cambios relevantes, y es muy probable que en lo que queda de año nos enteremos de redes zombi móviles mucho más grandes.
Red zombi de Mac
Otra red zombi que llamó la atención de los expertos en el primer trimestre fue la implementada con ordenadores Mac OS X.
Kaspersky Lab detectó el troyano usado para construir la red como Trojan-Downloader.OSX.Flashfake. El año pasado publicamos análisis de este programa malicioso: (ver aquí), y este año también lo hemos hecho.
Las primeras versiones de Flashfake aparecieron en otoño. Los desarrolladores del programa malicioso tomaron algunas medidas para dificultar su detección (se aseguraron de que el troyano no se instalara en ordenadores que contaran con soluciones antivirus, diseñaron robots para que desactivaran las actualizaciones del sistema de seguridad incorporado en el sistema Mac OS X, Xprotect, etc.). Después, vimos que los cibercriminales experimentaron con nuevas formas de controlar sus redes zombi. Por ejemplo, algunas versiones de Flashfake usaban cuentas de Twitter creadas por los ciberdelincuentes como servidores de comando.
El principal objetivo de un robot es descargar y ejecutar módulos adicionales sin que el usuario se dé cuenta. Los ciberdelincuentes ganaban dinero por la generación de falsos resultados en los motores de búsqueda: se diseñó un módulo adicional para sustituir los enlaces en los resultados de las búsquedas más populares. Los ciberpiratas pueden, por supuesto, usar otros módulos, por ejemplo, para robar información desde los ordenadores infectados.
En marzo de 2012, Flashback infectó unos 700.000 ordenadores en todo el mundo.
Distribución geográfica de lso ordenadores infectados con Trojan-Downloader.OSX.FlashFake,
datos de Kaspersky Lab, primer trimestre de 2012
Los ciberdelincuentes usaron un exploit de java para propagar sus programas maliciosos. Curiosamente, Oracle no puede actualizar Java en los ordenadores Mac OS X de forma automática. Los usuarios deben esperar a que Apple publique sus propias actualizaciones, que a veces tarda varios meses. Como resultado, el periodo durante el cual los ciberdelincuentes pueden usar un exploit para infectar los ordenadores Mac es mucho más prolongado que en el caso de los ordenadores Windows. Apple publicó el parche para esta vulnerabilidad que explotaba y propagaba Flashback solo a principios de abril, aunque Oracle había publicado su parche en febrero.
Se prevee que aumentará la cantidad de ataques contra equipos Mac OS X que explotan las vulnerabilidades tipo día-cero. La mayoría de las aplicaciones vulnerables más apreciadas por los ciberdelincuentes son las que funcionan tanto con Windows como con Mac Os X. Esto facilita en gran medida la creación de exploits para Mac OS X.
El creciente interés de los ciberpiratas por la plataforma Apple queda confirmado con las estadísticas de Kaspersky Lab sobre detecciones de nuevas versiones de programas maliciosos dirigidas contra Mac OS X:
Cantidad de nuevos registros de programas maliciosos para Mac OS X añadidos a las bases de datos antivirus de Kaspersky Lab
La principal razón para el crecimiento de la cantidad de programas maliciosos para Mac OS X es la creciente popularidad de la plataforma entre los usuarios. Aunque el número de programas maliciosos para Mac OS X es hoy mucho menor que para Windows, es obvio que los ciberpiratas están muy interesados en la plataforma Mac. Esto significa que los usuarios deben ser cuidadosos y seguir las normas básicas de seguridad.
En este trimestre, la historia de los programas maliciosos para Mac no termina con infecciones masivas. Hemos descubierto casos de programas maliciosos para la plataforma que se usan en ataques dirigidos; otro tipo de ataque que está teniendo un rol significativo en el actual ecosistema del ciberdelito.
Ataques dirigidos
Por desgracia, la cantidad de usuarios que caen víctima de los ataques dirigidos sigue en aumento. Si bien las compañías están empezando a tomar el problema muy en serio, esto a su vez urge a los ciberdelincuentes a desarrollar nuevos vectores de ataques.
‘Hello’. Mac OS X + APT (amenaza persistente avanzada)
Muchos usuarios de la plataforma Mac OS X siguen creyendo que es absolutamente segura, especialmente porque Apple les ha asegurado por muchos años que su sistema es más seguro que Windows. Sin embargo, un reciente análisis ha puesto en duda esta posición. Hay un número considerable de usuarios de Mac en los ambientes corporativos y de las organizaciones estatales. Cada día trabajan con muchos documentos importantes, y en muchos casos sus ordenadores no están protegidos con una solución antivirus.
Los ataques dirigidos contra organizaciones deberían servir como una llamada de atención para estos usuarios. Los ciberdelincuentes tratarán de acceder a documentos secretos mediante el uso simultáneo de dos troyanos: uno para Mac y otro para Windows. Se carga en el equipo atacado el programa malicioso apropiado según la plataforma instalada. Los programas maliciosos para Mac y para Windows reciben comandos desde el mismo servidor de Comando y Control.
Para penetrar el sistema, primero se usa un exploit para la vulnerabilidad CVE-2011-3544 en Java. Este exploit funciona tanto en Mac OS X como en Windows. Un ataque exitoso logró infectar los sistemas Mac OS X con Backdoor.OSX.Lasyr. Este troyano permite que los ciberdelincuentes controlen el ordenador infectado y accedan a toda la información almacenada en el equipo. Se detectó a mediados de marzo de 2012.
Este no fue el único caso de ataques dirigidos con programas maliciosos para Mac durante el primer trimestre de 2012. El segundo fue con un troyano puerta trasera para Mac OS X: También se usó un exploit para realizar la infección inicial, pero esta vez se dirigió contra una vulnerabilidad en Microsoft Office, que es muy popular en todas las plataformas. El método de propagación del exploit era completamente convencional: por correo. Para infectar el ordenador de un empleado con el troyano puerta trasera, sólo hacía falta abrir el archivo .doc adjunto al mensaje.
Los ciberdelincuentes parecen no tener problema alguno en desarrollar programas maliciosos para ataques dirigidos contra Mac OS X, dada la rapidez con que aparecen estos programas. La indiferencia mostrada por muchos usuarios de Mac respecto a los riesgos, junto a la falta de soluciones antivirus instaladas en sus equipos, hace que Macintosh se convirta en el eslabón más débil en el sistema de seguridad de una organización.
El regreso de Duqu
Después de un receso de 4 meses, los autores de Duqu están de vuelta: en marzo se detectó en Internet un nuevo controlador que era casi idéntico a los anteriores controladores de Duqu. Los primeros controladores se crearon el 3 de noviembre de 2010 y el 17 de octubre de 2011, mientras que los últimos son del 23 de febrero de 2012.
La funcionalidad del nuevo driver es consistente con la de las anteriores versiones. El código contiene pequeñas modificaciones para evadir la detección de los programas antivirus. No se detectó el principal módulo Duqu asociado con el controlador.
Nuestra suposición de que no sería fácil cerrar proyectos tan caros como Duqu y Stxnet resultó acertada. Los ciberdelincuentes siguieron haciendo lo que siempre han hecho: modificaron su código para evadir la detección y seguir con sus ataques.
Con la ayuda de la comunidad internacional de desarrolladores e investigadores, logramos determinar que Duqu Framework estaba escrito en OO C. Este enfoque era propio de programadores de la “vieja escuela” que emprendían proyectos serios , pero se usa muy poco en los modernos programas maliciosos. Esto evidencia aún más que Duqu, junto a Stuxnet, es un desarrollo único que se destaca sobre los demás programas maliciosos.
Con menos de 50 víctimas en todo el mundo, Duqu sigue siendo el más misterioso de los troyanos detectados. El hecho de que sus blancos se encuentran en Irán sugiere que sus autores tienen un plan definido para lanzar constantes ataques. Las sofisticadas medidas protectoras en múltiples niveles de este troyano demuestran lo importante que es para este proyecto pasar desapercibido. Es muy posible que en el futuro la plataforma Tilded sufra nuevas modificaciones para que la tecnología que oculta y ofusca el código sea más compleja aún.
La guerra contra el ciberdelito
Aparte de los nuevos programas maliciosos y los más importantes hackeos (sobre los que escribimos aquí y aquí), el primer trimestre de 2012 fue memorable por las exitosas acciones conjuntas emprendidas por las compañías antivirus y las autoridades. Esta asociación hizo posible controlar la red zombi Hlux(Kelihos), desmantelar los centros administrativos de varias redes zombi ZeuS, y arrestar a una banda de ciberdelincuentes rusos.
Hlux.b – desmantelamiento 2.0
A fines de marzo de 2012, Kaspersky Lab, en colaboración con CrowdStrike Intelligence Team, Dell SecureWorks y Honeynet Project, logró controlar la red zombi peer-to-peer Hlux basada en la segunda variante de Hlux.b bot. En el momento de la operación, la red zombi contaba con 110.000 bots.
Distribución de ordenadores infectados por Hlux.b bot (según Kaspersky Lab, primer trimestre de 2012)
Esta es la segunda versión de Hlux.b, detectada en el otoño de 2011, varias semanas después de que se desmantelara la primera red zombi Hlux. la tercera versión del robot (Hlux.c) se detectó varios días después de que se desmantelara la red zombi. Todas las nuevas red zombis modificaron la forma en que sus robots se comunicaban entre sí.
En términos de rentabilidad, Hlux es un modelo de red zombi para los ciberdelincuentes. después de cargar diferentes módulos, el robot es capaz de distribuir spam, participar en ataques DDoS y robar información confidencial desde los ordenadores. Los hosts de esta red zombi no renunciarán a su mina de oro sin dar pelea, y hasta que no se capture a estos ciberdelincuentes, seguirán apareciendo nuevas versiones del robot cada vez que se desmantele una red.
¿Cuán efectivo es tomar control de una red zombi? Desde nuestra perspectiva, vale la pena usar este método. Primero, desactivamos los robots que ya están instalados, lo que reduce la cantidad de ordenadores activamente infectados. Después, le hacemos la vida mucho más difícil a los ciberdelincuentes pues tendrán que modificar el código y volver a propagar sus programas maliciosos, lo que resulta costoso. Es posible seguir con las operaciones de toma de control a menos que los ciberpiratas realicen cambios significativos en la arquitectura de sus redes zombi.
Ciberdelincuentes rusos arrestados
Durante los últimos tres años, en Rusia se ha dado un activo desarrollo de troyanos dirigidos a los usuarios de sistemas de banca online.
Programas maliciosos detectados diseñados para robar datos de sistemas de banca online
En Europa y en Brasil, los ciberdelincuentes suelen usar troyanos banqueros para lanzar ataques contra usuarios particulares. Algo que caracteriza a los ciberdelincuentes rusos es que desarrollan activamente programas maliciosos para robar dinero desde las cuentas de compañías rusas, para lo cual manipulan los sistemas de banca online en los ordenadores de los contables. Trojan-Spy.Win32.Carberp es uno de los ejemplos más representativos de este tipo de troyano.
El 20 de marzo, el Departamento K del Ministerio de Asuntos Interiores de Rusia anunció el arresto de varios miembros de una importante banda que usaba una versión pre-comprada del troyano Carberp para crear redes zombi. También se arrestó a varias mulas, las personas que se ocupan de retirar el dinero robado. Se cree que los sospechosos robaron más de 2 millones de dólares. Para robar una suma tan grande hace falta una gran cantidad de ordenadores infectados. los ciberdelincuentes colocaban enlaces a recursos maliciosos en los sitios web de reconocidas organizaciones, medios de prensa y servicios estatales rusos.
El anuncio fue muy bien recibido, particularmente en Rusia, donde rara vez se arresta a los ciberdelincuentes. En la mayoría de los casos, estos arrestos desmotivan a los ciberdelincuentes y los lleva a disminuir sus actividades por un tiempo. Por desgracia, los autores del troyano Carberp continúan libres y el código sigue vendiéndose en foros especializados y se sigue propagando a través de sitios web de hackers. Sin embargo, esperamos que los autores de Carberp terminen rindiendo cuentas ante la justicia.
Estadísticas
En este informe presentamos las estadísticas obtenidas a partir del funcionamiento de varios componentes antivirus. El informe se basa en los datos recogidos por Kaspersky Security Network. Los datos estadísticos se obtuvieron de los usuarios de KSN que aceptaron compartir sus datos locales. Millones de usuarios de los productos de Kaspersky Lab en más de 200 países toman parte en el intercambio global de información sobre actividades maliciosas.
Amenazas en Internet
Las estadísticas en esta sección se basan en la solución web-antivirus que brinda inmediata protección a los usuarios cuando se carga un código malicioso desde una página web infectada. Las infecciones pueden localizarse en páginas web en las que los usuarios pueden crear sus propios contenidos, como los foros, e incluso en sitios legítimos que hayan sido hackeados.
Programas maliciosos en Internet (ataques desde la web)
En el primer trimestre de 2012, se neutralizaron 481.411.722 ataques desde recursos web localizados en distintos países. En dichos incidentes se detectaron 95.331 modificaciones únicas de programas maliciosos y potencialmente indeseables.
Top 20 de programas maliciosos en Internet
Posición | Nombre* | % de todos los ataques** |
1 | URL maliciosa | 84.3% |
2 | Trojan.Script.Iframer | 4.8% |
3 | Trojan.Script.Generic | 2.2% |
4 | Trojan-Downloader.Script.Generic | 0.5% |
5 | Trojan.Win32.Generic | 0.4% |
6 | Trojan.JS.Popupper.aw | 0.2% |
7 | Trojan-Spy.JS.Agent.c | 0.2% |
8 | Trojan-Downloader.JS.Agent.gmf | 0.2% |
9 | Trojan-Downloader.Win32.Agent.gyai | 0.2% |
10 | AdWare.Win32.Screensaver.e | 0.1% |
11 | Trojan-Downloader.JS.Agent.gmr | 0.1% |
12 | Trojan-Downloader.JS.JScript.ag | 0.1% |
13 | Trojan-Downloader.MSIL.Small.eq | 0.1% |
14 | Hoax.Win32.ArchSMS.gen | 0.1% |
15 | Trojan-Downloader.JS.Agent.gnk | 0.1% |
16 | Exploit.Script.Generic | 0.1% |
17 | Packed.Win32.PasswordProtectedEXE.gen | 0.1% |
18 | AdWare.Win32.Screensaver.i | 0.1% |
19 | Trojan.JS.Redirector.ue | 0.1% |
20 | AdWare.Win32.Shopper.lq | 0.1% |
*Estas estadísticas representan los veredictos de detecciones del módulo web-antivirus y fueron proporcionadas por los usuarios de productos de Kaspersky Lab que aceptaron compartir sus datos locales.
**Número total de incidentes únicos registrados por el módulo web-antivirus en los ordenadores de los usuarios.
En la primera posición se encuentran varias URLs maliciosas (antes las detectábamos como Bloqueadas) que ya existen en nuestra lista de rechazados. En comparación con el trimestre anterior, el número de URLs maliciosas bajó un 2%, alcanzando el 84% de todos los problemas detectados. Esta lista se completa principalmente con los sitios web a los que se desvía a los usuarios. Los usuarios suelen llegar a estos sitios desde recursos legítimos pero hackeados que contienen scripts maliciosos (ataques al paso, o drive-by). Sin embargo, los mismos usuarios pueden activar enlaces peligrosos, por ejemplo, cuando buscan software pirata. Además, hoy en día la principal garantía de que un ataque desde Internet sea exitoso es que use exploits para un software sin parches: un significativo porcentaje de detecciones de URLs maliciosas sigue proviniendo de sitios web relacionados con paquetes de exploits.
12 de los Top 20 programas son exploit s para vulnerabilidades y se usan para distribuir programas maliciosos a los ordenadores de los usuarios.
Sólo tres programas maliciosos publicitarios (adware) aparecen entre los Top 20 en el primer trimestre de 2012. Su tarea es simple: después de instalarse en un ordenador (por lo general, camuflados como un paquete de expansión para el navegador), muestran anuncios. La cantidad de programas maliciosos publicitarios es bastante menor que en el trimestre anterior, en el que un tercio de los Top 20 pertenecían a esta categoría. Esto es una indicación de que los ciberdelincuentes han migrado nuevamente hacia otras categorías de programas maliciosos más dañinos y más rentables.
Aplicaciones vulnerables blanco de ciberdelincuentes
Puesto que la mayoría de los ataques por Internet se realiza mediante exploits dirigidos contra vulnerabilidades en programas para violar la seguridad y ejecutar códigos maliciosos sin que el usuario se dé cuenta, es lógico preguntar qué programas son los más atacados por los ciberdelincuentes. Recomendamos antes que nada, actualizar estos programas, y después configurar las actualizaciones automáticas para el futuro.
Aplicaciones con vulnerabilidades blanco de exploits online en el primer trimestre de 2012
Como se ve en el gráfico, el 66% de los ataques mediante exploits apunta a sólo dos programas: Adobe Reader y Java.
Aproximadamente uno de cada cuatro ataques contra Java apunta a la vulnerabilidad CVE-2011-3544, que fue la más popular entre los ciberdelincuentes durante todo el trimestre: la usaron para propagar el robot Hlux, el troyano Carberp y el robot “sin archivo” (fileless).
Países con recursos web infectados con programas maliciosos
Para poder determinar la fuente geográfica de un ataque, se compara el nombre del dominio con la dirección IP donde se encuentra el dominio en cuestión, y se determina la localización geográfica de la dirección IP (GEOIP).
En el primer trimestre de 2012, el 84% de los recursos web utilizados para propagar programas maliciosos se encontraban en 10 países, lo que significa un 7% más que en el anterior trimestre.
Países con recursos web infectados con programas maliciosos en el primer trimestre de 2012
Un nuevo país se unió a los Top 20: Canadá desbancó a Rumania con el 0,9%. EE.UU., Holanda y Rusia siguieron encabezando la clasificación. En este periodo, el porcentaje de hosts peligrosos localizados en Reino Unido subió en un 4,6%, alcanzando el 7%, lo que significó subir de la 8? a la 6? posición. El porcentaje de los otros países apenas cambió, con fluctuaciones dentro del 1%.
Países donde los usuarios corren más riesgo de infección desde Internet
Para evaluar el riesgo de infección al que se exponen los ordenadores en cualquier país, hemos calculado la frecuencia con la que los programas antivirus instalados en los ordenadores de los usuarios detectaron amenazas por cada país durante el último trimestre.
20 países donde los usuarios corren más riesgo de infección desde Internet*
*En nuestros cálculos hemos excluido aquellos países en los que el número de usuarios de los productos de Kaspersky Lab es relativamente reducido (menos de 10.000).
**Porcentaje de usuarios únicos en el país con ordenadores que tienen instalados productos de Kaspersky Lab que bloquearon las amenazas desde la web.
Cerca de la mitad de los Top 20 está conformado por exrepúblicas soviéticas.
Los países pueden clasificarse en diferentes grupos de riesgo.
- Alto riesgo. Con un riesgo de infección del 41-60%, este grupo lo forman 15 países de los Top 20, incluyendo Rusia (58%), Ucrania (45,7%), Armenia (52,1%), Bielorrusia (49%), Kazajistán (51,5%) e India (43,3%).
- Riesgo moderado. 95 países tiene un riesgo de infección del 21-40%, incluyendo Italia (38,9%), Turquía (36,8%), EE.UU. (31,9%), Brasil (29,3%), España (34,4%) y Francia (28,4%).
- Bajo riesgo. El grupo más seguro en el primer trimestre de 2012 incluía a 25 países con índices entre el 11,9 y el 20%.
Los índices más bajos de infección desde Internet se registraron en Japón (14,3%), Dinamarca (15,2%), Taiwán (15,2%), Luxemburgo (17,4%), Eslovaquia (19,6%) y Nueva Zelandia (20%).
Riesgo de infección online en todo el mundo en el primer trimestre de 2012
En promedio, el 28,8% de los ordenadores que participan en KSN fueron objeto de ataques al menos una vez mientras los usuarios navegaban en Internet durante el primer trimestre. Si extrapolamos estas cifras vemos que uno de cada tres ordenadores en todo el mundo se enfrenta a amenazas frecuentes y activas. la proporción de ordenadores que sufrieron ataques bajó en un 3,2% respecto al trimestre anterior.
Amenazas locales
Esta sección contiene el análisis de los datos obtenidos del escaneado en acceso y del escaneado a petición, escaneado de diferentes discos, incluyendo los medios portátiles.
Objetos detectados en los ordenadores de los usuarios
En el primer trimestre de 2012, nuestras soluciones antivirus bloquearon con éxito 966.981.163 intentos de infección local en los ordenadores de Kaspersky Security Network.
En total, se detectaron 481.592 modificaciones únicas de programas maliciosos y potencialmente indeseables que intentaban ejecutarse en los ordenadores de los usuarios (escaneado al acceso).
Objetos detectados en los ordenadores de los usuarios: Top 20
Posición | Nombre | % de usuarios individuales* |
1 | DangerousObject.Multi.Generic | 35.56% |
2 | Trojan.Win32.Generic | 0.1% |
3 | Trojan.Win32.Starter.yy | 13.92% |
4 | Virus.Win32.Sality.bh | 12.61% |
5 | Net-Worm.Win32.Kido.ih | 10.79% |
6 | Virus.Win32.Sality.aa | 9.32% |
7 | Trojan.Win32.AutoRun.gen | 8.71% |
8 | Net-Worm.Win32.Kido.ir | 8.63% |
9 | Hoax.Win32.ArchSMS.gen | 8.63% |
10 | HiddenObject.Multi.Generic | 6.58% |
11 | AdWare.Win32.InstallCore.gen | 6.41% |
12 | Virus.Win32.Generic | 6.18% |
13 | Virus.Win32.Nimnul.a | 5.83% |
14 | Worm.Win32.Generic | 5.52% |
15 | Trojan.WinLNK.Runner.bl | 4.56% |
16 | Trojan.Script.Iframer | 3.72% |
17 | Trojan-Dropper.VBS.Agent.bp | 3.61% |
18 | Virus.Win32.Sality.ag | 3.51% |
19 | Trojan.Script.Generic | 3.38% |
20 | Packed.Win32.Krap.ar | 3.26% |
Estas estadísticas provienen de los veredictos de detección de programas maliciosos generados por los módulos anti-virus de los usuarios de los productos de Kaspersky Lab que aceptaron compartir sus datos estadísticos.
* Cantidad de usuarios individuales en cuyos ordenadores el módulo anti-virus detectó estos objetos como un porcentaje de todos los usuarios individuales de los productos de Kaspersky Lab en cuyos ordenadores se detectó un programa malicioso.
Top 10 de amenazas en Internet
A la cabeza de la clasificación vemos una variedad de programas maliciosos que se detectaron mediante las tecnologías “nube” (35,56%). Estas tecnologías refuerzan las bases de datos antivirus: cuando no hay una firma o datos heurísticos para detectar un determinado programa malicioso, los recursos antivirus en la “nube” de una compañía pueden ya contener datos sobre la amenaza. En este caso, el objeto detectado se etiqueta como DangerousObject.Multi.Generic.
En el segundo lugar se encuentra el veredicto proporcionado por el analizador heurístico durante la detección proactiva de numerosos programas maliciosos: Trojan.Win32.Generic (31,49%).
La 15? posición le corresponde a Trojan.WinLNK.Runner.bl, que sirve para la ejecución automática y la distribución de exploits para los atajos de Windows. Los primeros programas de este tipo aparecieron después del descubrimiento de Stuxnet, y siguen gozando de popularidad entre los autores de virus.
Durante 2011 Kido se aferró a la 3? posición. por primera vez en cuatro años Net-Worm.Win32.Kido cayó dos posiciones y fue remplazado por Virus.Win32.Sality y Trojan.Win32.Starter.yy.š Esto significa que el principal método de propagación de Kido (la vulnerabilidad MS08-067) está perdiendo su efectividad a medida que más y más ordenadores en el mundo actualizan sus sistemas. Mientras los infectadores de archivos (virus) sigan siendo efectivos, mantendrán su posición en las clasificaciones, aunque los usuarios actualicen sus sistemas operativos.
Países con alto riesgo de infecciones locales para los ordenadores de usuarios
Estas cifras muestran el índice promedio de los PCs infectados en varios países.
Niveles de ordenadores infectados por país
*En nuestros cálculos hemos excluido aquellos países en los que el número de usuarios de los productos de Kaspersky Lab es relativamente reducido (menos de 10.000).
**Porcentaje de todas las amenazas locales en ordenadores de usuarios en comparación a todos los usuarios únicos de productos de KL en el país.
En promedio, se detectó al menos un archivo malicioso en el 42,2% de ordenadores de todos los usuarios de KSN en el mundo, ya sea en el mismo ordenador o en los medios portátiles conectados a él.
Bangladesh sigue siendo el ambiente más peligroso para los ordenadores: el índice para este país sigue creciendo, y ahora alcanza el 96,8%. Nuestros productos detectaron y bloquearon programas maliciosos en casi cada uno de los ordenadores de nuestros usuarios en este país.
Los índices de infecciones locales también pueden clasificarse en categorías separadas. Estas categorías tienden a ser más estables que las de las amenazas web a las que se enfrenta cada país.
- Máximo nivel de infecciones locales (más del 60%): 23 países asiáticos (India, Vietnam, Mongolia, etc.), países del Medio Oriente (Irán, Irak), y algunos de África (Sudán, Angola, Nigeria, Camerún).
- Alto nivel de infecciones locales (41-60%): 49 países, incluyendo Egipto, Kazajistán, Rusia, Ecuador y Brasil.
- Nivel moderado de infecciones locales (21-40%): 41 países, incluyendo Turquía, México, Israel, Letonia, Portugal, Italia, EE.UU., Australia y Francia.
- Mínimo nivel de infecciones locales (20% o menos): 18 países, incluyendo Canadá, Nueva Zelandia, Puerto Rico, 13 países europeos (entre los cuales están Noruega, Finlandia, Holanda, Irlanda, Alemania y Estonia), además de Japón y Hong Kong.
Riesgo de infección local de PCs en todo el mundo
Los 10 países donde los usuarios tuvieron el menor riesgo de infección local desde Internet fueron:
Posición | País | % de usuarios únicos |
1 | Dinamarca | 10.1% |
2 | Suiza | 14.3% |
3 | Japón | 14.4% |
4 | Suecia | 15.3% |
5 | Alemania | 15.7% |
6 | Austria | 16.2% |
7 | Nueva Zelandia | 16.4% |
8 | Luxemburgo | 16.6% |
9 | Finlandia | 16.9% |
10 | Hong Kong | 17.6% |
Vulnerabilidades
En el primer trimestre de 2012 se detectó un total de 34.825.675 programas y archivos vulnerables en los ordenadores de los usuarios de KSN, es decir, una media de 9 diferentes vulnerabilidades en cada ordenador afectado.
Los Top 10 aparecen en la siguiente tabla:
№ | Secunia ID – número único de vulnerabilidad | Nombre de la vulnerabilidad y enlace a la descripción | Lo que la vulnerabilidad les permite hacer a los ciberdelincuentes | Porcentaje de usuarios en cuyos ordenadores se detectó la vulnerabilidad | Fecha del último cambio | Clasificación |
1 | SA 48009 | Múltiples vulnerabilidades en Oracle Java JDK / JRE / SDK | Acceder al sistema y ejecutar códigos arbitrarios con privilegios de usuario local. Acceder a la información crítica Manipular datos Ataques DoS |
29.07% | 10.04.2012 | Altamente crítica |
2 | SA 46113 | Múltiples vulnerabilidades en Adobe Flash Player | Permite acceder al sistema y ejecutar códigos XSS arbitrarios con privilegios de usuario local |
22.13% | 22.09.2011 | Altamente crítica |
3 | SA 46113 | Dos vulnerabilidades en Adobe Flash Player | Acceder al sistema Acceder a la información crítica |
20.81% | 10.04.2012 | Altamente crítica |
4 | SA 46113 | Múltiples vulnerabilidades en Oracle Java JDK / JRE / SDK | Ataques DoS Acceder al sistema Permite acceder a información crítica Secuestrar sesiones o canales Manipular datos Spoofing |
19.31% | 27.10.2011 | Altamente crítica |
5 | SA 46113 | Múltiples vulnerabilidades en Microsoft XML Core Services | Permite acceder al sistema y ejecutar códigos arbitrarios con privilegios de usuario local Ataques DoS XSS |
15.26% | 13.07.2011 | Altamente crítica |
6 | SA 46113 | Múltiples vulnerabilidades en Adobe Reader/Acrobat | Permite acceder al sistema y ejecutar códigos arbitrarios con privilegios de usuario local | 14.50% | 11.01.2012 | Extremamente crítico |
7 | SA 46113 | Múltiples vulnerabilidades en Apple QuickTime | Acceder al sistema y ejecutar códigos arbitrarios con privilegios de usuario local. Acceder a la información crítica Manipular datos Ataques DoS |
12.15% | 06.01.2012 | Altamente crítica |
8 | SA 46882 | Vulnerabilidades en el procesamiento de archivos Winamp AVI / IT | Permite acceder al sistema y ejecutar códigos arbitrarios con privilegios de usuario local | 10.89% | 29.12.2011 | Altamente crítica |
9 | SA 41917 | Múltiples vulnerabilidades en Adobe Flash Player | Permite acceder al sistema y ejecutar códigos arbitrarios con privilegios de usuario local Acceder a datos “sensibles” Evadir el sistema de seguridad |
10.22% | 28.10.2010 | Extremamente crítico |
10 | SA 47932 | Múltiples vulnerabilidades en Adobe Shockwave Player | Permite acceder al sistema y ejecutar códigos arbitrarios con privilegios de usuario local | 9.93% | 15.02.2012 | Altamente crítica |
*Porcentaje de todos los usuarios en cuyos ordenadores se detectó al menos una vulnerabilidad
En un tercio de todos los ordenadores infectados se detectó una vulnerabilidad en Oracle Java. Sabiendo que las vulnerabilidades en Java sirvieron como vector para algunas de las más notables infecciones, incluyendo la red zombi de Mac y la propagación del robot “sin archivo”, los usuarios deberían actualizar el componente lo antes posible. Si no se usa la máquina virtual Java, es mejor eliminarla del ordenador.
Nuestra clasificación presenta dos vulnerabilidades de Java. Los productos de Adobe ocupan 5 posiciones, incluyendo Flash Player, Shockwave Player y Reader, una aplicación popular para leer documentos PDF. Vale la pena mencionar que en los últimos años se crearon docenas de exploits para estos programas y la mayoría de ellos están a disposición pública. Por eso es tan importante que los usuarios se aseguren que estos programas cuenten siempre con sus respectivos parches.
Marcas de productos con el Top 10 de vulnerabilidades
Cualquiera de las Top 10 vulnerabilidades puede poner en peligro la seguridad de un ordenador, porque permiten que los ciberdelincuentes tengan el control absoluto del sistema por medio de los exploits. Cuatro de ellas permiten que los atacantes accedan a información crítica almacenada en el ordenador, y 2 posibilitan evadir los sistemas de seguridad y lanzar ataques DoS contra un ordenador en el que esté instalada una aplicación vulnerable. Tres vulnerabilidades permiten lanzar ataques XSS. Entre las Top 10 también se encuentran vulnerabilidades que permiten a los ciberdelincuentes manipular información, obtener información importante sobre el sistema y realizar spoofing (cuando un ciberdelincuente se hace pasar como el dueño de una cuenta de usuario en el ordenador).
Clasificación de las Top 10 vulnerabilidades por tipo de impacto en el sistema
Conclusión
El inicio de 2012 estuvo marcado por un cambio cualitativo en el ecosistema de las redes zombi. Los dueños de estas redes, que sentían que el mundo de Windows ya estaba abarrotado, apuntaron a los segmentos Mac OS y de dispositivos móviles. Por desgracia, pocos usuarios se dieron cuenta de que sus smartphones son ordenadores completamente funcionales que almacenan valiosa información que puede interesar a los ciberdelincuentes. primero, el fabricante de este sistema operativo insistió por mucho tiempo en que no existían programas maliciosos para esta plataforma, y que los ordenadores Mac eran más seguros que los Windows.
Los dispositivos móviles y los ordenadores Mac son muy atractivos para los ciberdelincuentes. Además de la limitada competencia en el segmento, una gran parte de los dispositivos móviles y de los ordenadores Mac funcionan sin contar con ninguna solución de seguridad instalada. En el primer trimestre de 2012 se detectaron más de 5.000 programas maliciosos para Android, es decir, un tercio más que en el trimestre anterior. En el mismo periodo se detectaron más de 70 programas maliciosos para Mac OS X, el doble que en el trimestre anterior. Este año, se espera que la cantidad de amenazas dirigidas contra los equipos de usuarios particulares en estos dos segmentos siga creciendo rápidamente.
Uno de los desarrollos tecnológicos más significativos en este trimestre fue el ataque del robot “sin archivo” que realiza todas sus funciones en la memoria RAM, sin crear ningún archivo en el disco duro. Esto dificultó en gran medida la detección de este programa malicioso. Aunque el robot permanecía en el ordenador sólo hasta el reinicio del mismo, el hecho de que se propagara por una red de banners usada por populares sitios web legítimos, causó repetidas infecciones, lo que muy posiblemente resultó en un gran número de robots activos. Kaspersky Lab actuó con rapidez en colaboración con los dueños de la red de banners para neutralizar el ataque. Ya que es imposible que este tipo de ataque se realice sin contar con un exploit, sólo el parchado oportuno y una solución antivirus pueden proteger a los ordenadores contra este flagelo informático.
Por esta razón, la seguridad de la plataforma móvil iOS sigue siendo un tema pendiente. Apple aplica políticas que dificultan considerablemente la propagación de códigos maliciosos a través de App Store. Por otra parte, los desarrolladores no pueden crear soluciones que brinden una efectiva protección contra posibles ataques. Si los ciberpiratas atacan los dispositivos móviles valiéndose del probado y comprobado escenario de Windows, en el que los ataques al paso dejaban exploits que ejecutan códigos arbitrarios en el sistema, entonces los usuarios estarán abandonados a su suerte para enfrentarse con cualquier programa malicioso que se ejecute en sus dispositivos. Se han cumplido todos los prerrequisitos técnicos para este escenario.
En nuestro informe sobre la evolución de los programas maliciosos en 2011, mencionamos que los ciberdelincuentes buscarían nuevas alternativas para lanzar ataques dirigidos. en el primer trimestre de 2012, se detectaron programas maliciosos para Mac OS X en ataques dirigidos. Vale la pena mencionar que en la primera etapa, los atacantes usaron un exploit para la máquina virtual Java que puede instalarse en prácticamente cualquier plataforma. Los programas maliciosos detectados resultaron ser troyanos puerta trasera, es decir, programas que le otorgan al atacante pleno acceso a los ordenadores Mac infectados. Los usuarios corporativos de Mac, que están convencidos de que sus equipos están “libres de sospecha” y que por lo tanto no cuentan con ninguna solución de seguridad, ponen en peligro la seguridad de toda la red corporativa. Es muy posible que este año se produzcan más ataques dirigidos contra redes corporativas mediante los ordenadores Mac OS X.
Los esfuerzos conjuntos realizados por las autoridades y compañías informáticas han empezado a dar sus frutos. En el primer trimestre se clausuraron los servidores de Comando y Control de varias redes zombi ZeuS y se desmanteló la red zombi Hlux.b. Se arrestó a varios individuos y grupos, incluyendo los autores del programa maliciosos para dispositivos móviles conocido como Foncy, en Francia, varios grupos de ciberdelincuentes responsables de los troyanos bancarios Carberp, en Rusia, y el famoso hacker TinHole, además de otros hackers rumanos del grupo Anonymous.
Estos logros tendrán un efecto disuasivo en los ciberdelincuentes. Esperamos que la cantidad de ataques contra los usuarios particulares se estabilice poco a poco en un futuro cercano.
Desarrollo de las amenazas informáticas en el primer trimestre de 2012