Boletín de seguridad de Kaspersky

Kaspersky Security Bulletin 2010: Boletín de seguridad Desarrollo de las amenazas informáticas en 2010

  1. Kaspersky: Boletín de seguridad Desarrollo de las amenazas informáticas en 2010
  2. Kaspersky Security Bulletin 2010 Principales Estadisticas de 2010
  3. Kaspersky Security Bulletin 2010: El spam en 2010

Este informe es la continuación de la serie de informes analíticos anuales de Kaspersky Lab. En él se analizan los principales problemas que afectan a los usuarios particulares y corporativos, relacionados con los programas maliciosos, potencialmente indeseables y de estafas, como también del spam, phishing y los diferentes tipos de actividad de los hackers.

Este informe ha sido escrito por los expertos del Global Research&Analisys Team (GReAT) en colaboración con las subdivisiones Content&Cloud Technology Research y Anti-Malware Research de Kaspersky Lab.

2010: el año de las vulnerabilidades

El año 2010, por los sucesos ocurridos en el campo de los programas maliciosos, ha resultado casi idéntico a 2009. Las principales tendencias y los vectores generales siguen siendo los mismos, pero una serie de tecnologías han experimentado una transición a un nuevo nivel cualitativo.

La cantidad de los nuevos programas maliciosos detectados cada mes se ha mantenido en el nivel de 2009 y, en el caso de determinadas especies de programas maliciosos, hasta se ha detectado una reducción de actividades. En el anterior informe anual habíamos hecho notar la estabilización del flujo de programas maliciosos. Las causas de estos fenómenos siguen siendo las mismas: la reducción de la virulencia de toda una serie de programas maliciosos (troyanos para juegos) y la activa lucha de los órganos estatales de seguridad, las compañías antivirus y las compañías de telecomunicación contra los servicios criminales y los grupos de delincuentes informáticos. Además, la reducción (pronosticada por nuestra compañía) de la cantidad de antivirus falsos ha incidido en la estabilización del número de nuevos programas maliciosos.

Cantidad de programas maliciosos en la colección de Kaspersky Lab

Pero la estabilización de la cantidad de los nuevos programas maliciosos no significa que se haya estabilizado la cantidad de ataques. En primer lugar, la complejidad de los programas maliciosos está en constante aumento y su nivel tecnológico ha crecido notablemente en comparación con el año pasado. En segundo, la mayoría de los ataques se realiza mediante el navegador, con la ayuda de una serie de vulnerabilidades de los mismos navegadores o del software de terceras compañías que éstos usan. Esto provoca que, con frecuencia, un mismo programa malicioso pueda propagarse mediante decenas de diferentes vulnerabilidades, lo que conduce al crecimiento proporcional de la cantidad de ataques.

Si consideramos que los ataques son el conjunto de los incidentes registrados por nuestra compañía, es necesario distinguir cuatro tipos de incidentes:

  • ataques realizados mediante Internet (registrados por medio del antivirus para la web)
  • Incidentes locales (registrados en los ordenadores de los usuarios)
  • ataques de red (registrados con la ayuda de IDS)
  • incidentes en el correo electrónico

En 2010, por primera vez en la historia de nuestros informes, el total de incidentes registrados de los dos primeros tipos superó los 1.500 millones Атаки через браузер составили более 30% от общего количества данных инцидентов (свыше 500 000 000 отраженных атак). Los ataques mediante el navegador constituyeron más del 30% de la cantidad general de incidentes de este tipo (más de 500.000.000 ataques neutralizados). Un análisis más detallado de estos datos se hará en la sección de estadísticas de este informe.

Las vulnerabilidades, el principal tema de 2010. Las vulnerabilidades se convirtieron en el principal método usado por los programas maliciosos para irrumpir en los ordenadores. Los delincuentes informáticos siguen abandonando el uso de las vulnerabilidades en los productos de Microsoft para concentrarse en las de Adobe, Apple (Safari, Quicktime, iTunes). El eslabón clave de estos ataques son los paquetes de exploits para diversas vulnerabilidades de los navegadores y sus plugins. El líder absoluto de 2010 en vulnerabilidades registradas son los exploits que aprovechan las brechas en las aplicaciones de la compañía Adobe.

Si bien en el pasado los delincuentes informáticos usaban sobre todo las vulnerabilidades durante el inicio de la irrupción en el sistema, en 2010 detectamos varios programas maliciosos que utilizan diferentes vulnerabilidades en todas las etapas de su trabajo. Algunos de estos programas utilizaban también vulnerabilidades de “día cero”, por ejemplo el gusano Stuxnet.

Resumen del año

En nuestro informe de 2009 pronosticamos mucho de lo que pasó en 2010. Pero hubo además algunos sucesos que fueron sorpresas desagradables para todos.

En lo que atañe a nuestros pronósticos sobre las posibles vías de desarrollo de la delincuencia informática y los tipos de ataque, casi todos se confirmaron.

Aumento de la cantidad de ataques mediante redes P2P (pronóstico confirmado)

Las redes P2P de verdad se han convertido en una de las principales maneras en que los programas maliciosos irrumpen en los ordenadores, y según nuestras apreciaciones, actualmente este vector es el segundo según la cantidad de incidentes provocados, sólo por detrás de los ataques mediante los navegadores de Internet.

En las redes P2P se han propagado casi todos los tipos de amenazas: virus de ficheros, antivirus falsos, backdoors y todo tipo de gusanos. Además, estas redes se convirtieron en el principal modo de propagación de nuevas amenazas, como por ejemplo ArchSMS.

Los especialistas en seguridad de otras compañías también han notado el recrudecimiento de las actividades de los delincuentes en las redes P2P. Así, por ejemplo, la compañía Cisco en su informe del primer semestre de 2010 hace hincapié en el significativo crecimiento de la cantidad de ataques en las tres redes P2P más populares: BitTorrent, eDonkey, Gnutella.

Y en efecto, en marzo empezó una epidemia en las redes P2P que según los datos recopilados por Kaspersky Security Network, por primera vez en la historia superó los 2,5 millones en un mes. A finales de año esta cifra, según las apreciaciones más moderadas, alcanzó los 3,2 millones de ataques.

Es necesario destacar que estos índices se refieren sólo a los programas que se propagan mediante programas P2P (gusanos). Aparte de ellos, en las redes P2P se observó una significante cantidad de troyanos y virus. De esta manera, el número total de incidentes pudo llegar a los 10 millones mensuales.

La lucha por el tráfico (pronóstico confirmado)

Los así denominados “programas de afiliados” siguen siendo una de las principales formas de interacción entre los grupos de delincuentes informáticos y los que prestan servicios fuera de la ley de creación de nuevas botnets, administración de botnets existentes y redistribución de los recursos de las botnets para nuevos tipos de actividades.

Junto a las actividades que son abiertamente criminales, como la infección de sitios web legítimos y de los usuarios mediante la tecnología drive-by-download, en 2010 se empezaron a usar con cada vez más frecuencia métodos semilegales de lucro. Entre ellos están los diferentes métodos usados para convencer al usuario de que descargue ficheros, el uso de recursos “capturados” para hacer Black SEO, los enlaces Attention-grabbin links o la propagación de Adware, o de desviar el tráfico a diferentes recursos pornográficos.

En el artículo hay más detalles sobre los métodos de trabajo de las “redes de afiliados”.

Epidemias e incremento de la complejidad de los programas maliciosos (pronóstico confirmado)

En 2010 no ocurrió ni una sola epidemia comparable por su velocidad, envergadura y sensacionalismo con la historia del gusano Kido (Confiker) en 2009. Pero si se toman en cuenta estos factores por separado, muchos programas maliciosos del año anterior, sin lugar a duda, pueden considerarse epidemias (de importancia global).

Los nombres de las botnets Mariposa, Zeus, Bredolab, TDSS, Koobface, Sinowal y Black Energy 2.0 fueron objeto de constantes publicaciones e investigaciones en 2010. Cada uno de estos nombres tiene en su haber millones de ordenadores infectados en todo el mundo. Todas estas amenazas están entre los programas maliciosos más complejos desde el punto de vista tecnológico.

No sólo se los propagaba por medio de todos los métodos existentes, empezando por el correo electrónico, sino que por primera vez se los empezó a propagar mediante las redes sociales y las redes P2P. Algunas de estas amenazas eran pioneras en el campo de los programas maliciosos para plataformas de 64 bits y muchas de ellas se propagaban con la ayuda de vulnerabilidades de día cero.

Agreguemos a esta lista el gusano Stuxnet, un programa único en su género, que señala la transición de los virus a un nuevo nivel cualitativo. A los analistas de las compañías antivirus les llevó más de tres meses analizar y comprender sus funcionalidades y el trabajo de todos sus componentes. Stuxnet se convirtió en el tema principal de la seguridad informática en la segunda mitad de 2010 y, por la cantidad de artículos y publicaciones que generó, dejó muy detrás a las amenazas conocidas anteriormente.

Somos testigos de que los programas maliciosos más propagados son los más complejos desde el punto de vista tecnológico. Esto aumenta las dificultades de las compañías antivirus que luchan contra ellos. No es suficiente poder detectar el 99% de los millones de ejemplares maliciosos y no poder detectar uno de ellos, pero que es peligroso en extremo (y por lo tanto, muy difundido).

Reducción de la cantidad de antivirus falsos (pronóstico confirmado)

Este es un pronóstico muy dudoso, que dividió las opiniones incluso entre nuestros colegas. Para su cumplimiento fue necesaria la concurrencia de una serie de factores adicionales, como la modificación de las principales formas de lucro de los propietarios y participantes en los programas de afiliados, la reacción de las compañías antivirus y los órganos del gobierno y la presencia de una fuerte competencia entre los distintos grupos de delincuentes informáticos dedicados a la creación y difusión de antivirus falsos.
Al analizar los resultados del año y basarnos en los datos estadísticos obtenidos mediante Kaspersky Security Network, podemos considerar que la reducción de los antivirus falsos ha transcurrido de una forma satisfactoria. Habiendo llegado a la cima de su virulencia en febrero-marzo de 2010 (aproximadamente 200.000 incidentes por mes), a finales de 2010 los antivirus falsos redujeron su presencia cuatro veces. Al mismo tiempo, se observa que los antivirus falsos han cambiado su vector hacia determinadas regiones. Los estafadores dejaron de propagarlos globalmente y se concentraron en un pequeño número de países (sobre todo EEUU, Francia, Alemania y España).

Ataques contra Google Wave (pronostico no confirmado

La compañía Google cerró este proyecto a mediados de 2010, sin llegar a poner en funcionamiento el servicio en su totalidad y sin reunir una masa crítica de participantes. Por esta razón el pronóstico de los ataques contra este servicio y sus clientes no se confirmó.

Ataques contra iPhone y Android (pronóstico confirmado en parte)

En 2009 se detectaron los primeros programas maliciosos para iPhone y el primer programa espía para Android. En 2010 suponíamos que los delincuentes informáticos prestarían más atención a estas plataformas.

En lo que concierne a iPhone, no ha habido incidentes de programas maliciosos similares a los que provocó el gusano Ike en 2009. Sin embargo, este año se crearon varios programas “de concepto” para esta plataforma que mostraban los métodos que los delincuentes podrían usar para hacer sus ataques. Merece la pena destacar el programa SpyPhone, creado por un investigador suizo y que permite obtener acceso no autorizado a la información sobre el dispositivo y paradero del iPhone, sus contraseñas, la historia de búsqueda en Internet, los intereses, ocupaciones y amigos del dueño del iPhone. Después, esta información se puede enviar -de forma inadvertida para el usuario- a un servidor remoto.

Esta funcionalidad puede estar camuflada dentro de aplicaciones cuyo aspecto es completamente inofensivo.

Si bien antes los expertos manifestaban que el principal grupo de riesgo era el constituido por aquellos usuarios que habían realizado el jailbreak de su teléfono para poder instalar aplicaciones de cualquier fuente, ahora dicen que se trata de la posibilidad teórica de lanzar ataques maliciosos contra los usuarios que descargan aplicaciones desde Apple Store. Ya han ocurrido varios incidentes con aplicaciones legales que, sin que el usuario se diera cuenta, recopilaban datos y los enviaban a sus creadores.

Todo lo expuesto también se refiere a Android, pero con una importante salvedad: para esta plataforma se detectaron programas maliciosos que funcionaban según el método usado por los troyanos móviles, es decir, el envío de mensajes SMS a números de pago. Trojan-SMS.AndroidOS.FakePlayer, evidentemente creado por un delincuente ruso, fue detectado por nuestra compañía en septiembre de 2010 y se convirtió en el primer malware real para Android. A pesar de que la propagación del troyano no se hacía mediante Android Market, sino a través de sitios web de estafas, consideramos que la probabilidad de que aparezcan aplicaciones maliciosos en Android Market es muy alta. Es más, sólo el número de aplicaciones legales que durante su instalación en el teléfono piden (y reciben) acceso a los datos privados del usuario, las funciones de envío de SMS y llamadas, nos hace reflexionar sobre la efectividad del concepto del sistema de seguridad de Android en general.

Esto es todo lo que atañe a nuestros pronósticos y su grado de exactitud. Pero además es necesario mencionar una serie de incidentes y tendencias que ejercieron una gran influencia en la industria de la seguridad TI.

Ataques dirigidos a las corporaciones y empresas industriales

El ataque conocido como “Aurora” no sólo afectó a Google (considerado el principal blanco de los atacantes), sino también a una serie de grandes compañías en todo el mundo. El incidente puso al descubierto grandes brechas en los sistemas de seguridad y reveló el objetivo potencial de los atacantes: el espionaje cibernético y el robo de información comercial confidencial. Cabe destacar que en el futuro estos ataques dirigidos se usarán con los mismos objetivos.

La historia del gusano Stuxnet, que ya hemos mencionado, es interesante no sólo por la extrema complejidad de este programa, sino también, en primer lugar, por el objetivo de sus ataques, que estaban dirigidos a los controladores lógicos programables (PLC) usados en factorías industriales. Este fue el primer ejemplo de verdadero sabotaje cibernético contra la industria, capaz de provocar graves daños físicos. La existencia de una frontera entre el mundo real y el virtual quedo en entredicho y nos pone frente a desafíos completamente nuevos, que tendremos que resolver en el futuro próximo.

Los certificados digitales

Los certificados y firmas digitales son uno de los fundamentos en que se basa la confianza que se tiene en los diferentes objetos del mundo informático. Por supuesto, la presencia de una firma digital en el fichero juega un papel importante el desarrollo de antivirus. Por ejemplo, los ficheros firmados por productores de confianza se consideran limpios. Esta tecnología permite a los programadores de soluciones antivirus reducir la cantidad de falsos positivos y al mismo tiempo economizar recursos durante el escaneo antivirus de los ordenadores de los usuarios.

Los sucesos de 2010 mostraron que el delincuente puede obtener un certificado digital de una forma completamente legal, como cualquier otro productor de software. Por ejemplo, aquellos que desarrollan “software sin GUI para el control remoto de ordenadores”, que en esencia es un backdoor. Esta forma de evitar ser detectado es muy popular entre los creadores de AdWare, RiskWare y antivirus falsos. Habiendo recibido del centro de certificación la clave necesaria, el delincuente puede firmar cualquiera de sus creaciones sin ningún problema.

En esencia, se puede decir que la idea de certificación de programas se ha desacreditado seriamente. Y hasta tal punto que nos vemos ante el peligro de desacreditación de algunos centros de certificación (de los pocos cientos que existen) o la aparición de centros de certificación pertenecientes a los delincuentes informáticos.

Además, el certificado (para ser más exactos, su llave cerrada) es en realidad un fichero, y por lo tanto existe la posibilidad de robarlo, como cualquier otra propiedad virtual. Los componentes del gusano Stuxnet venían firmados con certificados de Realtec Stuxnet y JMicron. No se sabe a ciencia cierta de qué manera la llave llegó a manos de los delincuentes, pero es evidente que existen varias formas. Pudieron recibir estos importantes ficheros comprándoselos a los insiders o robándolos con la ayuda de algún backdoor o programa malicioso similar. Por ejemplo, el robo de certificados es una de las funciones del propagado troyano Zbot (ZeuS).

Los incidentes y sucesos más significativos del año

Aurora

El ataque “operación Aurora” realizado en los primeros meses de 2010 acaparó la atención tanto de los expertos en seguridad, como de los medios de comunicación. Como ya hemos mencionado, el ataque estaba dirigido a grandes compañías, entre ellas Google y Adobe. Los delincuentes que organizaron el ataque no solo esperaban obtener los datos confidenciales de los usuarios, sino también los códigos fuente de una serie de proyectos corporativos.

El principal instrumento usado para hacer los ataques fue el exploit para la vulnerabilidad CVE-2010-0249 de Internet Explorer. En el momento en que los delincuentes lo usaron, la compañía Microsoft todavía no había publicado un parche para cerrar esta vulnerabilidad. De esta manera, Aurora se convirtió en otro claro ejemplo de la explotación de las vulnerabilidades de “día cero”.

Los troyanos extorsionadores

A principios y a mediados de 2010 uno de los principales problemas de los usuarios en Rusia y en otros países de la ex Unión Soviética fueron las numerosas infecciones provocadas por diferentes versiones de los así denominados “bloqueadores SMS”.

Se trata de programas maliciosos propagados mediante varios métodos, entre ellos populares redes sociales rusas, y por medio de tecnologías drive-by-download y redes B2B. Al ejecutarse en el ordenador de la víctima, bloquean el funcionamiento del sistema operativo o la conexión a Internet y exigen al usuario enviar un mensaje de texto a números de pago para recibir el “código de desbloqueo”.

Las dimensiones del problema resultaron tan grandes, y el número de afectados tan significante, que la situación no sólo empezó a interesar a los órganos de seguridad del estado, sino que también tuvo gran resonancia en los medios de comunicación de Rusia. Y no sólo en la blogoesfera, sino también en la televisión. Los operadores de telefonía celular también pusieron su granito de arena en la lucha contra los estafadores, estableciendo nuevas reglas de registro y funcionamiento de los números cortos. También bloqueaban constantemente las cuentas de los extorsionadores y difundían información sobre las extorsiones SMS entre sus clientes.

A finales de agosto la policía arrestó en Moscú a varias personas acusadas de crear programas bloqueadores-SMS. Según los datos del Ministerio del Interior de la Federación de Rusia, las ganancias obtenidas por este grupo se calculan en 500 millones de rublos, cerca de 17 millones de dólares.
Pero todavía es temprano para hablar de la desaparición de este problema. Los delincuentes han empezado a usar otros métodos de recibir dinero por el “desbloqueo” (por ejemplo, mediante sistema de pago electrónico o terminales de pago de telefonía móvil).

Además, a finales de año se registraron nuevos incidentes con los troyanos-cifradores de la familia Gpcode -que usan algoritmos de alta solidez RSA o AES- y también exigen dinero por recuperar la información.

Stuxnet

El gusano Stuxnet, descubierto en 2010, fue el suceso más significativo en la historia de los programas maliciosos por su influencia en la industria. Incluso un análisis superficial del gusano puso al descubierto dos factores significativos que nos obligaron a hacer un análisis más profundo.

En segundo lugar, se observó de inmediato el uso de una vulnerabilidad de día cero de Windows, que consistía en el procesamiento incorrecto de los ficheros LNK (CVE-2010-2568). La vulnerabilidad se usa para lanzar la ejecución de ficheros desde memorias USB extraíbles. Esta vulnerabilidad no tardó en convertirse en objeto de atención de otros delincuentes. Ya en julio se habían detectado casos de propagación de otros programas maliciosos que usaban esta vulnerabilidad. En particular, registramos que Sality y Zbot (ZeuS) habían usado exploits para esta vulnerabilidad. Sólo en el tercer trimestre el 6% de los usuarios de KSN fueron objeto de ataques mediante los exploits para las vulnerabilidades CVE-2010-2568.

En segundo lugar, el gusano utilizaba certificados digitales legítimos, de la compañía Realtek. En el resumen del año hemos mencionado el problema de los certificados digitales, que cobró actualidad en 2010.

Es curioso que después de cierto tiempo descubrimos un componente malicioso de Stuxnet firmado con un certificado de la compañía JMicron, pero no se tiene noticias del fichero portador (dropper) que lo instala. El origen de este componente es una laguna más en la historia de Stuxnet, que aún sin él es muy misteriosa.

El posterior análisis del gusano mostró que contenía tres exploits más para las vulnerabilidades de día cero en Windows. El primero se encargaba de propagar el gusano por la red local y usaba una brecha en el funcionamiento del servicio de impresoras compartidas. Los expertos de nuestra compañía detectaron esta vulnerabilidad y Microsoft publicó el parche correspondiente en septiembre de 2010. Las otras dos vulnerabilidades se usaban para elevar los privilegios del gusano en el sistema, mediante el componente win32k.sys y con la ayuda de Task Scheduler. Los expertos de Kaspersky Lab tuvieron que ver con la detección de la primera vulnerabilidad.

Sin embargo, la explotación de las vulnerabilidades (en total Stuxnet usa cinco vulnerabilidades, más una del software Siemens WinCC, relacionada con las contraseñas predeterminadas) no era la función más importante del gusano. La actividad destructiva del gusano estaba dirigida a los sistemas con determinada configuración de SIMATIC WinCC/PCS7, las cuales (y esto es lo más importante) tienen acceso a modelos específicos de controladores lógicos programables (PLC) y convertidores de la velocidad de rotación de determinados fabricantes. La biblioteca dinámica instalada por el gusano intercepta parte de las funciones del sistema y, por lo tanto, puede influir en las operaciones del sistema de gestión de la factoría. La principal función del gusano era modificar la lógica del funcionamiento de los controladores en los convertidores de frecuencia. Estos controladores se usan para regular la velocidad de rotación de los motores. Y se trata de motores diseñados para funcionar a velocidades muy altas, que tienen una aplicación restringida, por ejemplo, en las centrífugas.

TDSS

Entre los programas maliciosos “clásicos”, TDSS se lleva la palma en 2010. Usamos el término “clásico” por la aparición de Stuxnet, que sin lugar a dudas, es un fenómeno completamente nuevo y que no puede haber sido creado por delincuentes cibernéticos comunes y corrientes.

El backdoor TDSS fue muchas veces objeto de nuestras publicaciones analíticas en 2009-2010. Y los analistas de otras compañías antivirus también experimentaron un interés similar. Esto es fácil de explicar, porque TDSS es en la actualidad el código malicioso más complejo desde el punto de vista tecnológico, después de Stuxnet. No solo usa cada vez nuevos métodos de camuflarse en el sistema y de administrar la botnet, sino que sus autores tampoco olvidan usar diferentes vulnerabilidades, tanto corregidas como de día cero.

En 2010, la principal novedad de TDSS era que funcionaba en los sistemas de 64 bits. Esta modificación fue descubierta en agosto y tenía la numeración interna TDL-4. Para burlar el sistema de seguridad de Windows, los autores de TDSS usaron la tecnología de infección MBR, que es similar a la usada en otro troyano, Sinowal. Si la infección tiene éxito, el código malicioso MBR empieza a ejecutarse antes del sistema operativo y puede cambiar sus parámetros de inicio de tal manera que sea posible registrar drivers no firmados en el sistema.

El cargador del rootkit, una vez que detecta en qué tipo de sistema (x86 ó x64) tendrá que funcionar el programa malicioso, carga el código del driver en la memoria y lo registra en el sistema. Después, el sistema operativo se carga con el código malicioso ya incrustado. Con todo, el rootkit funciona de tal manera que no cambia el sector del núcleo ocupado por la tecnología PatchGuard, integrada en el sistema operativo.

La compañía Microsoft, a quién nuestros expertos notificaron el problema, consideró que esta “peculiaridad” no era crítica y no la clasificó como vulnerabilidad, en vista de que para infectar el sector de inicio, el troyano debe tener privilegios de administrador en el sistema.

Para obtener nuevos privilegios, TDSS usa diferentes trucos y se perfecciona constantemente. Así, a principios de diciembre nuestra compañía detectó que TDSS usaba una vulnerabilidad más de día cero para elevar sus privilegios. Se trata de una vulnerabilidad en el Administrador de Tareas, que Stuxnet fue el primero en implementar y que Microsoft corrigió sólo a mediados de diciembre de 2010.

Varios incidentes en Twitter y Facebook

Las dos redes sociales más populares y en intenso desarrollo fueron objeto de múltiples ataques en 2010. Estos ataques no solo fueron provocados porque los delincuentes cibernéticos empezasen a usar estas redes como una vía más de propagación de programas maliciosos, sino que también tenían vulnerabilidades que facilitaron esta tarea.

En lo que concierne a los programas maliciosos, los más virulentos eran las numerosas versiones del gusano Koobface. En su gran mayoría estaban dirigidos a Twitter, desde cuyas cuentas capturadas se enviaban enlaces a programas troyanos. Las cifras confirman la efectividad de los envíos masivos en las redes sociales. Sólo durante un ataque insignificante realizado en la red Twitter, en el lapso de sólo una hora más de 2.000 usuarios siguieron el enlace enviado.

También es ejemplar una historia relacionada con la popularidad de iPhone y que tuvo lugar en Twitter en mayo. El 19 de mayo la administración de Twiterr hizo una declaración oficial sobre la aparición de una nueva aplicación, “TTwitter para iPhone”. Los delincuentes decidieron aprovechar la ola de comentarios provocada por el anuncio. Menos de una hora después de la publicación de la noticia, Twitter se llenó de mensajes que contenían la frase “twitter iPhone application” y cuyos enlaces llevaban al programa malicioso Worm.Win32.VBNA.b.

Además, algunos autores de programas maliciosos usaban Twitter para, por ejemplo, generar nuevos nombres de dominio para los centros de administración de las botnets.

Los delincuentes cibernéticos usaron activamente algunas vulnerabilidades XSS detectadas en Twitter en 2010. Fueron particularmente curiosos los ataques realizados en septiembre. Ese mes se introdujeron varias gusanos XSS en la red, que se propagaban sin la participación de los usuarios, porque bastaba con visualizar el mensaje infectado. Según nuestras apreciaciones, durante estas epidemias más de medio millón de usuarios de Twitter fueron afectados por los ataques.

En mayo, apareció en Facebook un nuevo tipo de ataque, relacionado con la introducción de la función “me gusta” (like). Como es fácil suponer, esta función controla la lista de aquellas cosas que le gustaron al dueño de la cuenta. Miles de usuarios se convirtieron en víctimas del ataque conocido como likejacking, por analogía con clickjacking.

En Facebook se ponía un enlace con un “cebo”, por ejemplo, “mundial de fútbol 2010 en alta resolución” o “las 101 mujeres más atractivas del mundo”. El enlace llevaba a una página ad-hoc, en la cual un script Javascript ponía un botón “me gusta”, pero invisible, debajo del cursor del mouse. El botón se desplazaba junto con el cursor de tal manera que dondequiera que el usuario pulsara, inevitablemente apretaba en este botón y, como consecuencia, agregaba en su “muro” una copia del enlace. El resultado es que en las “últimas noticias” de sus amigos aparecerá que este enlace le gusta (he or she likes). En adelante, el ataque empezó a crecer como una bola de nieve: primero eran los amigos los que seguían el enlace, después los amigos de sus amigos, etc. Después de que se agregaban los enlaces al “muro”, el usuario pasaba a una página con la información prometida, por ejemplo, con fotografías de muchachas. Por su esencia, el ataque era una estafa: en la misma página había un pequeño escenario Javascript de una compañía de publicidad, que pagaba una pequeña suma por cada visitante.

Los arrestos de los delincuentes cibernéticos y la clausura de las botnets

En 2008-2009 las acciones emprendidas por las estructuras de supervisión, las compañías de telecomunicaciones y la industria antivirus destinadas a la lucha contra los servicios de hosting delictivos tuvieron determinado grado de éxito. Todo empezó a finales de 2008, cuando se clausuraron los servicios McColo, Atrivo, EstDomains y similares. En 2009 la lucha continuó y llevó a que se anularan las actividades de UkrTeleGroup, RealHost y 3FN.

2010 fue el año más exitoso para los órganos de seguridad estatal de diferentes países en la lucha contra la delincuencia cibernética. Ya hemos mencionado el arresto de una serie de autores de bloqueadores-SMS en Rusia y esta es sólo una pequeña parte de la campaña global que se está realizando para castigar a los delincuentes.

A principios de 2010 se clausuró una parte de los centros de administración de la botnet que se construyó con la ayuda del programa malicioso Email-Worm.Win32.Iksmas, también conocido como Waledac. La botnet era famosa por sus ataques de spam masivo, que alcanzaban hasta 1.500 millones de mensajes diarios, la explotación de temas candentes con enlaces a Iksmas, polimorfismo del servidor del bot y uso de las tecnologías fast-flux.

En verano la policía española arrestó a los propietarios de una de las botnets más importantes, Mariposa. Esta botnet fue creada con la ayuda de P2P-worm.Win32.Palevo. El gusano se propagaba mediante redes P2P, mensajeros instantáneos y también por medio de la función autorun, es decir, con el uso de cualquier tipo de dispositivos extraíbles, desde cámaras fotográficas hasta memorias USB. El principal método que Palevo usaba para obtener dinero en efectivo era la venta y uso de los datos personales de los usuarios de los ordenadores infectados: logins y contraseñas de diferentes servicios, sobre todo de banca en Internet. Más tarde, en Eslovenia la policía arrestó a cuatro jóvenes acusados de crear el código malicioso del gusano a petición de sus “clientes” españoles. Según las apreciaciones de los expertos, la botnet Mariposa podía alcanzar los 12 millones de ordenadores, lo que la convirtió en una de las mayores en la historia de Internet.

En primavera de 2010, en Rusia se arrestó a uno de los organizadores de la así denominada “RBS hack”, que fue condenado en septiembre. La historia de unos delincuentes desconocidos que robaron de cajeros automáticos, durante una sola operación, más de 9 millones de dólares, tuvo gran difusión en la prensa en 2009. A pesar de la seriedad del delito y la cuantía del dinero robado, el tribunal de San Petersburgo lo condenó a sólo 6 años de cárcel, pero en libertad condicional. Uno de los organizadores del ataque fue arrestado en Estonia y después extraditado a EEUU, donde se encuentra en espera del juicio. Dos participantes más de la estafa también fueron arrestados, uno en Francia y otro en Rusia.

En otoño tuvieron lugar arrestos masivos de delincuentes implicados en el uso del programa malicioso ZeuS. A finales de septiembre en EEUU se arrestó a 20 personas procedentes de Rusia, Ucrania y otros países de Europa Oriental que hacían el papel de “mulas”, es decir, se dedicaban al lavado del dinero robado con la ayuda de este troyano. Al mismo tiempo, en Inglaterra se capturó a un grupo de personas que actuaban según el mismo esquema.

Poco tiempo después de estos sucesos, el supuesto autor de ZeuS declaró en varios foros donde se comunican los delincuentes informáticos rusos que “abandonaba el negocio” y entregaba los códigos fuentes del troyano y sus módulos a otro programador.

A mediados de octubre se puso fin a la historia de otra famosa botnet, creada con la ayuda del programa troyano Bredolab. En realidad, no se trataba de una sola botnet, sino de varias, administradas desde cientos de servidores. Todos ellos fueron desconectados de Internet como resultado de una operación conjunta de las policías cibernéticas holandesa y francesa. En el momento de la clausura de la botnet su segmento más grande constaba de más de 150.000 equipos infectados. El dueño de la botnet era un ciudadano de Armenia. Se le hizo un seguimiento y después de clausurar los servidores, lo arrestaron en el aeropuerto de Ereván, adonde llegó en un vuelo procedente de Moscú. Se suponía que en Rusia había cerrado tratos ilegales con otros delincuentes cibernéticos. Según algunos datos, se había dedicado a los negocios ilegales durante casi diez años y era el responsable de toda una serie de ataques DDoS y envíos masivos de spam. Otro método de lucro ilegal que usaba era dar en alquiler o vender partes de la botnet a otros delincuentes.

Pronósticos para 2011

Los ataques cibernéticos en 2011: ¡a robar de todo!

Para entender mejor los sucesos que nos esperan en 2011 en el campo de las amenazas virales, es necesario dividir las posibles tendencias en varias categorías. Estrictamente hablando, son tres en total: los objetivos, métodos y organizadores de los ataques cibernéticos.

En nuestros anteriores pronósticos nos dedicamos al análisis exclusivo de los métodos, por ejemplo, los “ataques a las plataformas móviles”, las “vulnerabilidades”, etc. Esto está condicionado por el hecho de que durante los últimos años los únicos creadores de amenazas virales eran los delincuentes cibernéticos. Y su objetivo era siempre el mismo: el dinero.

Pero en 2011 es posible que tenga lugar un cambio significativo justo en la composición de los organizadores de ataques y sus objetivos. Este cambio será comparable por su importancia con la desaparición de los programas maliciosos escritos sólo por diversión, por motivos gamberros o para autoafirmarse y la aparición de la delincuencia cibernética moderna.

Los métodos

Es importante hacer notar que los методы de los ataques no dependen de la composición de los organizadores ni de los objetivos sino que son el reflejo de las posibilidades técnicas brindadas por los sistemas operativos modernos; Internet y sus servicios, como también de los dispositivos digitales para el trabajo en red.

En 2010 el problema de las vulnerabilidades salió al primer plano. En 2011 la vigencia de este problema crecerá aún más. El incremento del uso de errores por los ciberdelincuentes no sólo estará provocado por las nuevas vulnerabilidades en populares productos (Windows, Office, los productos Adobe y Apple), sino también por la creciente velocidad de respuesta de los delincuentes ante su detección. Si hace sólo un par de años el uso activo de las vulnerabilidades de día cero era un fenómeno raro, en 2010 estos casos ya no lo son. Esta tendencia continuará y las amenazas de “día cero” dejarán de prevalecer. Además, se explotarán activamente no sólo las vulnerabilidades tipo “remote code execution”, sino las vulnerabilidades, por ahora poco usadas, que hacen posible la elevación de los privilegios en el sistema, la manipulación de datos y la evasión de los mecanismos de defensa del sistema.

Las principales formas de lucro ilegal serán los sistemas de banca online, el envío de spam, la organización de ataques DDoS, la extorsión y la estafa. Para esto se aplicarán los mismos métodos que ahora, con insignificante intensificación de unos y debilitamiento de otros.

Sin dudas, aumentará la cantidad de amenazas para las plataformas de 64 bits. En el campo de los ataques a los dispositivos y sistemas operativos móviles se darán nuevos pasos, que sobre todo afectarán a Android. Se incrementará la cantidad de ataques contra los usuarios de las redes sociales. La mayoría de los ataques usarán vulnerabilidades y se realizarán mediante el navegador de Internet. Los ataques DDoS seguirán siendo uno de los problemas más importantes de Internet.

Pero, por desgracia, todo esto será solo el telón para el principal cambio que ocurrirá, la aparición de nuevos organizadores y nuevos objetivos de los ataques cibernéticos.

Los nuevos organizadores y los nuevos objetivos

Como ya hemos escrito, durante los últimos años hemos tenido que luchar contra los códigos maliciosos creados por los delincuentes cibernéticos con fines de lucro. Pero la creación del famoso gusano Stuxnet significa que se ha pasado cierta frontera moral y tecnológica. El ataque del gusano mostró a todo el mundo que las posibilidades de las armas cibernéticas son impresionantes y hacerles frente puede resultar una tarea excesivamente complicada para la parte atacada. No se excluye que entonces los servicios secretos del estado y las compañías comerciales empiecen a usar programas similares a Stuxnet. Son precisamente estas estructuras las que organizarán nuevos ataques cibernéticos, haciéndole competencia a la delincuencia cibernética.

Desde luego, por la cantidad de ataques e incidentes virales, estos nuevos revoltosos de Internet estarán muy por detrás de los ciberdelincuentes tradicionales. Pero al mismo tiempo, sus ataques podrán ser mucho más refinados y difíciles de detectar. Y no afectarán al usuario común y corriente. Esta será una lucha invisible, cuyos episodios muy rara vez entrarán en el campo de visión de los medios masivos de comunicación. La mayoría de las víctimas nunca se dará cuenta de quién y cómo les causó el daño. No nos referimos al sabotaje cibernético que hizo Stuxnet. El principal objetivo de estos ataques será la información.

Es posible que ataques como estos empiecen en 2011 y se manifiesten con total fuerza sólo en los años posteriores. Sin embargo, ya ahora es evidente que como consecuencia de la supuesta aparición de nuevos operadores de ataques la lucha contra las amenazas cibernéticas se hará mucho más complicada.

Spyware 2.0

Hace varios años describimos el concepto de Malware 2.0. Pero ha llegado la hora de un nuevo concepto: Spyware 2.0.

Demos un vistazo a los programas maliciosos modernos. Además del envío de spam y la organización de ataques DDoS, su principal función es el robo de cualquier tipo de cuentas de usuario: sistemas de banca y de pago, correo electrónico, redes sociales, etc. Sin embargo, esto no es, ni mucho menos, los más valioso que tienen los usuarios. En 2011 esperamos la aparición de una nueva clase de programas espía, cuyas funcionalidades son muy fáciles de describir: ¡a robar de todo! El usuario estará en el foco de su interés: su paradero, trabajo, aficiones, amigos, datos sobre su estado, familia, color de pelo y ojos, etc. Les interesará cada documento y cada fotografía guardada en el ordenador infectado.

¿No les parece que este conjunto de datos es ideal para los dueños las redes sociales y los vendedores de publicidad en Internet? Esta información de verdad es requerida por todos y son muchos los potenciales compradores de estos datos. Su uso posterior puede ser bastante variado y, fuera de toda duda, existe demanda de estos datos y en el futuro crecerá aún más. Esto significa que la delincuencia cibernética recibe una fuente más de ganancias.

Pero es aún más. Los organizadores de ataques cibernéticos también irán por la senda de los “ladrones de todo”. La información es el principal valor del mundo moderno y el que la posee, posee mucho. También se expandirá considerablemente la esfera de intereses de los que lanzan ataques de este tipo.

Además, la delincuencia cibernética tradicional invadirá cada vez más un campo que ha evitado hasta ahora: empezará a hacer ataques contra las compañías. Si bien antes, aparte de los usuarios comunes, los delincuentes se sentían atraídos exclusivamente por los sistemas bancarios y diferentes sistemas de pago, ahora han avanzado lo suficiente en el plano tecnológico para poder ingresar al mercado de espionaje industrial y del chantaje.

Sumario de las principales supuestas tendencias de 2011:

  • Nuevos participantes ingresan al campo de la creación de programas maliciosos y organización de ataques cibernéticos
  • Además de la obtención de lucro, el objetivo de la creación de programas maliciosos y realización de ataques será el robo y posterior uso de cualquier tipo de información.
  • La información será el principal objetivo de los nuevos organizadores de ataques, y también se convertirá en una forma adicional de lucro para los delincuentes cibernéticos tradicionales.
  • Aparecerá una nueva clase de programas maliciosos, Spyware 2.0, que estará dirigida al robo de información personal de los usuarios (robo de identidad) y el robo total de datos.
  • El Spyware 2.0 no solo se convertirá en instrumento de los delincuentes cibernéticos tradicionales, sino de los nuevos organizadores de ataques.
  • Los delincuentes cibernéticos tradicionales atacarán con más frecuencia a los usuarios corporativos y se alejarán paulatinamente de los ataques directos a los usuarios domésticos.
  • Las vulnerabilidades seguirán siendo el principal método de realización de ataques, pero al mismo tiempo crecerá la variedad de las vulnerabilidades y la rapidez con que la usen los delincuentes.

La información contenida en este documento refleja la opinión real de ZAO Kaspersky Lab sobre los problemas descritos en la fecha de la publicación del documento y tiene sólo carácter informativo. Cualquier información contenida en este documento, incluyendo direcciones URL y otros enlaces a sitios web puede cambiar sin previa notificación. ZAO Kaspersky Lab no garantiza la exactitud de ninguno de los datos presentados después de la fecha de publicación. Esta información no debe entenderse como ningún tipo de obligación o garantía de parte de ZAO Kaspersky Lab.

Kaspersky Security Bulletin 2010: Boletín de seguridad Desarrollo de las amenazas informáticas en 2010

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada