News

La creación de nuevas fuentes de spam

Después de que se desconectaran las botnets Pushdo/Cutwail, Bredolab y Rustock, la geografía de las fuentes spam sufrió cambios drásticos. Desde septiembre de 2010, Estados Unidos, que había sido el principal distribuidor de spam por mucho tiempo, comenzó a perder terreno. Ya lleva varios meses sin ni siquiera haber llegado al Top 10 de fuentes de spam, y sólo a veces aparece al final del Top 20.

Países asiáticos y latinoamericanos han reemplazado a Estados Unidos y algunos países europeos. En julio, ocho de las 10 fuentes de spam principales estaban ubicadas en Asia y Latinoamérica, lo que da a entender que los cibercriminales se han establecido en estas regiones.

Fuentes de spam en julio de 2011

Otra característica interesante del rating de julio es que los cinco primeros países son los responsables de casi la mitad (48,65%) de todos los mensajes spam. Por esta razón, decidimos analizar más de cerca la actividad de los spammers en India, Indonesia, Brasil, Perú y Ucrania.

Un análisis de los correos spam que se originaron en estos países en junio y julio muestra que en julio se enviaron menos mensajes spam desde India y Brasil que en junio – disminuyeron un 2,03 y 1,83 por ciento respectivamente. Los cambios de ambos países son muy similares. Indonesia y Perú tuvieron aumentos de niveles muy parecidos en el mismo periodo: 4,82 y 4,59 puntos respectivamente.

Estas cifras nos despertaron un interés particular: fluctuaciones tan similares pueden reflejar la distribución geográfica de las botnets de spam y es posible que se deban a que los mismos individuos controlan las botnets en diferentes países.

Para tener una idea más completa de la situación, analizamos la información de 11 países (las 10 principales y Rusia, que estaba en el onceavo puesto en julio y, hasta hace poco, era uno de los principales distribuidores de spam) del periodo de abril a julio. Basándonos en los resultados del análisis de las dinámicas de distribución, creemos que el spam se distribuye de forma simultánea desde muchos grupos de países:

  • India y Brasil;
  • Ucrania, Taiwán y Tailandia;
  • Indonesia y Perú;
  • Corea, Italia, Vietnam y Rusia.

India y Brasil

El análisis del tráfico semanal de spam confirmó que los porcentajes de distribución de spam de India y Brasil tienen dinámicas similares:


Spam proveniente de India y Brasil entre el 13 de junio y el 31 de julio

Las diferencias sutiles en las curvas se deben principalmente a que, sin tomar en cuenta que los ordenadores zombi podrían estar manejándose desde el mismo centro, cada país tiene sus propias botnets “locales” que reciben comandos para distribuir spam en diferentes momentos. Además, las botnets cambian su tamaño con frecuencia: se agregan nuevos ordenadores y se pierden otros (p. ej., cuando los usuarios instalan un programa antivirus que desinfecta su ordenador).

Ucrania, Taiwan y Tailandia

Los análisis de Ucrania, Tailandia y Taiwán no tardaron en revelar que uno de estos países no estaba en sintonía:

Spam proveniente de Ucrania, Tailandia y Taiwán entre el 13 de junio y el 31 de julio
Como se ve en el gráfico, los correos spam de Urania y Tailandia se intensifican o disminuyen casi de forma idéntica. Las diferencias entre ambos se deben a las mismas razones que causan las diferencias entre Brasil e India. Pero Taiwán no está en sintonía con la situación general.
Indonesia, Perú, Ucrania y Tailandia

Un análisis detallado revela que el spam que se origina en Urania, Tailandia, Indonesia y Perú es sincrónico:


Spam proveniente de Indonesia, Perú, Ucrania y Tailandia entre el 30 de mayo y el 31 de julio

.

Por ende, el segundo grupo de actividades de redes zombi está compuesto por Indonesia, Perú, Ucrania y Tailandia.

Vale la pena recalcar que la distribución sincrónica del spam de países ubicados en diferentes continentes no significa que los ordenadores en estos países estén unidos en una gran botnet. Muchas redes zombis pequeñas también pueden operar de forma sincronizada, recibiendo órdenes de distribución de los mismos individuos.

Los resultados son algo alarmantes: más del 60% de todo el spam del mundo se origina en 10 países, donde los cibercriminales han estado construyendo nuevas botnets durante los últimos años para reemplazar las que se desactivaron en Estados Unidos y Europa occidental.

Los principales grupos de países desde donde se distribuye spam de forma sincronizada son: India-Brasil (estos países enviaron casi un cuarto del spam mundial en julio) e Indonesia-Perú-Ucrania-Tailandia. Además, durante las últimas tres semanas de julio se vieron paralelos muy claros entre las distribuciones de spam en Rusia, Italia, Corea del Sur y Vietnam. Todavía es muy pronto para sacar conclusiones sobre esta agrupación de países, pero seguiremos vigilándola.

Las correlaciones de arriba sugieren que después de una serie de campañas anti-botnet exitosas, los cibercriminales están expandiendo sus recursos en diferentes países (y hasta continentes) para poder continuar si pierden sus zombis en un país. Los países en cuestión todavía no tienen leyes efectivas para regular las actividades de Internet, lo que permite a los cibercriminales actuar con impunidad. Es más, los cibercriminales responsables de este tráfico de spam pueden administrar sus botnets desde cualquier país del mundo.

La creación de nuevas fuentes de spam

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada