Publicaciones

Malware en América Latina y el Caribe durante el primer trimestre del 2011

Introducción:

Los datos estadísticos mencionados en el presente artículo abarcan todos los países de América Latina y también los países de Centro América y el Caribe. Las estadísticas se basan en los datos obtenidos a través del Kaspersky Security Network durante enero, febrero y marzo del 2011 y permiten entender la proporción general de los ataques y las tendencias actuales en la región.

Top 20 programas de código malicioso

 

Es interesante notar que por lo menos un tercio de los programas de código malicioso más proliferados en la región son las amenazas del “día 0” que solo se pueden detectar con buenos sistemas heurísticos y no con tecnologías estándares, clásicas como la detección por las firmas.

En la cima siguen las amenazas antiguas que circulan “in-the-wild” desde hace más de 2 años. En particular nos referimos al gusano Kido y sus variantes. El hecho de que este gusano aún se encuentre entre las amenazas más comunes y que entre sus medios de propagación están los dispositivos USB, los recursos compartidos en la red local y las vulnerabilidades, nos hace pensar que en América Latina aún queda mucho por hacer en cuanto a los sistemas de gestión de seguridad, políticas de manejo de los dispositivos USB y políticas de seguridad en general. Muchos sistemas operativos aún no están parchados y por eso se reinfectan fácilmente.

Vale la pena mencionar que al parecer los dispositivos USB son el principal medio de infecciones en América Latina. El Top 20 lo confirma, pues los virus como Sality, Autoit, VBNA y Virut precisamente se propagan a través de este medio.

El programa no deseado y llamado HackTool.Win32.Kiser.zv, que se encuentra en el noveno lugar, es un crack que permite resetear el tiempo de prueba de los productos de Kaspersky. Esto significa que los índices de la piratería en la región son aún muy altos. Aquí no solamente están involucrados los aspectos legales ya que en muchos casos las infecciones de malware se dan precisamente por no tener productos licenciados y a su vez no actualizados. Debido a que las actualizaciones generalmente son disponibles para los productos con licencias válidas, las vulnerabilidades en las aplicaciones desactualizadas les dan a los criminales cibernéticos grandes ventajas para infecciones realmente fáciles.

Entre otras amenazas se podría mencionar la presencia de los Anti-virus falsos (Rogue o Fake AV) y también troyanos del tipo Downloader que generalmente van acompañados de troyanos del tipo Banker que roban información bancaria de las víctimas y luego su dinero.

Víctimas por ubicación geográfica

 

Las posiciones número 1 y 2 son fácilmente explicables ya que estos son países con mayor población y una alta penetración de Internet. Sin embargo, el que Venezuela esté en el 3-er lugar es realmente sorprendente. Lo mismo se puede decir para Colombia que está en el 4 lugar.

Si recordamos el cierre viral del 2010 y comparamos los resultados, se podrá ver que Brasil se ha movido al primer lugar por la cantidad de ataques mientras que Venezuela hizo lo mismo desplazando a Colombia del 3-er al 4 lugar.

La cantidad de ataques registrados puede ser relacionada con los índices del crecimiento del crimen cibernético. Lo decimos porque hoy en día la inmensa mayoría de todos los programas de código malicioso es orientada a robar dinero o delinquir de alguna manera para que traiga beneficios económicos ilícitos a los criminales que están detrás de los ataques. El hecho de que algunos países que cuentan con tecnologías altamente desarrolladas no aparezcan en el Top5 puede indicar que estos realizan un mayor esfuerzo en términos de aplicar leyes que son efectivas para combatir este tipo de ataques. Especialmente nos referimos a Chile como ejemplo particular.

Hospedaje de malware en los servidores Web

El siguiente Top 20 muestra la distribución en alojamiento de los programas de código malicioso en los servidores Web de la región:

Brasil 41,76%
Panamá 21,59%
Argentina 15,53%
Costa Rica 15,35%
Colombia 2,08%
Chile 1,67%
México 1,30%
Venezuela 0,42%
Perú 0,13%
República Dominicana 0,06%
Ecuador 0,04%
Bolivia 0,03%
Paraguay 0,03%
Uruguay 0,01%
Honduras 0,00%
Nicaragua 0,00%
Guatemala 0,00%
Cuba 0,00%
El Salvador 0,00%

Comparando con el 2010 los principales países que siguen hospedando la mayor cantidad de programas de código malicioso siguen siendo Brasil y Panamá. Sin embargo, se puede notar que Paraguay se ha movido del 3-er lugar al 13 puesto. Esto indica claramente que internamente de alguna manera se tomaron medidas prácticas para mitigar la situación y eliminar cuentas Web utilizadas para hospedar malware. Probablemente fueron tomadas algunas acciones adicionales y como resultado notamos este descenso tan drástico de Paraguay. Realmente es modelo a copiar para todos los países, pues dichas medidas permiten reducir el crimen cibernético.

Vulnerabilidades más comunes

Lamentablemente como mencionamos en América Latina aún no se piensa, ni se actúa de manera general frente a las vulnerabilidades y sus parches. La piratería es uno de los factores mientras que la cultura es otro factor muy importante.

La vulnerabilidad más común y número 1 encontrada en las máquinas de la región es 41340 (clasificación de acuerdo a Secunia) que pertenece a Adobe Reader. Los criminales pueden explotarla y obtener acceso al sistema de forma remota. Lo interesante es que esta vulnerabilidad fue descubierta en septiembre del 2010 y sin embargo, al pasar 6 meses muchos usuarios aún no han instalado parches correspondientes.

En el segundo lugar se encuentra la vulnerabilidad 41917 que pertenece a la aplicación Adobe Flash Player. Igualmente la vulnerabilidad fue descubierta en octubre del 2010 y aún hay muchos usuarios que no han tomados medidas necesarias para parcharla. Al explotar esta vulnerabilidad, criminales podrían de forma remota obtener acceso al sistema, información confidencial y a la vez pasar sin ser detectados por los propios mecanismos de seguridad del sistema operativo.

En el tercer lugar se encuentra la vulnerabilidad 43262 que corresponde a Sun Java y que permite que criminales comprometan el sistema traspasando la seguridad, generen ataques de denegación de servicio hacia la máquina comprometida y además brinden acceso no autorizado a la información confidencial del usuario.

Capas de los ataques

¿Dónde sucede la mayor cantidad de los ataques? ¿Será a través del E-mail, la Web o localmente en el sistema de archivos de la computadora del usuario? El siguiente gráfico lo explica:


Como se puede ver la mayor cantidad de los ataque sucede directamente en la máquina del usuario al utilizar los dispositivos USB o al conectarse a otros recursos. Sin embargo, es interesante que un 43% de todos los incidentes está relacionado con los ataques desde los servidores Web. Los criminales hace mucho entendieron que la Web es el mejor vector de los ataques ya que siempre está disponible y además puede ser utilizada por cualquier usuario desde cualquier parte del mundo. Es decir, el mismo ataque dirigido, digamos a los usuarios de un país, puede ser funcional para los usuarios de otro país ya que ambos tienen acceso a Internet. Para este fin los criminales se han esforzado no solamente creaando sitios Web maliciosos a través del registro de los dominios desechables sino que además por medio del hackeo de los servidores Web legítimos y populares entre usuarios. Los usuarios que aparentemente visitan una página confiable también pueden ser una víctima fácil para los criminales si esta está comprometida y tiene uno de los exploits mencionados anteriormente en la parte de las vulnerabilidades.

Conclusiones

Los dispositivos USB y las páginas Web son los principales métodos de infección que usan los criminales en América Latina. Tanto los usuarios finales de casa, como las empresas deberían pensar en las políticas de manejo seguro de dichos dispositivos. Por ejemplo, una de las mejores prácticas es el deshabilitar el procesamiento del archivo “autorun.inf” en los sistemas operativos Windows. En algunos casos las empresas también podrían optar por una política más definida, como la prohibición total del uso de las memorias de almacenamiento de información en USB mientras que otros dispositivos USB podrían ser permitidos.

Es importante manejar filtrado de contenidos Web, especialmente este consejo es válido para las empresas donde los empleados suelen tener acceso a todo tipo de recursos Web. Las estadísticas muestran que se podría reducir significativamente la cantidad de los ataques exitosos en un ambiente corporativo si es que se manejara un filtrado Web responsable y definido.

Además se tiene que pensar y actuar frente a las vulnerabilidades que aparecen a diario. Es importante que todos los usuarios lo manejen como una práctica permanente. Los sistemas y aplicaciones parchados es una buena práctica para reducir la probabilidad de ser víctima del crimen cibernético.

Malware en América Latina y el Caribe durante el primer trimestre del 2011

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada