News

Mirtos y guayabas: la epidemia, las tendencias, las cifras

Los últimos días Stuxnet ha recibido una amplia cobertura en los medios de comunicación. Se han dicho varias cosas sobre el gusano. “Irán”, “planta nuclear Bushehr” y “arma cibernética” son frases que ya están relacionadas a Stuxnet. Uno de los principales argumentos de la “teoría iraní” es que Irán es el epicentro de la epidemia y tiene la mayor cantidad de ordenadores identificados como infectados.

Pero cualquier cálculo de la cantidad de ordenadores infectados se basa en la información que recopilan las empresas antivirus de los ordenadores de sus clientes. Y estos datos sólo provienen de los países donde viven los clientes de las empresas. Así que si no hay clientes, o si el mercado del producto antivirus en cuestión no está muy expandido, cualquier cálculo tiene un considerable margen de error.

Necesitas recolectar información de varias empresas para tener una idea razonable de la situación. Y también debes conocer cuál es el mercado de la empresa antivirus en el país de tu interés.

Casi todas las fuentes de noticias están de acuerdo en algo: Irán, India e Indonesia tienen la mayor cantidad de infecciones. Algunos ponen a Irán a la cabeza, otros a India. Pero por desgracia lo que olvidaron mencionar es que la epidemia de Stuxnet (como cualquier epidemia) no es estática: el gusano sigue propagándose, y aunque algunos sistemas siguen infectados, muchos de ellos se han limpiado.

Hemos estado siguiendo la evolución de la epidemia. Al mirar la información de los últimos tres meses podemos identificar los cambios que sufrió la red y tratar de definir en qué país se comenzó a propagar el gusano.

Nuestros datos provienen de Kaspersky Security Network, nuestro servicio en la nube. Los datos revelan algunos hechos interesantes, pero debemos recalcar que esta información es sólo de nuestra línea de productos personales, no de nuestros otros productos.

La tabla de abajo muestra una lista de los veinte países más infectados desde inicios de julio (cuando agregamos la detección de Stuxnet a nuestra base de datos) hasta ahora. India, Irán e Indonesia están a la cabeza de la lista. Pero Irán no ocupa el primer lugar, tampoco el segundo.

Como dije antes, estas estadísticas son de un período de tres meses. En realidad, la epidemia está evolucionando de forma distintas en cada país, y cuando se comenzaron a detectar las infecciones las diferencias entre los tres países no estaban tan marcadas.

Como dije antes, estas estadísticas son de un período de tres meses. En realidad, la epidemia está evolucionando de forma distintas en cada país, y cuando se comenzaron a detectar las infecciones las diferencias entre los tres países no estaban tan marcadas.

  • India – 8.565
  • Indonesia – 5.148
  • Irán – 3.062
  • Afganistán – 533
  • Azerbaiyán – 454

Y estos son los cinco países más infectados del 20 al 25 de Septiembre:

  • India – 8.179
  • Indonesia – 3.052
  • Kazajstán – 1.340
  • Rusia – 1.138
  • Irán – 765

La cantidad de sistemas infectados en India e Indonesia disminuyó. Stuxnet comenzó a atacar con más fuerza en Kazajstán y Rusia.

Estos gráficos nos dan una idea de cómo se fue desarrollando la epidemia en los diferentes países:

Como se puede ver, Irán logró bajar su tasa de infección limpiando sus ordenadores infectados. Irán podría dejar de ser uno de los centros de la epidemia si esta tendencia se mantiene. India, al contrario, se mantuvo más o menos en el mismo nivel; es bueno ver que al menos la epidemia no está aumentando en este país. Parece que Indonesia, como Irán, logró evitar que Stuxnet se siga propagando en sus sistemas.

No se puede decir lo mismo de Rusia y Kazajstán. Ambos países parecen ser los más vulnerables por ahora, y la epidemia todavía no ha llegado al clímax. Stuxnet es nuevo en estos países, así que es claro que el gusano no se comenzó a propagar desde ninguno de estos dos territorios.

Este es un gráfico similar al de arriba, que muestra datos de otros países:

La epidemia está creciendo en tres países: Bangladesh, Irak y Siria. Las primeras infecciones en Bangladesh se comenzaron a detectar en Agosto, después de que se descubriera a Stuxnet, y es muy probable que India lo haya infectado. Las epidemias en Irak y Siria indican que el gusano pudo haber llegado desde Irán.

Aquí se compara la cantidad de infecciones de Stuxnet en septiembre, frente a las de julio.

  • India: -5%
  • Indonesia: -41%
  • Iran: -75%
  • Rusia: +308%
  • Kazajstán: +1711%
  • Afganistán:-55%
  • Uzbekistán:-37%
  • Siria: +47%
  • Bangladesh: +370% (comparado con Agosto)
  • Pakistán: +2%
  • Azerbaiyán:-73%
  • Irak: +35%

Por desgracia, debo decir que Stuxnet sólo se detectó después de que había alcanzado la cúspide en Irán e India. Por ahora es muy difícil determinar con exactitud cuándo apareció por primera vez.

Está claro que las empresas antivirus comenzaron a detectar el gusano en aquellos países cuando estaba decayendo. Al ver las estadísticas parece que el gusano se comenzó a expandir tres o cuatro meses antes de julio 2010: Según nuestros datos, Stuxnet habría necesitado este periodo de tiempo para infectar una cantidad tan grande de ordenadores.

Mirtos y guayabas: la epidemia, las tendencias, las cifras

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada