Informe semestral enero-junio 2009

Transcripción

G Data
Informe sobre
software malicioso
Informe semestral enero-junio 2009
Ralf Benzmüller & Werner Klier
G Data Security Labs
Go safe. Go safer. G Data.
G Data Informe enero-junio de 2009 sobre software malicioso
Informe G Data sobre software malicioso
Enero-junio 2009
Ralf Benzmüller & Werner Klier
G Data Security Labs
Copyright © 2009 G Data Software AG
1
Resumen
Cifras y datos
• En el primer semestre de 2009, G Data identificó 663.952 nuevos programas maliciosos.
Esto significa más del doble de los detectados durante el mismo período del año anterior.
En comparación con el segundo semestre de 2008 sólo se obtuvo un ligero incremento del
15%. No obstante, el número de familias activas de programas maliciosos descendió en un
7%.
• Las categorías más frecuentes de programas maliciosos son los troyanos, descargadores y
backdoors. Mientras que los troyanos y descargadores escalaron posiciones, la proporción
de backdoors retrocedió. Los rootkits siguieron consolidándose. Su número se octuplicó con
creces frente al mismo período del año anterior.
• Los programas maliciosos con rutinas de propagación propias tan sólo constituyen un 4,0%
del total de los programas informáticos maliciosos. • Entre los tipos de programa malicioso más activos se encuentran los troyanos, los backdoors
y los ladrones de cuentas de juegos online. Igualmente han aumentado notablemente la familia de gusanos "Autorun". Su número prácticamente se ha quintuplicado en comparación
al primer semestre de 2008 y su parte en el total aumentó hasta alcanzar un 1,6%.
• En el 99,3% de los casos, todos los programas maliciosos del segundo semestre funcionaron
en el entorno de Windows. La concentración en el sistema operativo líder en el mercado
continúa.
• El código malicioso para plataformas móviles ha conseguido entrar esta vez en el Top 5
de las plataformas. Pero, con tan solo 106 elementos dañinos, su proporción sigue siendo
mínima.
• También los usuarios de MacOS X reciben ataques de programas maliciosos. El número
de nuevos programas maliciosos para MacOSX es de 15. En abril se descubrió una primera
botnet procedente de los ordenadores Apple.
Eventos y tendencias
• Las redes sociales se utilizan cada vez con más frecuencia para la distribución de spam y
programas maliciosos.
• Conficker se convierte en el eterno caballo de batalla. Infecta varios millones de PC y el 1 de
abril da que hablar por su nueva rutina de actualización. A partir de ahí desaparece.
Pronósticos
• Internet alberga cada vez un mayor número de códigos maliciosos. Los métodos de infección se hacen cada vez más sofisticados.
• La ola de programas maliciosos seguirá creciendo en los próximos meses, aunque en menor
medida y a través de un menor número de familias de programas maliciosos.
• Los usuarios de MacOSX y Smartphones pasarán a estar con mayor frecuencia en la mira de
los autores de programas maliciosos.
2
Contenido
Resumen.......................................................................................................................................................................2
Cifras y datos...............................................................................................................................................................2
Eventos y tendencias................................................................................................................................................2
Pronósticos...................................................................................................................................................................2
Programas maliciosos: Cifras y datos......................................................................................4
La ola de programas maliciosos crece, aunque con menor intensidad..................................................4
Categorías de malware............................................................................................................................................4
Familias..........................................................................................................................................................................6
Plataformas..................................................................................................................................................................8
Perspectiva 2009......................................................................................................................9
Pronósticos...................................................................................................................................................................9
Eventos y tendencias durante el primer semestre de 2009................................................10
Enero de 2009.......................................................................................................................................................... 10
Febrero de 2009.......................................................................................................................................................11
Marzo de 2009..........................................................................................................................................................13
Abril de 2009.............................................................................................................................................................14
Mayo de 2009............................................................................................................................................................15
Junio de 2009............................................................................................................................................................15
3
Programas maliciosos: Cifras y datos
La ola de programas maliciosos crece, aunque con menor intensidad
En los últimos años el número de nuevos programas maliciosos ha ido creciendo de forma
constante. Cada día se batían nuevos récords de tasas de crecimiento. También en el primer
semestre de 2009 el número de programas informáticos maliciosos vuelve a aumentar. En
comparación con el mismo período del año anterior, el número se ha duplicado con creces
hasta los 663.952 programas maliciosos. Aunque, como ya anunciaba el último informe de G
Data sobre programas maliciosos, el ritmo de crecimiento ha remitido. En comparación con el
segundo semestre de 2008, el número de programas maliciosos ha aumentado en tan sólo un
15%.
㄀㘀　㄀㐀　㄀㈀　㄀　㠀　㘀　㐀　㈀　䨀愀渀
01
02
䘀攀戀
03
䴀爀稀
04
䄀瀀爀椀氀
05
䴀愀椀
06
䨀甀渀椀
07
䨀甀氀椀
08
䄀甀最
09
匀攀瀀
10
伀欀琀
11
一漀瘀
12
䐀攀稀
Diagrama 1: Número de nuevos programas maliciosos por mes durante 2008 (gris) y 2009 (rojo).
Categorías de malware
Un vistazo a los cambios en cada una de las categorías de programas maliciosos puede aportarnos una explicación de este retroceso. Mientras que los backdoors, adware y programas
espía permanecen por debajo de la media, la cantidad de rootkits y troyanos sobrepasa el
crecimiento medio considerablemente. También el número de descargadores y droppers
sobrepasa la media.
Los backdoors se necesitan para integrar ordenadores zombi en una red de bots y poder asumir el control remoto. El retroceso en este área es un indicio de que la ampliación de las botnets ha perdido importancia. El gran aumento de rootkits es señal de que cada vez un mayor
número de programas maliciosos (también backdoors) permanecen ocultos a los antivirus y a
las miradas curiosas. A todas luces parece que la capacidad disponible ya basta para cubrir la
demanda de actividades botnet, como el envío de correo basura y los ataques de sobrecarga.
También el mercado de adware parece haberse estancado en un alto nivel. Posiblemente
tienen que ver en esto las campañas de sensibilización. Aunque también ha contribuido a ello
el parón causado por la crisis, con unos presupuestos publicitarios limitados, lo que hace que
4
también la economía del crimen electrónico se vea obligada a actuar en menor escala.
La cantidad de spyware ha descendido ligeramente. Si observamos el fenómeno más de cerca
podremos detectar que los "keylogger" o registradores de órdenes de teclado, se han duplicado, mientras que los troyanos bancarios y los ladrones de datos de contraseñas o juegos online
han retrocedido en un 30%. El empleo de medidas de seguridad más estrictas por los bancos y
las empresas de juegos online ya no permiten soslayar la protección por medios sencillos. En el
área del robo de datos, la tendencia se inclina hacia programas maliciosos cada vez más universales y potentes.
Categoría
Caballos
troyanos
Puertas
traseras
Descargadores/Droppers
Spyware o
programas
espía
Adware
Gusanos
Herramientas
Rootkits
Exploits
Dialer
Virus
Otros
Total
#2009
H1
Propor- # 2008 ProporDif.
# 2008 ProporDif.
ción
H2
ción 2008H1
H1
ción 2008H1
2008H2
2009H1
221.610
33,6% 155.167
26,9%
143% 52.087
16,4%
425%
104.224
15,7% 125.086
21,7%
83%
75.027
23,6%
139%
147.942
22,1%
115.358
20,0%
128%
64.482
20,3%
229%
97.011
14,6%
96.081
16,7%
101%
58.872
18,5%
165%
5,3% 40.680
4,0% 17.504
1,6%
7.727
1,9%
6.959
0,3%
1.841
0,2%
1013
0,0%
167
0,7%
8.419
100,0% 576.002
7,1%
3,0%
1,3%
1,2%
0,3%
0,2%
0,0%
1,5%
100,0%
86%
152%
148%
176%
124%
114%
86%
55%
115%
32.068
10.227
12.203
1.425
1.613
4.760
327
5.170
318248
10,1%
3,2%
3,8%
0,4%
0,5%
1,5%
0,1%
1,6%
100,0%
109%
260%
94%
858%
141%
24%
44%
89%
209%
34.813
26.542
11.413
12.229
2.279
1.153
143
4.593
663.952
Tabla 1: Cantidad y porcentaje de nuevas categorías de programas maliciosos en el primer semestre de 2008 y 2009
incluyendo cambios
La tabla 1 indica asimismo que la cantidad de programas dialer ha descendido hasta apenas un
cuarto del volumen del año anterior. El modelo de negocio del dialer se está extinguiendo, por
lo que se ve. También el número de virus clásicos (p.ej. infectadores de archivos) ha decrecido
notablemente en comparación con el mismo período del año anterior. Esta vía de expansión
constituye más bien la excepción. Los gusanos, entre los que se encuentra también el gran
grupo de infectadores Autorun, vio aumentar su porcentaje hasta un 4.0%. Su número se ha
multiplicado por 2,6 frente al primer semestre de 2008 y por 1,5 frente al segundo semestre de
2008.
5
Familias
Dependiendo de las funciones y de las características del código que utilizan, los programas
informáticos maliciosos se subdividen en familias. Desde hace años, el número de familias de
virus ha descendido. En el primer semestre de 2008 había aún 2395 y en el segundo 2094. En
el primer semestre de 2009 se contaron 1948 distintos representantes de familias de virus. En
otras palabras, el nuevo aumento de programas maliciosos se basa en un menor número de
familias. Este dato indica una concentración del mercado.
# 2009 H1 Familia de
virus
1
2
3
4
5
6
7
8
9
10
34.829
26.879
18.576
16.719
16.675
13.889
13.104
11.106
10.322
10.312
Monder
Hupigon
Genome
OnlineGames
Buzus
Fraudload
Bifrose
Inject
Poison
Magania
virus
45.407
35.361
20.708
18.718
15.937
13.133
13.104
12.805
11.530
10.412
Hupigon
OnlineGames
Monder
MonderB
Cinmus
Buzus
Magania
PcClient
Zlob
Virtumonde
virus
32.383
19.415
13.922
11.933
7.370
7.151
6.779
6.247
6.194
5.433
Hupigon
OnLineGames
Virtumonde
Magania
FenomenGame
Buzus
Zlob
Cinmus
Banload
Bifrose
Tabla 2: Top 10 de las familias de virus más activas durante el primer semestre de 2009 y 2008
Mientras algunas familias aportan solo unas pocas variantes, otras son especialmente prolíficas.
Algunas de ellas llevan en el Top 10 desde hace años. Entre ellas se encuentran los backdoor de
la familia Hupigon y Bifrose, que han perdido el primer puesto, los ladrones de datos de juegos
online de las familias OnlineGames y Magania, así como los troyanos de la familia Buzus. Los
nuevos líderes son los troyanos adware/scareware de Monder, que van pisando los talones de
Virtumonde. Junto con el recién incorporado Fraudload indican la popularidad que ha ganado
el scareware entre los ciberdelincuentes, con soluciones imitadas de los antivirus. También
ingresan recientemente en el Top 10 las familias Genome, Poison e Inject.
6
Primer puesto: Monder
Las innumerables variantes Monder son troyanos que
manipulan la configuración de seguridad del sistema
infectado, haciéndolo así susceptible de ser atacado
posteriormente. Además, puede tener lugar una
infección de adware, que muestra molestas ventanas
publicitarias en el sistema infectado, en particular
con anuncios de software de seguridad falsificado.
Se sugiere a la víctima que el sistema está siendo
examinado en busca de infecciones. Para eliminar
estas supuestas infecciones, se urge a la víctima a que
adquiera la "versión completa" y a que pague mediante tarjeta de crédito (!!). Algunas variantes descargan
otros paquetes de software malicioso y envían al
atacante información sobre las páginas visitadas por la
víctima, sin informar de ello al usuario.
Segundo puesto: Hupigon
La puerta trasera Hupigon permite al atacante, entre
otras cosas, controlar el ordenador de forma remota,
obtener la información ingresada a través del teclado,
acceder al sistema de archivos y encender la cámara
web.
Tercer puesto: Genome
Los troyanos de la familia Genome aúnan funciones tales como descargador, keylogger o cifrado de archivos.
Cuarto puesto: Buzus
Los troyanos de la familia Buzus examinan los sistemas
infectados de sus víctimas en busca de datos personales (tarjetas de crédito, banca online, accesos a correo
electrónico y a servidores FTP, etc.), que son enviados
al atacante. También se intenta desactivar la configuración de seguridad del ordenador, con lo que se hace el
sistema de la víctima aún más vulnerable.
Quinto puesto: OnlineGames
Los miembros de la familia OnlineGames roban
principalmente los datos de acceso a juegos online.
Para ello, algunos archivos y entradas de registro son
registrados y/o se instala un keylogger. En el último
caso no sólo se roban los datos de juegos. Los ataques
apuntan principalmente a los juegos populares en
Asia.
Sexto puesto: Fraudload
La familia Fraudload abarca numerosas variantes de
los llamados programas scareware, que se presentan
al usuario bajo la apariencia software de seguridad o
de herramienta del sistema. Se sugiere a la víctima que
el sistema está siendo examinado en busca de infecciones. Para eliminar estas supuestas infecciones se le
recomienda urgentemente a la víctima que adquiera
la "versión completa" y para ello revele la información
de su tarjeta de crédito en una página web especial.
La infección tiene lugar generalmente a través de agujeros de seguridad no cerrados del sistema operativo
o a través de software de aplicación vulnerable de la
víctima. No obstante, también existen métodos de
ataque en los que la víctima es atraída a páginas en las
que supuestamente se muestran vídeos de contenido
erótico o de noticias de actualidad. Para poder visualizar estos supuestos vídeos, la víctima debe instalar
un códec especial de vídeo en el que viene oculto el
software malicioso.
Séptimo puesto: Bifrose
El backdoor Bifrose permite a los atacantes el acceso a
ordenadores infectados y se conecta a un servidor IRC.
Desde allí, el programa malicioso ejecuta las órdenes
del atacante.
Octavo puesto: Poison
El backdoor Poison permite a los atacantes el acceso
remoto no autorizado al sistema de la víctima, que
posteriormente puede ser utilizado de forma indebida,
p.ej. para ataques de sobrecarga distribuidos (DDoS).
Noveno puesto: Magania
Los troyanos de la familia china Magania están
especializados en el robo de datos de cuentas de
juego del experto en software taiwanés Gamania.
Generalmente, los ejemplares de Magania se distribuyen por correo electrónico que integra un archivo
RAR incrustado y varias veces comprimido. Al ejecutar
el software malicioso se muestra primeramente una
imagen a modo de distracción, mientras que en segundo plano se guardan otros archivos en el sistema.
Además, Magania penetra en el Explorador de Internet
vía DLL, con lo que puede obtener información de las
páginas visitadas en Internet.
Décimo puesto: Inject
La familia Inject abarca una gran cantidad de troyanos
que se incrustan en procesos en ejecución y toman así
el control de ese proceso determinado. Esto permite
al atacante manipular los procesos incautados como
desee, con objetivos maliciosos.
7
La familia de gusanos más activa es "Autorun“, con 9.689 variantes y un porcentaje del 1,6%.
Los representantes de esa familia utilizan el mecanismo que ejecuta archivos automáticamente
al insertar unidades de CD/DVD o al conectar soportes de datos USB. Para ello se copia en el
soporte de datos y genera un archivo adecuado llamado autorun.inf. A la vista de la amplia
propagación de este programa malicioso conviene desactivar el mecanismo Autorun de Windows. Para que esto funcione realmente, Microsoft ha creado su propio "patch" o parche.
Los exploits más comunes aprovechaban la brecha de seguridad WMF y puntos débiles en
documentos PDF. La cantidad de archivos PDF maliciosos ha aumentado notablemente en los
últimos meses. En este sentido no sólo se utilizan las brechas de seguridad. Los autores de programas maliciosos aprovechan con fruición la posibilidad de ejecutar en los PDF sus productos
en código JavaScript.
Plataformas
También en el primer semestre de 2009 los autores de programas maliciosos se concentran
en ordenadores con SO Windows como primera diana de sus ataques. Con un 99,3% del total,
vuelve a aumentar la proporción de programas maliciosos para Windows. Es muy raro encontrar software malicioso para otros sistemas operativos. En los sistemas basados en Unix aparecen 66 programas maliciosos (en comparación con 16 en el segundo semestre de 2009) y para
el sistema operativo Apple OSX se encontraron 15 nuevos programas dañinos. En el segundo
semestre de 2008 eran 6. Incluso al observarse una tendencia en aumento de los programas
maliciosos para otros sistemas operativos, esta cantidad, en comparación con la oleada de
programas maliciosos para Windows, es insignificante.
1
2
3
4
5
Plataforma #2009 H1
Win32
659.009
WebScripts
3.301
Scripts
924
MSIL
365
Móvil
106
% 2009 H1 # 2008 H2 % 2008 H2 #2008 H1
99,3%
571.568
99,2%
312.656
0,5%
2.961
0,5%
3.849
0,1%
1.062
0,2%
1.155
0,1%
318
0,1%
252
0,0%
70
0,0%
41
Proporción
98,2%
1,4%
0,3%
0,1%
0,0%
Tabla 3: La 5 plataformas principales durante 2008 y el primer semestre de 2009. Los WebScripts agrupan los programas maliciosos basados en JavaScript, HTML, Flash/Shockwave, PHP o ASP y generalmente puntos débiles a través de
navegador de Internet. Los "scripts" son scripts de tipo batch o shell o programas escritos en los lenguajes de programación script VBS, Perl, Python o Ruby. MSIL es un programa malicioso escrito en el código temporal de los programas
NET. El concepto "móvil" abarca los programas maliciosos para J2ME, Symbian y Windows CE.
La cantidad de nuevos programas maliciosos para smartphones y ordenadores móviles ha
aumentado aprox. la mitad y los elementos maliciosos para terminales móviles han vuelto a
conseguir encontrarse en el Top 5. En total han aparecido 106 nuevos elementos maliciosos.
Aprox. 90 de estos no tienen su propia rutina de propagación y son utilizados para el envío de
SMS a clientes telefónicos que, en su mayoría, residen en Rusia y China. Sólo la familia Yxe se
propaga automáticamente vía SMS con enlace a una página web. El archivo que se ofrece allí
para su descarga viene firmado por Symbian. Así, la actuación del usuario (que sigue siendo
imprescindible) se reduce a un clic. 8
Perspectiva 2009
Los programas maliciosos seguirán constituyendo en los próximos meses una fuente de elevados ingresos. La economía cibercriminal está firmemente afianzada y los modelos de negocio
acreditados para spam, spyware y adware siguen llenando las arcas de los creadores, los propagadores y los usuarios de programas maliciosos. Los éxitos ocasionales de las autoridades de
control no serán capaces de cambiar esta situación. Los usuarios de Windows seguirán estando
en la mira de los ciberdelincuentes.
La oleada de programas maliciosos sigue creciendo. Pero también es previsible que un número
cada vez menor de familias sea responsable de este aumento. Las tasas de crecimiento no
seguirán un desarrollo tan abrupto como el de los últimos años.
Vista la profesionalidad de la economía en la sombra, no es sorprendente que las brechas de
seguridad en el sistema operativo y en conocidas aplicaciones ya sean utilizadas por programas maliciosos a los pocos días de su publicación. En un intervalo muy breve estarán disponibles para usuarios inexpertos unas herramientas de fácil operación para crear programas maliciosos. El elemento más débil de la cadena es, actualmente, el navegador y sus componentes.
Aquí se encuentra y se utiliza la mayoría de los agujeros de seguridad. Los que no mantengan
su ordenador actualizado ofrecerán un amplio frente inerme a los ataques de los programas
maliciosos.
No obstante, también se sigue experimentando en otras plataformas. Aumentará el número de
programas maliciosos para Appel, Unix y los ordenadores portátiles. Pero no se espera un uso
desmesurado de estos programas.
Como muchas puertas de entrada de programas maliciosos están protegidas mediante tecnologías de seguridad, los atacantes prefieren actuar en los lugares más desprotegidos. Las
páginas web con sus numerosas aplicaciones ofrecen en la actualidad las mejores perspectivas
de éxito. Por tanto, es de esperar que este área sea utilizada también durante los próximos
meses con escenarios de ataque cada vez más novedosos y sofisticados. Aquí podrían utilizarse
en mayor medida medios subestimados hasta el momento, como flash o PDF. También aumentará seguramente el abanico de trucos que los estafadores usan para engañar a los usuarios de Internet al visitar una página web o ejecutar archivos. Sobre todo en las redes sociales
prevemos nuevas maniobras de engaño. Twitter ofrece aquí en la actualidad la mayoría de las
posibilidades.
Pronósticos
Categoría
Caballos troyanos
Backdoors
Descargadores/Droppers
Spyware o programas espía
Adware
Virus/gusanos
Herramientas
Tendencia
Categoría
Rootkits
Exploits
Win32
WebScripts
Scripts
MSIL
Móvil
Tendencia
9
Eventos y tendencias durante el
primer semestre de 2009
Acontinuaciónexponemoscronológicamentelosprincipalesacontecimientosentornoalos
programasmaliciosos.DestacasobretodoConficker,queenlosprimerosmesesdelañogozó
deunagrannotoriedad.Tambiénsonnotableslasnumerosasincidenciasenlasredessociales
máspopularesentrelosusuarios,comoTwitter,Linkedln,MySpaceyFacebook.Losdiseñadoresdeprogramasmaliciosossepercatanalinstantedeestastendenciasyaprovechanlasoportunidades.Apartedelosincidentesaislados,tambiénotrastendenciasindicanquelasredes
socialesgananatractivo.Antes,elfraudeinformático(phishing)prácticamentesededicabaen
exclusividadabancosyaeBay,peroenelúltimosemestreGoogleylasredessocialesFacebook,SulakeyMySpacehanaccedidodeformaconstantealalistadelas10primerasdianasdel
phishing.Desdehacealgúntiempo,lasredessocialessirvendefuentedeinformaciónalos
cibercriminalesparaprepararsusataquesespecíficosyspampersonalizado.Lasredessociales
sonunmediocadavezmáspopular,tambiénparaloscreadoresdeprogramasmaliciosos.
Estehechoesavalado,enparticular,porlacreacióndelgusanokoobface.Estegusano,como
sunombreindica,estabaconcentradocomoplataformadedistribuciónparaFacebookypoco
mástarde,setrasladóaMySpacey,deestemodo,lalistasehaampliadoenlosúltimosaños
alasredessocialescomohi5.com,friendster.com,myyearbook.com,bebo.com,tagged.com,
netlog.com,fubar.comylivejournal.com.Losenlacesconfiguradosallíremitenapáginasweb
enlasque,segúnunarutinadeengañosobradamenteconocida,puedenprobarselasdemos
deprogramas"antivirusdepega"ola"descargadecodec/flash".Koobface,noobstante,se
expandetambiénentérminoscuantitativos,comoindicalasiguientetabla.Enjunioseha
multiplicadopor10elnúmerodevariantes.
Mes
Enero 09
# Variantes de Koobface
18
Feb 09
14
Mar 09
23
Abr 09
50
May 09
56
Jun 09
541
Tabla 4: Número de variantes de koobface durante el primer semestre de 2009
Enlospróximosmesescontamosconqueelnúmerodeprogramasmaliciososenredessocialesvaacrecer.Conelaumentodeusuariosaumentatambiénelatractivoparalosdifusoresde
programas maliciosos.
Enero de 2009
05.01. LosusuariosdelmicroblogTwitterson
atraídosmediantemensajescortosespecíficosaunapáginaderegistrofraudulenta
deeseserviciopararobarlesallílosdatos
deaccesoparafuturascampañasdespam.
06.01. Twitteradvierte:"Numerosascuentas
hackeadas.Situaciónestable”.Losafectadoshansido,entreotros,lascuentasde
BritneySpearsyBarackObama.Enalgunoscasos,seenviaronmensajespicantes
ennombredelasvíctimas.
10
07.01. En la página de red social LinkedIn se colgaron falsos perfiles de famosos. Estos
perfiles contenían enlaces que remitían a antivirus fraudulentos o a una versión de
Windows Media Player infectada con un troyano. Personajes famosos víctimas de estos
actos: Victoria Beckham, Beyoncé Knowles, Salma Hayek y un largo etcetera.
08.01. En el Gobierno Federal del Land Austriaco de Carintia 3000 ordenadores fueron infectados con el virus Conficker. Esto se debió a que la actualización de seguridad
publicada por Microsoft en octubre de 2008, creada con el fin de cerrar una brecha de
seguridad utilizada por Conficker, no se había ejecutado hasta el momento.
12.01. Conficker ataca en Carintia una vez más, esta vez en los hospitales de la Sociedad de
Sanidad Pública de Carintia, KABEG. De nuevo hay unos 3000 ordenadores afectados.
14.01. Las estimaciones parten de 2,5 millones de infecciones con Conficker. Por primera vez
se conoce que Conficker genera permanentemente nombres de dominio mediante un
algoritmo especial, con los que se establece contacto conforme al principio aleatorio.
El objetivo: Los atacantes han registrado previamente muchos de los dominios aleatorios y pueden utilizarlos para cargar posteriormente otro código malicioso o para
proporcionar más instrucciones a los ordenadores infectados.
21.01. La epidemia Conficker sigue su ofensiva contra todos: Una gran parte de las autoridades militares británicas resulta afectada.
23.01. Una copia con troyano incluido del software de diseño y presentación de Apple,
iWork 09, circula por la red BitTorrent. Se calcula que unos 20.000 usuarios habrán
descargado la copia distribuida desde comienzos de mes.
25.01. La plataforma de búsqueda de empleo monster.com declara haber sido víctima de
un robo de datos. Los "ataques no autorizados" a la base de datos de la empresa han
tenido como consecuencia el robo de los datos de acceso, los nombres, los números
de teléfono y las direcciones de correo electrónico, así como algunos datos demográficos de los usuarios.
Febrero de 2009
01.02. Un agujero de seguridad permite poner fuera de servicio el control de cuentas del
usuario (UAC en inglés) de la versión beta de Windows 7 mediante un sencillo script.
De este modo, los atacantes están en disposición de insertar otros programas de software malicioso en el sistema operativo sin que nadie se percate de ello.
02.02. Los atacantes manipulan la presencia en Internet del periódico Hamburger Abendblatt para infectar con software malicioso a los lectores de las noticias online.
04.02. Una página de registro fraudulenta de la red social wer-kennt-wen.de perteneciente
a la cadena alemana RTL captura los datos de acceso de sus usuarios.
08.02. Mediante un ataque Denial-of-Service distribuido a destinatarios específicos se paralizan temporalmente diversas páginas web de seguridad, como Metasploit, Milw0rm o
Packetstorm.
10.02. Tan sólo dos días tras el primer ataque, la presencia en Internet del proyecto Metasploit vuelve a situarse en el punto de mira de un ataque de tipo DDoS. Los atacantes
varían la estrategia ofensiva varias veces.
11
11.02. AtravésdeunagujerodeseguridadenelSistemadeAdministracióndeContenidos
Typo 3algunosdíasantessemanipulanvariaspáginaswebalemanasqueaúnno
habíanejecutadolaactualizacióndeseguridadcorrespondiente.Resultaronafectadas,
porejemplo,laspáginaswebdelclubdefútbolFC Schalke 04,enlasqueseinformasobreeldespidodeKevinKuranyiolapáginawebdelpolíticoalemánWolfgang
Schäubleenlaquesecolocaunenlacerelativoalarchivadodedatosreservados.
12.02. Microsoft publica una recompensade250.000dólaresporlacapturaypenalización
del autor del gusano Conficker.Almismotiempo,elfabricantedesoftwareanunciala
colaboraciónestrechaconelICANNylasempresasdelosprincipalesservidoresDNS
paraatajarestainfecciónenplenafasedeexpansión.
14.02. VarioscientosdeordenadoresdelMinisteriodeDefensaalemáncaenpresadelConficker.
17.02. DebidoaunaconfiguraciónerróneadelrouterenunproveedordeInternetcheco
seponegravementeenpeligrolaestabilidaddelatransferenciadedatosenalgunas
partes de la Internet mundial.
23.02. LosinvestigadoresdeprogramasmaliciososanalizanlasvariantesByB++delgusano
Confickerydeterminanqueéstas,porsuestructuramodular,soncapacesdeactuar
conmuchamayorflexibilidadquelavarianteAoriginal.
25.02. Conayudadebannersflashpreparados,losatacantesdistribuyenatravésdelapáginawebdelarevistaonlineeWeekydeotraspáginasdeInternetdelaredZiﬀ-Davis,
documentosPDFqueinstalanunsoftwareantivirusfraudulentoenlosordenadoresde
lasvíctimas.
12
Marzo de 2009
01.03. LosinvestigadoresdeprogramasmaliciososdescifranelalgoritmoutilizadoporConfickerparagenerarnombresdedominiodeunservidordecontrol.Estegeneratambiénnombresyautilizados.Duranteelmesdemarzo,losdominioslegítimosjogli.com
(buscadorespecializadoenmúsica),wnsux.com(compañíaaéreaSouthwest-Airlines),
qhflh.com(reddemujereschina)ypraat.org(análisisdeaudio)sonatacadosmediante
intentosdeconexióndesdeordenadoresConficker.
04.03. UnequipodeespecialistasdelLKABaden-Württembergparalizalasactividadesde
laplataformadeventailegalcodesoft.cc,enlaqueseponenalaventatroyanose
informaciónilegalsobreelrobodedatosylafalsificacióndetarjetasdecrédito.
09.03. Confickerutilizaunnuevoalgoritmo,queenlugarde250dominios,ahoracalcula
50.000dominiosaldía.Además,enlosordenadoresinfectadosfinalizanprocesosque
contienen determinadas cadenas de caracteres relacionadas con las herramientas de
análisisespecializadasparacombatirelgusano.Esteelementomaliciososedefiende
asíactivamentecontralasmedidasparaatajarlaepidemia.
12.03. LasinvestigacionesrealizadasporlaBBCbritánicapermitenlatomaelcontroldeuna
botnetqueposeeaprox.
22.000 ordenadores. Como
surgencríticasalaBBCaraíz
deestesuceso,éstadeclara
quelasinvestigacionesvan
eninteréspúblicoy,porlo
tanto,cumplenlasDirectivas
de las Autoridades de VigilanciadeMediosbritánicas
OFCOM.Lacuestióndesi
para tomar la botnet fue
necesario pagar un rescate
permanece sin respuesta por
13
parte de la BBC.
17.03. Utilizando el dominio verosímil dhl-packstation.info, los criminales de Internet remiten
a los usuarios de Packstation, durante una campaña de phishing, a una página web
de registro fraudulenta, para robarles sus datos de acceso.
23.03. Los router DSL del tipo Netcomm NB5 son manipulables sin contraseña a través de la
interfaz de Internet y al acceso SSH, debido a su firmware anticuado y constituyen una
botnet llamada Psybot, cuyo tamaño se estima de 80.000 a 100.000 routers infectados.
30.03. Según información de expertos, Conficker comenzará el 1 de abril a buscar actualizaciones de los innumerables dominios generados por su algoritmo. Nadie puede afirmar en ese momento lo que vaya a pasar durante la toma de contacto.
31.03. El gran interés mediático en Conficker pone en movimiento a otros oportunistas, que,
con métodos manipuladores, posicionan en las listas de aciertos del buscador Google
determinadas páginas web con supuestas herramientas de desinfección. Estas herramientas presentadas como útiles y valiosas, son, en realidad, puro scareware, es decir,
software antivirus falso, que sugiere a la víctima que su ordenador está infectado para,
posteriormente, sustraerle la información de su tarjeta de crédito.
Abril de 2009
01.04. Los intentos de actualización esperados de Conficker caen en saco roto. Parece que
los sistemas infectados establecen realmente el contacto esperado con determinados
dominios, pero, en ese momento, aún no hay allí actualizaciones disponibles.
09.04. Contra lo que se esperaba en un principio,Conficker no carga las actualizaciones a través de los nombres de dominio generados por un algoritmo. En lugar de ello, recurre a
un mecanismo alternativo P2P y se comunica directamente con otros sistemas infectados. La nueva variante bloquea el acceso a determinadas páginas web de empresas de
antivirus, para dificultar el acceso a herramientas de eliminación especializadas.
12.04. Conficker carga el scareware "SpywareProtect2009“ desde un servidor ucraniano,
que lanza advertencias de virus falsos supuestamente existentes en el ordenador de la
víctima. Para eliminar los programas maliciosos de los que se advierte (e inexistentes,
en realidad) el usuario infectado debe abonar 49,95 dólares USA.
18.04. Los expertos en seguridad descubren indicios de una primera red de bots compuesta de ordenadores Apple. Por lo que parece, existe una relación entre las versiones
infectadas por troyanos del iWork 09 de Apple, aparecidas a comienzos de año en la
plataforma de intercambio BitTorent. Además se afirma que circula igualmente una
versión con troyano incluido de Adobe Photoshop CS4.
22.04. Se detecta la mayor botnet jamás descubierta en el mundo. Contiene casi dos
millones de PCs zombi infectados. Se sospecha que es operada por una banda de tan
sólo seis personas que gestionan en Ucrania el correspondiente servidor Command &
Control.
23.04. En la Internet rusa aparece un troyano que bloquea el acceso del usuario a su PC con
Windows y le exige el pago de un rescate para desbloquearlo. Los usuarios afectados
deben enviar un SMS a un número privado sumamente caro y reciben a continuación
un código de desbloqueo.
14
Mayo de 2009
07.05. UnestudiodelamultinacionaldetelecomunicacionesBTdescubrequelosdiscos
durosdeocasión,amenudonoseborrantotalmenteantesdesuventaatercerosy
que,aveces,puedencontenerdatossumamenteconfidenciales.Alrealizarunaprueba
decomprade300discosdurosusadosseencontró,entreotrosdatos,información
confidencialsobrepruebasdeunsistemadedefensadecohetesnorteamericano,así
como fotocalco azul de la empresa de equipamiento norteamericana Lockheed Martin.
08.05. SegúnuninformedelaautoridaddevigilanciaaéreadelosEstadosUnidos,laFAA,
enlosúltimosañoshaocurridovariasveceslapenetracióndehackers en sistemas
de vigilancia aérea.Estaplagaabarcadesdeelaccesoilegalacasi50.000registros
de datos personales de empleados de la FAA hasta la posibilidad de desconectar la
alimentacióneléctricadeimportantesservidores.
09.05. PaquetesdeinstalaciónfalsosdeunasupuestaversióndeWindows 7 contienen un
troyanoqueseactivadurantelaconfiguración.
24.05. LaPolicía Criminal Alemanaadviertedelenvíodecorreoselectrónicosfalsificadosen
su nombre que requieren al destinatario el pago de una multa debido a una supuesta
denunciapolicialpordescargailegaldepelículas,softwareyarchivosMP3.
30.05. MedianteuninformedelarevistaInformationWeekseconocequeactivistasturcos
hancapturadovarios servidores de Internet del Ejército de los Estados Unidos.
Losaccesosalaspáginaswebencuestiónsedesviabanaotraspáginaswebenlasque
seencontrabanconsignaspolíticas.
Junio de 2009
03.06. Másdediezmilpáginasweblegítimassonvíctimasdeunataque de hackers en
masa.Losvisitantesdelaspáginaswebmanipuladassonreenviadosaunservidor
ucranianoquedistribuyeexploitsparaInternetExplorer,FirefoxyQuicktime.
15
05.06. El proveedor de servicios de Internet californiano Pricewert LLC, que también actúa
bajo los alias de 3FN y APS Telecom es retirado de la red por presiones de las autoridades de vigilancia comercial FTC. Además de alojar servidores de tipo Command
& Control para controlar más de 4500 programas espía, la empresa reclutaba presuntamente de forma activa a criminales y obstruía de forma selectiva la prosecución de
contenidos ilegales. A diferencia del importante cierre de McColo en noviembre de
2008, esta campaña sólo tendrá una repercusión mínima en el envío de spam y programas maliciosos.
09.06. Unos desconocidos se infiltran en los sistemas del servidor web británico VAserv y
manipulan o borran datos de más de 100.000 páginas web alojadas allí.
17.06. Aprox. 2,2 millones de URL del Servicio de Abreviaturas de URL cli.gs son manipuladas
y reenviadas a otro destino.
24.06. El pentágono crea un comando de ciberguerra por orden del Ministro de Defensa
de los Estados Unidos, capaz de hacer frente a ofensivas bélicas contra el entorno de
seguridad global.
25.06. La Fiscalía de Hannover abre sumario a la empresa que gestiona la página web megadownloads.net por fraude en masa a usuarios informáticos y congela durante el
proceso de investigación, entre otros, cuentas de empresa por valor de casi un millón
de euros. Según estimaciones de agencias del consumidor, al mes se estafaba a casi
20.000 usuarios mediante abonos fraudulentos.
16
Go safe. Go safer. G Data.

Informe semestral enero-junio 2009

Transcripción

Documentos relacionados

Informe General de Amenazas

recibido - saywa.org