G Data Informe sobre malware Informe semestral Enero – junio 2011

Transcripción

G Data
Informe sobre malware
Informe semestral
Enero – junio 2011
MalwareReport_1-2011
Ralf Benzmüller & Sabrina Berkenkopf
G Data SecurityLabs
Seguro. Más seguro. G Data.
Informe sobre malware 1/2011 de G Data
Contenido
Resumen .......................................................................................................2
Programas maliciosos: cifras y datos ..................................................3
Continúa el crecimiento .............................................................................................................................................3
Categorías de malware ...............................................................................................................................................3
Familias de programas maliciosos..........................................................................................................................4
Plataformas .....................................................................................................................................................................7
Tendencias 2011............................................................................................................................................................8
Malware móvil.............................................................................................9
Principales hitos durante el primer semestre de 2011......... .....11
Enero de 2011 ............................................................................................................................................................. 11
Febrero de 2011 ......................................................................................................................................................... 12
Marzo de 2011............................................................................................................................................................. 13
Abril de 2011................................................................................................................................................................ 14
Mayo de 2011.............................................................................................................................................................. 15
Junio de 2011 .............................................................................................................................................................. 16
Copyright © 2011 G Data Software AG
1
Resumen





Durante el primer semestre de 2011 se han identificado 1.245.403 programas informáticos
maliciosos. Esto significa un 15,7% más que en el semestre anterior. La cantidad media diaria de
programas dañinos aumenta a 6.881.
En las categorías de malware se registra un aumento de troyanos y de adware superior a la
media. Por el contrario, el número de descargadores y backdoors ha retrocedido ligeramente.
Parece ser que la utilización de los ordenadores ya infectados es más importante que el
reclutamiento de nuevos bots.
En el primer semestre de 2011 había un total de 2.670 familias de malware en activo.
La tasa de malware para Windows aumenta al 99,6%. Es cierto que los archivos de programa
más tradicionales de Windows pierden un porcentaje del 0,3%, pero la pérdida se compensa
con el crecimiento de programas .NET.
Los programas dañinos activos en páginas web y el malware para dispositivos móviles
muestran una tendencia alcista.
Tendencias


El hacktivismo como forma de expresar opiniones políticas gana cada vez más seguidores.
El malware para terminales móviles es la nueva moda. La cantidad de programas nuevos
maliciosos aumenta con rapidez.
Principales hitos


Gracias a la estrecha cooperación entre Microsofts Digital Crimes Unit y las autoridades
policiales internacionales, este año se ha podido paralizar la conocida botnet Rustock. En marzo
se consiguió desconectar la red de ordenadores responsable del envío diario de miles de
millones de mensajes de spam.
Desde abril hay una serie de ciberataques con gran despliegue mediático realizados al
consorcio japonés Sony. Se han visto afectados sobre todo la red Playstation de Sony y sus
jugadores. El grupo de hackers presuntamente responsable de ello, Anonymous, se manifiesta
con mayor frecuencia en las últimas semanas. Igual que los hackers de LulzSec.
Perspectiva para el segundo trimestre de 2011
Esperamos que la cantidad de malware también aumente ligeramente en el segundo trimestre y
que en este año se registren más de 2,5 millones de programas dañinos.
En la segunda mitad del año los cibercriminales utilizarán con mayor intensidad plataformas
móviles, especialmente Android, para los ataques.
2
Programas maliciosos: cifras y datos
Continúa el crecimiento
La sospecha de que la creación de nuevo de malware apenas crecería no se ha cumplido en los
primeros seis meses de este año. En el primer semestre de 2011 el número1 de nuevos programas
maliciosos ha aumentado en un 15,7% a 1.245.403. Esto supone una media de 6.881 programas
dañinos nuevos al día. Esperamos que al final del año se haya superado la frontera de 2,5 millones
de nuevas muestras. En caso de un crecimiento todavía mayor, se habrían contabilizado en 2011
más programas maliciosos nuevos que en todos los años desde 2006 hasta 2009 juntos.
Diagrama 1: número de nuevos programas de malware al año desde 2006
Categorías de malware
El malware se subdivide en categorías según sus actividades dañinas más importantes. El diagrama
2 muestra el número de las diferentes categorías para los últimos semestres. El mayor aumento lo
registra en el primer semestre de 2011 el grupo de los troyanos. En él se agrupan programas
dañinos que ejercen funciones específicas. Contienen principalmente programas que se cargan a
través de backdoors en ordenadores infectados para ejecutar acciones criminales. A este grupo
pertenecen el envío de spam, los ataques de sobrecarga, los servicios proxy y ofertas similares del
catálogo de prestaciones de servicios de la economía del cibercrimen. Las muchas variantes de los
troyanos de banca online Zeus y SpyEye también se incluyen en este grupo. El crecimiento es una
prueba de que los negocios clandestinos funcionan bien.
El gran aumento en el área de adware del segundo semestre de 2010 se ha ralentizado un poco.
Pero la subida en un 14,6% muestra que para los infractores el adware sigue siendo un negocio
lucrativo para los autores de malware.
1
Las cifras en este informe se basan en la detección del malware mediante firmas de virus, que, a su vez, se apoyan en las similitudes del
código de los archivos dañinos. Muchos códigos maliciosos se parecen y se pueden agrupar por familias, en las que las pequeñas
divergencias se consideran variaciones. Los archivos totalmente diferentes fundan nuevas estirpes. El cómputo se basa en nuevas
variantes de firmas que se crearon en el primer semestre del 2011.
3
La cantidad de descargadores/droppers responsables de la infección de ordenadores ha
retrocedido ligeramente. El número de backdoors también baja ligeramente. Estos programas
dañinos hacen que el ordenador se pueda controlar a distancia y lo integran en redes de bots. Por lo
que parece, la nueva construcción y la asistencia de redes de bot ya no ocupan un lugar destacado.
Por primera vez después de un largo descenso vuelve a aumentar ligeramente el número de
exploits.
Diagrama 2: número de nuevos programas maliciosos por categoría de malware en los últimos tres semestres
Familias de programas maliciosos
Los programas dañinos se subdividen en familias en función de sus propiedades y actividades.
Algunas familias son muy productivas y continuamente se producen nuevas variantes. El diagrama 3
muestra las familias más productivas de los últimos semestres. La cantidad total de familias de
malware ha subido ligeramente en el primer semestre de 2011 en un 2,4% hasta 2.670.
El primer puesto lo ocupa nuevamente Genome, un troyano con muchas funciones dañinas. En el
segundo puesto le sigue FakeAV, un representante de la popular categoría, entre ciberdelincuentes,
de falsificación de software para la protección antivirus o herramientas del sistema. Con VBKrypt se
consigue que un nuevo programa de ocultación para archivos dañinos se encuentre entre los 10
primeros. Con la cuarta versión, todavía más eficiente, los rootkits de la familia TDSS, también
conocida como rootkit TDL, han podido ampliar su posición líder del mercado en economía del
cibercrimen. Por su parte, la familia Palevo es responsable de un notable incremento gusanos. El
penúltimo puesto le corresponde a un principiante. Menti es un troyano, como el ya mencionado
primer puesto Genome. Con ello se muestra que los troyanos siguen siendo los programas dañinos
preferidos por los delincuentes.
4
Diagrama 3a-c: lista de las 10 familias de programas maliciosos más activas. Cuota de nuevas
variantes 2010 y 2011
5
Genome
Los troyanos de la familia Genome reúnen varias funciones, como descargador, keylogger y cifrado
de archivos.
FakeAV
Este troyano se hace pasar por software antivirus o por otro programa importante para la seguridad.
Simula el descubrimiento de varios riesgos de seguridad o infecciones maliciosas en el sistema del
usuario. Con ello, se busca engañar al usuario para que pague por un software que elimine la falsa
alerta.
VBKrypt
VBKrypt es una herramienta creada para camuflar archivos dañinos. Las rutinas de camuflaje están
escritas en Visual Basic. El contenido de los archivos camuflados es muy amplio y va desde
descargadores hasta spyware y gusanos, pasando por backdoors.
TDSS
El rootkit TDSS, con sus múltiples y técnicamente sofisticadas posibilidades de camuflaje de archivos
dañinos, se ha desarrollado como un estándar en el mundo del malware. Se utiliza para esconder
archivos y entradas de registro de backdoors, spyware y adware.
Palevo
El gusano Palevo se propaga a través de soportes de datos intercambiables (autorun.inf) y realiza
copias de sí mismo bajo nombres seductores en los accesos compartidos de las plataformas de
intercambio peer to peer como Bearshare, Kazaa, Shareaza. También envía por mensajería
instantánea (MSN sobre todo) enlaces a sitios web con código dañino. Infecta además el explorador
con funciones de puerta trasera (backdoor) y llama a determinados servidores en busca de
comandos.
Buzus
Los troyanos de la familia Buzus examinan los sistemas infectados de sus víctimas en busca de datos
personales (tarjetas de crédito, banca online, accesos a correo electrónico y a servidores FTP, etc.),
que son enviados al atacante. También intenta modificar la configuración de seguridad del
ordenador, haciendo el sistema de la víctima aún más vulnerable.
OnLineGames
Los miembros de la familia OnlineGames roban principalmente los datos de acceso a juegos online.
Para ello, rastrean algunos archivos y entradas de registro y/o instalan un keylogger. En el último
caso no sólo se roban los datos de juegos. La mayoría de los ataques apunta principalmente a los
juegos populares en Asia.
FraudLoad
La familia Fraudload abarca numerosas variantes de los llamados programas scareware, que se
presentan al usuario bajo la apariencia de software de seguridad o herramienta de sistema. Se finge
ante la víctima un escaneo del sistema en busca de posibles infecciones. Para eliminar estas
supuestas infecciones se le recomienda urgentemente a la víctima que adquiera la "versión
completa" y para ello revele la información de su tarjeta de crédito en una página web especial. La
infección tiene lugar generalmente a través de agujeros de seguridad no cerrados del sistema
6
operativo. No obstante, también existen métodos de ataque en los que el usuario es atraído a
páginas en las que supuestamente se muestran vídeos de contenido erótico o noticias de
actualidad. Para poder visualizar estos supuestos vídeos, la víctima debe instalar un códec especial
de vídeo en el que viene oculto el software malicioso.
Menti
El troyano Menti se instala en el sistema afectado y se conecta regularmente con un servidor. De
esta forma, el ordenador se convierte en componente de una botnet.
Refroso
Este troyano hizo su primera aparición a finales de junio de 2009. Posee funciones de backdoor y es
capaz de atacar a otros ordenadores de la red.
Plataformas
También en el primer semestre de 2011 la mayor parte del malware se escribió para sistemas
Windows. Únicamente uno de cada doscientos cincuenta programas dañinos no va dirigido contra
esta plataforma 2. Además, el porcentaje de programas maliciosos dirigidos contra los tradicionales
archivos de programa de Windows (Win32) ha retrocedido. Pero esta pérdida del 0,3% se compensa
con un incremento de programas maliciosos que afectan a la plataforma.NET (MSIL) y aumenta la
cuota total de programas dañinos para Windows.
Dif.
Dif.
2011H
2011H
1
1
Plataform
#2011 Porcentaj
#2010 Porcentaj 2010H
Porcentaj 2010H
a
H1
e
H2
e
2 #2010 H1
e
1
1.218.13
1.056.30
1.001.90
1
Win32
97,8 %
98,5 % +21,6 %
98,1 % +15,3 %
2
8
4
+131,7
2
MSIL
1,7 %
0,9 %
21.736
15.475
1,4 %
+40,5 % 9.383
%
3 WebScripts 3.123
0,3 %
0,4 %
2.237
0,2 %
+39,6 % 3.942
-20,8 %
4
0,1 %
922
0,1 %
Scripts3
832
1.111
0,1 %
-25,1 %
-9,8 %
+138,2
+273,1
5
Móvil
0,1 %
212
<0,1 %
803
55
<0,1 %
%
%
6
Java
<0,1 %
225
<0,1 % +39,1 %
313
517
<0,1 % -39,5 %
7
<0,1 %
226
<0,1 %
*ix4
233
382
<0,1 % -39,0 %
+3,1 %
5
8
<0,1 %
260
<0,1 %
NSIS
131
130
<0,1 %
+0,8 %
-49,6 %
Tabla 1: las 8 plataformas principales de los últimos tres semestres
El escaso 0,5 % restante se indica por códigos dañinos basados en web, cuyo número ha aumentado
claramente. Por el contrario, la cantidad de malware basado en script ha descendido.
2
Si se juntan los archivos de programa para sistemas Windows de 32 bit y de 64 bit, y programas .NET (MSIL).
Los "scripts" son scripts de tipo batch o shell, o programas escritos en los lenguajes de script VBS, Perl, Python o Ruby
4
*ix designa a todos los productos derivados de Unix, como por ej. Linux, FreeBSD, Solaris, etc.
5
NSIS es la plataforma de instalación utilizada, entre otros fines, para instalar el reproductor Winamp.
3
7
Los programas maliciosos para dispositivos móviles también han registrado un claro aumento. El
tipo de funciones dañinas indica un uso económico – aproximadamente dos de cada tres de estos
programas maliciosos envían costosos SMS sin autorización del usuario. Los programas espía y los
backdoors también han registrado un aumento considerable. Aquí se establece precisamente un
nuevo sector para cibercriminales que será observado por G Data SecurityLabs en los próximos
meses.
Tendencias 2011
En la siguiente tabla se representa el desarrollo esperado por G Data SecurityLabs de las diferentes
categorías de malware y de las plataformas.
Categoría
Tendencia
Troyanos
Backdoors
Descargadores/droppers
Spyware
Adware
Virus/gusanos
Rootkits
Exploits
Win32
WebScripts
Java
MSIL
Móvil
*ix
Tabla 2: desarrollo esperado de categorías de malware y plataformas
8
Malware móvil
Los dispositivos móviles con sistema operativo Android son cada vez más populares. Tanto es así,
que los analistas de IDC lo señalan como el futuro "amo y señor" entre los SO de los teléfonos
inteligentes. Sin embargo, el incremento de su popularidad discurre paralelo al interés creciente de
los autores de malware, especialmente a medida que empiezan a ser masivamente utilizados como
plataforma para diferentes servicios de pago. Por todo ello, G Data augura un elevado potencial de
peligro para estos terminales móviles, sobre todo si tenemos en cuenta que el posterior desarrollo
de programas maliciosos que les afecten transcurrirá con mayor velocidad que la experimentada por
el malware informático debido a las estructuras clandestinas ya existentes.
El descubrimiento de aplicaciones infectadas con código dañino en el mercado de Google Android
ya ha acaparado en varias ocasiones los titulares de los medios de comunicación. En algunos países,
estas falsas apps suscribían a sus víctimas a onerosos servicios de envío de SMS… que no eran
descubiertos hasta que las víctimas recibían las facturas correspondientes a dicho servicio. Este
modus operandi se ha utilizado de forma intensiva por los cibercriminales y más de dos tercios de
todos los programas maliciosos para smartphones suscriben a sus víctimas a costosos servicios de
envío de mensajes Premium.
El número de backdoors con los que se integra a los smartphones en botnets también ha
aumentado de forma dramática. Con Zeus en el móvil (ZITMO) ha aparecido un troyano
especializado en banca online que ataca al método TAN (Transaction Authentication Number). El
envío de SMS para validar identidades y confirmar transacciones por parte de las entidades
bancarias debería proporcionar originalmente una seguridad adicional debido a la separación de
canales. Pero puesto que ZITMO intercepta estos SMS, el proceso ya no ofrece seguridad. Está claro:
El malware móvil ha dejado tras de sí la fase del "proof-of-concept".
Precisamente la plataforma Android está teniendo cada vez una mayor acogida entre los clientes, ya
que los dispositivos con este sistema operativo son más económicos que, por ejemplo, los de su
competencia con iOS. Además, para Android hay una mayor variedad de dispositivos con
numerosas marcas de empresas de telecomunicaciones. Pero esta variedad tiene una desventaja
determinante, y es que dificulta enormemente los controles propios de calidad y no se pueden
distribuir las actualizaciones para todos los clientes con celeridad. Un ejemplo de ello son los
dispositivos de la competencia del estadounidense Curpertino. Además, en los modelos más
antiguos de teléfono no se pueden realizar a menudo las actualizaciones. Así, por ejemplo, a
principios de julio, la cuota de usuarios que visitaban el mercado de Android todavía con una
versión OS Android antigua era muy alta (véase la ilustración 1). Durante el largo recorrido de
entrega de las nuevas versiones del sistema operativo desde Google a los fabricantes de dispositivos
y desde el proveedor de servicios a los clientes, los cibercriminales tienen la oportunidad de explotar
durante todo este tiempo los puntos débiles de los sistemas operativos antiguos. Y no se trata de un
retraso de días, sino de meses. En el futuro este punto débil se convertirá en el foco de los
cibercriminales.
9
Ilustración 1: Difusión de las plataformas Android por visitantes del mercado Android
(Fuente: http://developer.android.com/resources/dashboard/platform-versions.html)
A parte de los riesgos de hardware‚ no
se debe infravalorar el factor humano:
las autorizaciones necesarias mostradas
durante la instalación se confirman
rápidamente sin prestar atención. Con
ello se abre el camino a las aplicaciones
de recopilar información, llamar a
números Premium y mucho más. Un
ejemplo son las aplicaciones
manipuladas de Zsone del mercado
Android de Google. Las aplicaciones
envían, sin que el usuario se dé cuenta,
notificaciones de suscripción a números
SMS Premium chinos y capturan incluso
el SMS de respuesta del servicio de
Ilustración 2: Una aplicación infectada de Zsone ocasiona
suscripción. El usuario no se entera de
numerosas autorizaciones en el móvil que, en este caso, pueden
dañar al cliente.
los caros mensajes de texto hasta que
(Fuente: G Data Software)
recibe su factura de teléfono. Sin
embargo, en el caso de este programa malicioso actualmente los usuarios Android sólo corren
peligro en las redes de telecomunicación chinas.
Conclusión
Los dispositivos móviles seguirán estando en el foco de los criminales digitales y por ello se acelerará
el desarrollo de nuevos programas maliciosos cuanto mayor sea el provecho del atacante. Debido a
las crecientes cifras de venta de los dispositivos Android, este mercado será cada vez más
interesante para los cibercriminales.
Puesto que además las posibilidades de aplicación de los smartphones todavía no se han agotado,
las nuevas tecnologías traerán consigo nuevos puntos de ataque, un ejemplo de este futuro cercano
sería el pago con el smartphone vía NFC (implementado en Android desde la versión 2.3).
10
Hitos durante el primer semestre de 2011
Enero de 2011
09.01. La empresa australiana de medios Fairfax culpa a Vodafone de asegurar insuficientemente
los datos de sus clientes, de tal forma que son visibles para muchos, entre otros, para todos
los distribuidores Vodafone. Así, la información personal y los protocolos de SMS y de
llamadas han ido a parar también a terceros que, mediante un procedimiento del tipo "pay
per view", parece ser que han obtenido acceso a los datos. Este descubrimiento ha sido
denominado como una consecuencia del caso "Cablegate" de Wikileaks.
11.01. Las cuentas de Twitter y YouTube del gobierno
norcoreano han sido hackeadas y utilizadas
fraudulentamente por desconocidos. El día del
cumpleaños de Kim Jong-un, el sucesor designado de
Kim Jong-il, los hackers propagaron en las cuentas
mensajes críticos con el régimen. Además, los
intrusos publicaron un vídeo animado que le muestra
en un coche deportivo con el que atropella a
personas necesitadas. Miembros del foro de internet
surcoreano DC Inside se responsabilizan del ataque.
Captura de pantalla1: Un vídeo
animado muestra a Kim Jong-un (fuente:
16.01. La Policía Criminal Alemana detiene a una banda
YouTube.com)
de skimming búlgara que había manipulado cajeros automáticos en Dresden. Los tres
hombres son detenidos in fraganti en una sucursal bancaria cuando trabajaban en su
equipo. No se divulgan los datos del botín.
23.01. Las cuentas de Facebook del presidente francés Nicolas Sarkozy y del jefe de Facebook
Mark Zuckerberg se ven comprometidas. Los intrusos publican en ambas páginas, en
nombre de estas personalidades, comentarios que parecen auténticos. Sigue sin aclararse
cómo los autores han conseguido la autorización para escribir.
24.01. Irán anuncia una policía denominada ciberpolicía que debe impedir la comunicación entre
disidentes políticos, sobre todo a través de las redes sociales. En relación con las protestas
contra la reelección del presidente Ahmadinejad en 2009, el jefe de la policía Esmaeil
Ahmadi Moghaddam explica: "Mediante las redes sociales, en nuestro país se han puesto en
contacto grupos antirrevolucionarios y disidentes, se han puesto en contacto con el
extranjero y han tramado disturbios".
31.01. Curiosidad: El portátil robado de una americana de 25
años se comunica por sí solo mediante correo
electrónico y facilita las indagaciones a la policía de
Newport, Virginia. El aparato hace fotos con la webcam
incorporada y las envía a su propietaria. Ahora sólo se
tiene que identificar a las dos personas de la imagen
publicada por la policía para que aclaren, cómo ha
llegado el portátil a sus manos.
Captura de pantalla2: foto de la
webcam del portátil robado 11
(fuente: wavy.com)
Febrero de 2011
05.02. Aaron Barr, un empleado de la empresa de seguridad HBGary Federal, expone a su empresa
a un extenso y escalonado ataque del grupo Anonymous. Anteriormente se había jactado de
haber identificado a los miembros del grupo de hacktivistas, que poco antes habían
llevado a cabo la operación Payback. El New York Times incluso había comunicado la noticia
y esta publicidad impulsó a los inculpados a defenderse. Como consecuencia, Anonymous
consiguió, gracias a una serie de errores que no deberían ocurrir en una empresa de
seguridad, acceso a las contraseñas de los empleados de HBGary y, finalmente, a la cuenta
en Google Mail de Greg Hoglund, el cofundador y director técnico de la empresa. Además de
explosiva información sobre contratos de armamento, también contenía los datos de acceso
a la página de Hoglund rootkit.com. Anonymous publicó los datos allí disponibles junto con
los correos electrónicos de Hoglund. La gran jugada de Aaron Barr le llevó finalmente a su
dimisión.
07.02. Las autoridades policiales de Hamburgo detienen a dos presuntos administradores de
páginas web de suscripciones engañosas. Los dos habían estafado desde finales de 2008 a
más de 65.000 visitantes de su página web y se habían apoderado así de casi 5 millones de
euros. Los estafadores ofrecían básicamente la descarga de software gratis, o al menos de
una versión de prueba del mismo disponible gratuitamente, y con ello endosaban a sus
visitantes sin que se dieran cuenta un contrato de suscripción.
09.02. Clandestinamente se vende por unos 25 dólares un conjunto de herramientas llamado
"Tinie App" que permite a casi cualquiera proyectar sus propias aplicaciones maliciosas
para Facebook, como por ejemplo "Profile Creeps" o "Creeper Tracker". Numerosos usuarios
siguen haciendo clic en estas aplicaciones de Facebook y de esta forma las sigue
propagando, para alegría de quien las ha desarrollado, que con cada clic se embolsa dinero
de los programas de afiliación.
12.02. El Ministerio de Justicia americano y
el Ministerio de Seguridad de Interior
han provisto erróneamente 84.000
dominios con un banner que detalla
penas considerables para personas que
están en contacto con la pornografía
infantil. Debido a un error en la
transferencia de los datos, todos los
dominios del proveedor de DNS
FreeDNS son redirigidos a estos banner
causando la inseguridad y el estupor de
propietarios y visitantes de las páginas
web.
Captura de pantalla 3: El banner que se mostró
erróneamente en 84.000 dominios
(fuente: torrentfreak.com)
13.02. Se trafica con los datos de cliente de
millones de usuarios de los servicios Pixmania, Eidos, eHarmony y diversitybusiness en la
clandestinidad. Algunos paquetes de datos se ofrecen allí a precios entre 2.000 y 3.000
dólares (aprox. entre 1.400 y 2.100 euros). El potencial responsable del robo de datos es el
12
argentino Chris Russo. En el caso de eHarmony los datos se han robado aprovechando un
punto débil SQL Injektion.
15.02. En la presentación de la web BBC 6 Music y de la página web de BBC 1xtra Radio se inyecta
un código malicioso como consecuencia de una infección en masa de páginas web
vulnerables. El código insertado recarga archivos de una página web e intenta infectar a los
visitantes de la página web sin su conocimiento (infección drive-by download). Los
atacantes utilizan un equipo Phoenix Exploit para aprovechar los puntos débiles del
ordenador.
17.02. Un estudio asegura que el Reino Unido acumula unas pérdidas valoradas en 27.000 millones
de libras esterlinas (aprox. 30.700 millones de euros) como consecuencia del cibercrimen. El
robo por propiedad intelectual ocupa la mayor parte de los hechos criminales, seguido del
espionaje industrial y chantaje.
28.02. Curiosidad: Un hombre de 48 años, de Naperville, Illinois, es víctima de una relación online
engañosa. Durante dos años había ingresado para una señora un total de 200.000 dólares
(aprox. 139.000 euros) en cuentas en Inglaterra, Estados Unidos, Malasia e incluso Nigeria.
Cuando la mujer dejó de dar noticias, temió que la hubieran podido secuestrar y llamó a la
policía. Ésta le explicó que había sido engañado. Incluso el carné de conducir, que la mujer le
había mandado una vez, no era auténtico. Era un carné de muestra del estado federado de
Florida.
Marzo de 2011
05.03. Google explica oficialmente que el martes anterior se
eliminaron numerosas aplicaciones del Android Market. Las
aplicaciones estaban infectadas con el código dañino
denominado DroidDream que intenta, entre otros, obtener los
derechos de raíz de los dispositivos móviles afectados.
Mediante control a distancia, Google desinstala los programas
maliciosos de los dispositivos afectados. Adicionalmente la
Captura de pantalla4: Robot
empresa distribuye una "Android Market Security Tool
Android (fuente: android.com)
March 2011", que poco después aparece en el mercado
como una aplicación troyana.
06.03. En un robo en la central del servicio de seguridad estatal egipcio, opositores al régimen
encuentran documentos de la empresa británica Gamma International que ofrece al
gobierno la compra de un programa de espionaje de nombre FinFisher. El software
dañino es apropiado para espiar, interceptar y tomar posesión del ordenador de disidentes y
debería costar, incluyendo un curso de formación, 525.000 dólares (aprox. 364.000 euros).
13
16.03. Poco más de un año después del
desmantelamiento de la botnet
Waledac, Microsoft informa de nuevo
acerca de la desactivación con éxito de
una botnet: una de las mayores del
mundo, llamada Rustock. La unidad de
crímenes digitales de Microsoft
(Microsoft Digital Crimes Unit, DCU)
calcula que había aproximadamente un
millón de ordenadores infectados con el
código dañino Rustock y que se podía
Ilustración 3: El gráfico muestra desde mitad de
responsabilizar así a esta botnet de miles marzo un claro retroceso de las noticias por
segundo (fuente: Spamcop.net)
de millones de correos spam al día.
17.03. Unos agresores atacan el servidor de la empresa de seguridad RSA y roban datos para la
autenticación de dos factores SecurID. El ataque clasificado como Advanced Persistent
Threat se realizó de forma selectiva mediante archivos Excel manipulados que se habían
enviados a un pequeño grupo de trabajadores de RSA. Al abrir los archivos .xls, el código
dañino aprovecha un agujero de seguridad Zero-Day para obtener acceso a las cuentas de
usuario privilegiadas.
18.03. Ashley Mitchell, de 29 años, es condenado a dos años de prisión por haber robado 400.000
millones de chips virtuales de póquer por valor de 12 millones de dólares (aprox. 8,4
millones de euros) de la empresa americana Zynga. Zynga gestiona, entre otros, el
mundialmente conocido juego online Farmville. Mitchell vendió una parte de su botín en el
mercado negro por 53.000 libras esterlinas (aprox. 60.000 euros).
20.03. La plataforma TripAdvisor es víctima de un robo de datos. Unos criminales atacan la
popular página de viajes y roban de una base de datos direcciones de correos de sus
miembros. TripAdvisor cierra el agujero de inmediato y no supone daños mayores. "Como
consecuencia del anterior suceso, podría usted recibir correos de spam", informan en un
mensaje a sus miembros.
23.03. Unos atacantes desconocidos consiguen acceder a certificados SLL de páginas web
existentes infiltrándose con una cuenta comprometida en el Certifícate Authority (CA) de
Comodo. Los certificados se robaron el 15 de marzo y se pudieron utilizar para falsificar
páginas web que parecieran auténticas. Comodo dice en un informe que "los ataques
venían de varias IP, pero principalmente de Irán"
Abril de 2011
04.04. Se dan a conocer detalles sobre un ataque masivo de SQL Injektion a gran escala. El
ataque, denominado ataque Lizamoon, introducía códigos dañinos en millones de páginas
web. La limpieza de las páginas afectadas resulta ser una ardua tarea. Los visitantes de la
14
página web original son redirigidos mediante el código dañino a páginas web FakeAV, con
las que los estafadores quieren obtener dinero.
08.04. Curiosidad: Una empresa de software pone una oferta de trabajo para programadoras y
empleadas comerciales. Los requisitos a cumplir: Las interesadas deben tener entre 20 y 39
años, y deberán estar de acuerdo en trabajar completamente sin ropa. El administrador, de
63 años, promete ofertas de trabajo en una empresa seria.
20.04. El Departamento de Seguridad Nacional de los Estados Unidos planea publicar a sus avisos
terroristas nacionales no sólo en su propia página web, radio y televisión, sino también en
redes sociales como Facebook y Twitter. Los mensajes en los aeropuertos y las noticias en
páginas web gubernamentales se suprimirán.
24.4.
El hijo de 20 años del fabricante de software de seguridad Eugene Kaspersky es liberado
sano y salvo de las garras de cinco secuestradores por las autoridades rusas de seguridad.
Según fuentes internas no se ha realizado ningún pago de rescate. Los secuestradores
exigían 3 millones de euros.
27.4.
El primer cliente de PlayStation Sony demanda a Sony Corp. por protección insuficiente de
los datos personales. Unos hackers habían atacado entre el 17 y el 19.04. la red Sony de
PlayStation (PSN) y el servicio online Qriocity y robado los datos de 77 millones de usuarios.
Mayo de 2011
10.05. La policía finlandesa desarticula una banda de estafadores de banca online y detiene a 17
sospechosos. Los clientes del banco finlandés Nordea Bank fueron el objetivo de los
criminales que obtuvieron un botín de alrededor de 1,2 millones de euros con más de
100 transacciones manipuladas. El dinero se pudo devolver de nuevo a sus propietarios
legítimos a excepción de 178.000 euros.
11.05. La muerte de Osama Bin
Laden, y unas supuestas fotos
como prueba fehaciente, son
utilizadas por los autores de
malware como gancho para
atraer a sus víctimas. Los
ataques son, en este caso,
mediante correos electrónicos
que incluyen enlaces a códigos
dañinos y documentos de Word
preparados que deben
aprovechar un agujero de
seguridad (CVE-2010-3333).
Captura de pantalla5: Correo electrónico peligroso con
las fotos de Osama Bin Laden como gancho.
15
11.05. La página web de la agencia rusa de medios de comunicación Pravda es hackeada y ataca a
sus visitantes de forma inadvertida. Los criminales utilizan scripts exploit incrustados que
atacan la versión Java vulnerable del ordenador de los visitantes de dicha página web. Los
atacantes no modificaron visualmente nada de la página web, lo que resulta mucho más
peligroso.
20.05. El investigador independiente de seguridad Rosario presenta un exploit para el Internet
Explorer de Microsoft que permite el acceso de los atacantes a páginas web que requieren
registrarse, como por ejemplo Facebook. Después de introducir los datos de acceso, la
página web crea una cookie como clave digital. Si se roba esta cookie, terceras personas
también pueden acceder a las páginas con acceso teóricamente protegido. El ataque de
sustracción de contraseñas se denomina "cookiejacking".
23.05. Todo el código fuente del troyano bancario ZeuS está disponible públicamente. ZeuS ha
sido sin lugar a dudas el troyano bancario más poderoso de los últimos años.
25.05. Un doctorando de la universidad de Ámsterdam dotó a una base de datos con 35 millones
de paquetes de datos de perfiles de Google. Contenía nombres, direcciones de correo
electrónico e informaciones biográficas. La acumulación de información debía ser un
experimento, para ver la rapidez con la que, por ejemplo, detectives privados y delincuentes
del phishing podían conseguir información personal selectiva. Google no prohíbe la
indexación de listas.
26.05. Las fuerzas armadas chinas confirman por primera vez que en su ejército existe una
unidad de élite de ciberguerreros. Estas fuerzas especiales se denominan "cyber blue
team". No se conoce si se trata de una unidad enfocada a medidas puramente defensivas o si
también incluye fuerzas potencialmente de ataque.
Junio de 2011
03.06. Tras los ataques a Sony PSN y Qirocity ahora se hackea la plataforma de Sony Pictures. La
responsabilidad del ataque la suscribe un grupo llamado Lulz Security, abreviado LulzSec.
Según fuentes internas robaron información personal de más de un millón de usuarios.
04.06. La unidad DCU de Microsoft sigue trabajando en desenmascarar a los inspiradores que hay
detrás de la botnet Rustock paralizada en marzo. La DCU supone que los instigadores
podrían haber operado o incluso seguir operando desde Rusia. Por este motivo ponen
grandes anuncios publicitarios durante 30 días en periódicos rusos populares, para entrar en
contacto con propietarios de las direcciones IP y los dominios desconectados.
07.06. La empresa de armamento Lockheed Martin da a conocer que recientemente se ha
producido un ataque a su red, protegida por el token de seguridad RSA SecurID robado en
marzo. Según informan, gracias a una rápida intervención se ha evitado el robo de datos.
Actualmente están renovando 45.000 token SecureID.
20.06. La moneda virtual bitcoin experimenta una caída de la cotización en la plataforma de
compraventa Mt Gox. Un desconocido hackea una importante cuenta de bitcoins (el 7,7% de
todos los bitcoins), cambia el dinero virtual por dólares americanos y poco después lo
16
devuelve todo. La cotización desciende de 17,50 dólares por bitcoin a un céntimo por
bitcoin.
26.06. Después de sólo 50 días, el grupo de hackers LulzSec da a conocer su disolución. Se
responsabiliza a este grupo perseguido por la policía de muchos de los ataques de hackers y
de ataques de sobrecarga de las últimas semanas. LulzSec publica en Internet muchos de los
paquetes de datos capturados. Expertos estiman a LulzSec como descendientes del grupo
Anonymous.
29.06. La red social MySpace se vende. El magnate de los medios de comunicación Rupert
Murdoch había comprado la plataforma en el año 2005 por 580 millones de dólares
(aprox. 403 millones de euros) y ahora la vende con una gran pérdida por 35 millones de
dólares (aprox. 24 millones de euros) a una empresa publicitaria californiana. El número de
usuarios de MySpace había retrocedido con el gran aumento de Facebook.
30.06. La policía criminal alemana presenta la estadística criminal alemana de 2010: El año
anterior se registraron aprox. 250.000 casos de criminalidad en Internet, un 20 por ciento
más que en 2009. La suma de daños asciende a 61,5 millones de euros.
17

G Data Informe sobre malware Informe semestral Enero – junio 2011

Transcripción

Documentos relacionados

Hacking Ético, Forénsica Digital y Manejo de Incidentes

Presentación