G Data Informe sobre malware Informe semestral Enero – junio 2011
Transcripción
G Data Informe sobre malware Informe semestral Enero – junio 2011
G Data Informe sobre malware Informe semestral Enero – junio 2011 MalwareReport_1-2011 Ralf Benzmüller & Sabrina Berkenkopf G Data SecurityLabs Seguro. Más seguro. G Data. Informe sobre malware 1/2011 de G Data Contenido Resumen .......................................................................................................2 Programas maliciosos: cifras y datos ..................................................3 Continúa el crecimiento .............................................................................................................................................3 Categorías de malware ...............................................................................................................................................3 Familias de programas maliciosos..........................................................................................................................4 Plataformas .....................................................................................................................................................................7 Tendencias 2011............................................................................................................................................................8 Malware móvil.............................................................................................9 Principales hitos durante el primer semestre de 2011......... .....11 Enero de 2011 ............................................................................................................................................................. 11 Febrero de 2011 ......................................................................................................................................................... 12 Marzo de 2011............................................................................................................................................................. 13 Abril de 2011................................................................................................................................................................ 14 Mayo de 2011.............................................................................................................................................................. 15 Junio de 2011 .............................................................................................................................................................. 16 Copyright © 2011 G Data Software AG 1 Informe sobre malware 1/2011 de G Data Resumen Durante el primer semestre de 2011 se han identificado 1.245.403 programas informáticos maliciosos. Esto significa un 15,7% más que en el semestre anterior. La cantidad media diaria de programas dañinos aumenta a 6.881. En las categorías de malware se registra un aumento de troyanos y de adware superior a la media. Por el contrario, el número de descargadores y backdoors ha retrocedido ligeramente. Parece ser que la utilización de los ordenadores ya infectados es más importante que el reclutamiento de nuevos bots. En el primer semestre de 2011 había un total de 2.670 familias de malware en activo. La tasa de malware para Windows aumenta al 99,6%. Es cierto que los archivos de programa más tradicionales de Windows pierden un porcentaje del 0,3%, pero la pérdida se compensa con el crecimiento de programas .NET. Los programas dañinos activos en páginas web y el malware para dispositivos móviles muestran una tendencia alcista. Tendencias El hacktivismo como forma de expresar opiniones políticas gana cada vez más seguidores. El malware para terminales móviles es la nueva moda. La cantidad de programas nuevos maliciosos aumenta con rapidez. Principales hitos Gracias a la estrecha cooperación entre Microsofts Digital Crimes Unit y las autoridades policiales internacionales, este año se ha podido paralizar la conocida botnet Rustock. En marzo se consiguió desconectar la red de ordenadores responsable del envío diario de miles de millones de mensajes de spam. Desde abril hay una serie de ciberataques con gran despliegue mediático realizados al consorcio japonés Sony. Se han visto afectados sobre todo la red Playstation de Sony y sus jugadores. El grupo de hackers presuntamente responsable de ello, Anonymous, se manifiesta con mayor frecuencia en las últimas semanas. Igual que los hackers de LulzSec. Perspectiva para el segundo trimestre de 2011 Esperamos que la cantidad de malware también aumente ligeramente en el segundo trimestre y que en este año se registren más de 2,5 millones de programas dañinos. En la segunda mitad del año los cibercriminales utilizarán con mayor intensidad plataformas móviles, especialmente Android, para los ataques. Copyright © 2011 G Data Software AG 2 Informe sobre malware 1/2011 de G Data Programas maliciosos: cifras y datos Continúa el crecimiento La sospecha de que la creación de nuevo de malware apenas crecería no se ha cumplido en los primeros seis meses de este año. En el primer semestre de 2011 el número1 de nuevos programas maliciosos ha aumentado en un 15,7% a 1.245.403. Esto supone una media de 6.881 programas dañinos nuevos al día. Esperamos que al final del año se haya superado la frontera de 2,5 millones de nuevas muestras. En caso de un crecimiento todavía mayor, se habrían contabilizado en 2011 más programas maliciosos nuevos que en todos los años desde 2006 hasta 2009 juntos. Diagrama 1: número de nuevos programas de malware al año desde 2006 Categorías de malware El malware se subdivide en categorías según sus actividades dañinas más importantes. El diagrama 2 muestra el número de las diferentes categorías para los últimos semestres. El mayor aumento lo registra en el primer semestre de 2011 el grupo de los troyanos. En él se agrupan programas dañinos que ejercen funciones específicas. Contienen principalmente programas que se cargan a través de backdoors en ordenadores infectados para ejecutar acciones criminales. A este grupo pertenecen el envío de spam, los ataques de sobrecarga, los servicios proxy y ofertas similares del catálogo de prestaciones de servicios de la economía del cibercrimen. Las muchas variantes de los troyanos de banca online Zeus y SpyEye también se incluyen en este grupo. El crecimiento es una prueba de que los negocios clandestinos funcionan bien. El gran aumento en el área de adware del segundo semestre de 2010 se ha ralentizado un poco. Pero la subida en un 14,6% muestra que para los infractores el adware sigue siendo un negocio lucrativo para los autores de malware. 1 Las cifras en este informe se basan en la detección del malware mediante firmas de virus, que, a su vez, se apoyan en las similitudes del código de los archivos dañinos. Muchos códigos maliciosos se parecen y se pueden agrupar por familias, en las que las pequeñas divergencias se consideran variaciones. Los archivos totalmente diferentes fundan nuevas estirpes. El cómputo se basa en nuevas variantes de firmas que se crearon en el primer semestre del 2011. Copyright © 2011 G Data Software AG 3 Informe sobre malware 1/2011 de G Data La cantidad de descargadores/droppers responsables de la infección de ordenadores ha retrocedido ligeramente. El número de backdoors también baja ligeramente. Estos programas dañinos hacen que el ordenador se pueda controlar a distancia y lo integran en redes de bots. Por lo que parece, la nueva construcción y la asistencia de redes de bot ya no ocupan un lugar destacado. Por primera vez después de un largo descenso vuelve a aumentar ligeramente el número de exploits. Diagrama 2: número de nuevos programas maliciosos por categoría de malware en los últimos tres semestres Familias de programas maliciosos Los programas dañinos se subdividen en familias en función de sus propiedades y actividades. Algunas familias son muy productivas y continuamente se producen nuevas variantes. El diagrama 3 muestra las familias más productivas de los últimos semestres. La cantidad total de familias de malware ha subido ligeramente en el primer semestre de 2011 en un 2,4% hasta 2.670. El primer puesto lo ocupa nuevamente Genome, un troyano con muchas funciones dañinas. En el segundo puesto le sigue FakeAV, un representante de la popular categoría, entre ciberdelincuentes, de falsificación de software para la protección antivirus o herramientas del sistema. Con VBKrypt se consigue que un nuevo programa de ocultación para archivos dañinos se encuentre entre los 10 primeros. Con la cuarta versión, todavía más eficiente, los rootkits de la familia TDSS, también conocida como rootkit TDL, han podido ampliar su posición líder del mercado en economía del cibercrimen. Por su parte, la familia Palevo es responsable de un notable incremento gusanos. El penúltimo puesto le corresponde a un principiante. Menti es un troyano, como el ya mencionado primer puesto Genome. Con ello se muestra que los troyanos siguen siendo los programas dañinos preferidos por los delincuentes. Copyright © 2011 G Data Software AG 4 Informe sobre malware 1/2011 de G Data Diagrama 3a-c: lista de las 10 familias de programas maliciosos más activas. Cuota de nuevas variantes 2010 y 2011 Copyright © 2011 G Data Software AG 5 Informe sobre malware 1/2011 de G Data Genome Los troyanos de la familia Genome reúnen varias funciones, como descargador, keylogger y cifrado de archivos. FakeAV Este troyano se hace pasar por software antivirus o por otro programa importante para la seguridad. Simula el descubrimiento de varios riesgos de seguridad o infecciones maliciosas en el sistema del usuario. Con ello, se busca engañar al usuario para que pague por un software que elimine la falsa alerta. VBKrypt VBKrypt es una herramienta creada para camuflar archivos dañinos. Las rutinas de camuflaje están escritas en Visual Basic. El contenido de los archivos camuflados es muy amplio y va desde descargadores hasta spyware y gusanos, pasando por backdoors. TDSS El rootkit TDSS, con sus múltiples y técnicamente sofisticadas posibilidades de camuflaje de archivos dañinos, se ha desarrollado como un estándar en el mundo del malware. Se utiliza para esconder archivos y entradas de registro de backdoors, spyware y adware. Palevo El gusano Palevo se propaga a través de soportes de datos intercambiables (autorun.inf) y realiza copias de sí mismo bajo nombres seductores en los accesos compartidos de las plataformas de intercambio peer to peer como Bearshare, Kazaa, Shareaza. También envía por mensajería instantánea (MSN sobre todo) enlaces a sitios web con código dañino. Infecta además el explorador con funciones de puerta trasera (backdoor) y llama a determinados servidores en busca de comandos. Buzus Los troyanos de la familia Buzus examinan los sistemas infectados de sus víctimas en busca de datos personales (tarjetas de crédito, banca online, accesos a correo electrónico y a servidores FTP, etc.), que son enviados al atacante. También intenta modificar la configuración de seguridad del ordenador, haciendo el sistema de la víctima aún más vulnerable. OnLineGames Los miembros de la familia OnlineGames roban principalmente los datos de acceso a juegos online. Para ello, rastrean algunos archivos y entradas de registro y/o instalan un keylogger. En el último caso no sólo se roban los datos de juegos. La mayoría de los ataques apunta principalmente a los juegos populares en Asia. FraudLoad La familia Fraudload abarca numerosas variantes de los llamados programas scareware, que se presentan al usuario bajo la apariencia de software de seguridad o herramienta de sistema. Se finge ante la víctima un escaneo del sistema en busca de posibles infecciones. Para eliminar estas supuestas infecciones se le recomienda urgentemente a la víctima que adquiera la "versión completa" y para ello revele la información de su tarjeta de crédito en una página web especial. La infección tiene lugar generalmente a través de agujeros de seguridad no cerrados del sistema Copyright © 2011 G Data Software AG 6 Informe sobre malware 1/2011 de G Data operativo. No obstante, también existen métodos de ataque en los que el usuario es atraído a páginas en las que supuestamente se muestran vídeos de contenido erótico o noticias de actualidad. Para poder visualizar estos supuestos vídeos, la víctima debe instalar un códec especial de vídeo en el que viene oculto el software malicioso. Menti El troyano Menti se instala en el sistema afectado y se conecta regularmente con un servidor. De esta forma, el ordenador se convierte en componente de una botnet. Refroso Este troyano hizo su primera aparición a finales de junio de 2009. Posee funciones de backdoor y es capaz de atacar a otros ordenadores de la red. Plataformas También en el primer semestre de 2011 la mayor parte del malware se escribió para sistemas Windows. Únicamente uno de cada doscientos cincuenta programas dañinos no va dirigido contra esta plataforma 2. Además, el porcentaje de programas maliciosos dirigidos contra los tradicionales archivos de programa de Windows (Win32) ha retrocedido. Pero esta pérdida del 0,3% se compensa con un incremento de programas maliciosos que afectan a la plataforma.NET (MSIL) y aumenta la cuota total de programas dañinos para Windows. Dif. Dif. 2011H 2011H 1 1 Plataform #2011 Porcentaj #2010 Porcentaj 2010H Porcentaj 2010H a H1 e H2 e 2 #2010 H1 e 1 1.218.13 1.056.30 1.001.90 1 Win32 97,8 % 98,5 % +21,6 % 98,1 % +15,3 % 2 8 4 +131,7 2 MSIL 1,7 % 0,9 % 21.736 15.475 1,4 % +40,5 % 9.383 % 3 WebScripts 3.123 0,3 % 0,4 % 2.237 0,2 % +39,6 % 3.942 -20,8 % 4 0,1 % 922 0,1 % Scripts3 832 1.111 0,1 % -25,1 % -9,8 % +138,2 +273,1 5 Móvil 0,1 % 212 <0,1 % 803 55 <0,1 % % % 6 Java <0,1 % 225 <0,1 % +39,1 % 313 517 <0,1 % -39,5 % 7 <0,1 % 226 <0,1 % *ix4 233 382 <0,1 % -39,0 % +3,1 % 5 8 <0,1 % 260 <0,1 % NSIS 131 130 <0,1 % +0,8 % -49,6 % Tabla 1: las 8 plataformas principales de los últimos tres semestres El escaso 0,5 % restante se indica por códigos dañinos basados en web, cuyo número ha aumentado claramente. Por el contrario, la cantidad de malware basado en script ha descendido. 2 Si se juntan los archivos de programa para sistemas Windows de 32 bit y de 64 bit, y programas .NET (MSIL). Los "scripts" son scripts de tipo batch o shell, o programas escritos en los lenguajes de script VBS, Perl, Python o Ruby 4 *ix designa a todos los productos derivados de Unix, como por ej. Linux, FreeBSD, Solaris, etc. 5 NSIS es la plataforma de instalación utilizada, entre otros fines, para instalar el reproductor Winamp. 3 Copyright © 2011 G Data Software AG 7 Informe sobre malware 1/2011 de G Data Los programas maliciosos para dispositivos móviles también han registrado un claro aumento. El tipo de funciones dañinas indica un uso económico – aproximadamente dos de cada tres de estos programas maliciosos envían costosos SMS sin autorización del usuario. Los programas espía y los backdoors también han registrado un aumento considerable. Aquí se establece precisamente un nuevo sector para cibercriminales que será observado por G Data SecurityLabs en los próximos meses. Tendencias 2011 En la siguiente tabla se representa el desarrollo esperado por G Data SecurityLabs de las diferentes categorías de malware y de las plataformas. Categoría Tendencia Troyanos Backdoors Descargadores/droppers Spyware Adware Virus/gusanos Rootkits Exploits Win32 WebScripts Java MSIL Móvil *ix Tabla 2: desarrollo esperado de categorías de malware y plataformas Copyright © 2011 G Data Software AG 8 Informe sobre malware 1/2011 de G Data Malware móvil Los dispositivos móviles con sistema operativo Android son cada vez más populares. Tanto es así, que los analistas de IDC lo señalan como el futuro "amo y señor" entre los SO de los teléfonos inteligentes. Sin embargo, el incremento de su popularidad discurre paralelo al interés creciente de los autores de malware, especialmente a medida que empiezan a ser masivamente utilizados como plataforma para diferentes servicios de pago. Por todo ello, G Data augura un elevado potencial de peligro para estos terminales móviles, sobre todo si tenemos en cuenta que el posterior desarrollo de programas maliciosos que les afecten transcurrirá con mayor velocidad que la experimentada por el malware informático debido a las estructuras clandestinas ya existentes. El descubrimiento de aplicaciones infectadas con código dañino en el mercado de Google Android ya ha acaparado en varias ocasiones los titulares de los medios de comunicación. En algunos países, estas falsas apps suscribían a sus víctimas a onerosos servicios de envío de SMS… que no eran descubiertos hasta que las víctimas recibían las facturas correspondientes a dicho servicio. Este modus operandi se ha utilizado de forma intensiva por los cibercriminales y más de dos tercios de todos los programas maliciosos para smartphones suscriben a sus víctimas a costosos servicios de envío de mensajes Premium. El número de backdoors con los que se integra a los smartphones en botnets también ha aumentado de forma dramática. Con Zeus en el móvil (ZITMO) ha aparecido un troyano especializado en banca online que ataca al método TAN (Transaction Authentication Number). El envío de SMS para validar identidades y confirmar transacciones por parte de las entidades bancarias debería proporcionar originalmente una seguridad adicional debido a la separación de canales. Pero puesto que ZITMO intercepta estos SMS, el proceso ya no ofrece seguridad. Está claro: El malware móvil ha dejado tras de sí la fase del "proof-of-concept". Precisamente la plataforma Android está teniendo cada vez una mayor acogida entre los clientes, ya que los dispositivos con este sistema operativo son más económicos que, por ejemplo, los de su competencia con iOS. Además, para Android hay una mayor variedad de dispositivos con numerosas marcas de empresas de telecomunicaciones. Pero esta variedad tiene una desventaja determinante, y es que dificulta enormemente los controles propios de calidad y no se pueden distribuir las actualizaciones para todos los clientes con celeridad. Un ejemplo de ello son los dispositivos de la competencia del estadounidense Curpertino. Además, en los modelos más antiguos de teléfono no se pueden realizar a menudo las actualizaciones. Así, por ejemplo, a principios de julio, la cuota de usuarios que visitaban el mercado de Android todavía con una versión OS Android antigua era muy alta (véase la ilustración 1). Durante el largo recorrido de entrega de las nuevas versiones del sistema operativo desde Google a los fabricantes de dispositivos y desde el proveedor de servicios a los clientes, los cibercriminales tienen la oportunidad de explotar durante todo este tiempo los puntos débiles de los sistemas operativos antiguos. Y no se trata de un retraso de días, sino de meses. En el futuro este punto débil se convertirá en el foco de los cibercriminales. Copyright © 2011 G Data Software AG 9 Informe sobre malware 1/2011 de G Data Ilustración 1: Difusión de las plataformas Android por visitantes del mercado Android (Fuente: http://developer.android.com/resources/dashboard/platform-versions.html) A parte de los riesgos de hardware‚ no se debe infravalorar el factor humano: las autorizaciones necesarias mostradas durante la instalación se confirman rápidamente sin prestar atención. Con ello se abre el camino a las aplicaciones de recopilar información, llamar a números Premium y mucho más. Un ejemplo son las aplicaciones manipuladas de Zsone del mercado Android de Google. Las aplicaciones envían, sin que el usuario se dé cuenta, notificaciones de suscripción a números SMS Premium chinos y capturan incluso el SMS de respuesta del servicio de Ilustración 2: Una aplicación infectada de Zsone ocasiona suscripción. El usuario no se entera de numerosas autorizaciones en el móvil que, en este caso, pueden dañar al cliente. los caros mensajes de texto hasta que (Fuente: G Data Software) recibe su factura de teléfono. Sin embargo, en el caso de este programa malicioso actualmente los usuarios Android sólo corren peligro en las redes de telecomunicación chinas. Conclusión Los dispositivos móviles seguirán estando en el foco de los criminales digitales y por ello se acelerará el desarrollo de nuevos programas maliciosos cuanto mayor sea el provecho del atacante. Debido a las crecientes cifras de venta de los dispositivos Android, este mercado será cada vez más interesante para los cibercriminales. Puesto que además las posibilidades de aplicación de los smartphones todavía no se han agotado, las nuevas tecnologías traerán consigo nuevos puntos de ataque, un ejemplo de este futuro cercano sería el pago con el smartphone vía NFC (implementado en Android desde la versión 2.3). Copyright © 2011 G Data Software AG 10 Informe sobre malware 1/2011 de G Data Hitos durante el primer semestre de 2011 Enero de 2011 09.01. La empresa australiana de medios Fairfax culpa a Vodafone de asegurar insuficientemente los datos de sus clientes, de tal forma que son visibles para muchos, entre otros, para todos los distribuidores Vodafone. Así, la información personal y los protocolos de SMS y de llamadas han ido a parar también a terceros que, mediante un procedimiento del tipo "pay per view", parece ser que han obtenido acceso a los datos. Este descubrimiento ha sido denominado como una consecuencia del caso "Cablegate" de Wikileaks. 11.01. Las cuentas de Twitter y YouTube del gobierno norcoreano han sido hackeadas y utilizadas fraudulentamente por desconocidos. El día del cumpleaños de Kim Jong-un, el sucesor designado de Kim Jong-il, los hackers propagaron en las cuentas mensajes críticos con el régimen. Además, los intrusos publicaron un vídeo animado que le muestra en un coche deportivo con el que atropella a personas necesitadas. Miembros del foro de internet surcoreano DC Inside se responsabilizan del ataque. Captura de pantalla1: Un vídeo animado muestra a Kim Jong-un (fuente: 16.01. La Policía Criminal Alemana detiene a una banda YouTube.com) de skimming búlgara que había manipulado cajeros automáticos en Dresden. Los tres hombres son detenidos in fraganti en una sucursal bancaria cuando trabajaban en su equipo. No se divulgan los datos del botín. 23.01. Las cuentas de Facebook del presidente francés Nicolas Sarkozy y del jefe de Facebook Mark Zuckerberg se ven comprometidas. Los intrusos publican en ambas páginas, en nombre de estas personalidades, comentarios que parecen auténticos. Sigue sin aclararse cómo los autores han conseguido la autorización para escribir. 24.01. Irán anuncia una policía denominada ciberpolicía que debe impedir la comunicación entre disidentes políticos, sobre todo a través de las redes sociales. En relación con las protestas contra la reelección del presidente Ahmadinejad en 2009, el jefe de la policía Esmaeil Ahmadi Moghaddam explica: "Mediante las redes sociales, en nuestro país se han puesto en contacto grupos antirrevolucionarios y disidentes, se han puesto en contacto con el extranjero y han tramado disturbios". 31.01. Curiosidad: El portátil robado de una americana de 25 años se comunica por sí solo mediante correo electrónico y facilita las indagaciones a la policía de Newport, Virginia. El aparato hace fotos con la webcam incorporada y las envía a su propietaria. Ahora sólo se tiene que identificar a las dos personas de la imagen publicada por la policía para que aclaren, cómo ha llegado el portátil a sus manos. Copyright © 2011 G Data Software AG Captura de pantalla2: foto de la webcam del portátil robado 11 (fuente: wavy.com) Informe sobre malware 1/2011 de G Data Febrero de 2011 05.02. Aaron Barr, un empleado de la empresa de seguridad HBGary Federal, expone a su empresa a un extenso y escalonado ataque del grupo Anonymous. Anteriormente se había jactado de haber identificado a los miembros del grupo de hacktivistas, que poco antes habían llevado a cabo la operación Payback. El New York Times incluso había comunicado la noticia y esta publicidad impulsó a los inculpados a defenderse. Como consecuencia, Anonymous consiguió, gracias a una serie de errores que no deberían ocurrir en una empresa de seguridad, acceso a las contraseñas de los empleados de HBGary y, finalmente, a la cuenta en Google Mail de Greg Hoglund, el cofundador y director técnico de la empresa. Además de explosiva información sobre contratos de armamento, también contenía los datos de acceso a la página de Hoglund rootkit.com. Anonymous publicó los datos allí disponibles junto con los correos electrónicos de Hoglund. La gran jugada de Aaron Barr le llevó finalmente a su dimisión. 07.02. Las autoridades policiales de Hamburgo detienen a dos presuntos administradores de páginas web de suscripciones engañosas. Los dos habían estafado desde finales de 2008 a más de 65.000 visitantes de su página web y se habían apoderado así de casi 5 millones de euros. Los estafadores ofrecían básicamente la descarga de software gratis, o al menos de una versión de prueba del mismo disponible gratuitamente, y con ello endosaban a sus visitantes sin que se dieran cuenta un contrato de suscripción. 09.02. Clandestinamente se vende por unos 25 dólares un conjunto de herramientas llamado "Tinie App" que permite a casi cualquiera proyectar sus propias aplicaciones maliciosas para Facebook, como por ejemplo "Profile Creeps" o "Creeper Tracker". Numerosos usuarios siguen haciendo clic en estas aplicaciones de Facebook y de esta forma las sigue propagando, para alegría de quien las ha desarrollado, que con cada clic se embolsa dinero de los programas de afiliación. 12.02. El Ministerio de Justicia americano y el Ministerio de Seguridad de Interior han provisto erróneamente 84.000 dominios con un banner que detalla penas considerables para personas que están en contacto con la pornografía infantil. Debido a un error en la transferencia de los datos, todos los dominios del proveedor de DNS FreeDNS son redirigidos a estos banner causando la inseguridad y el estupor de propietarios y visitantes de las páginas web. Captura de pantalla 3: El banner que se mostró erróneamente en 84.000 dominios (fuente: torrentfreak.com) 13.02. Se trafica con los datos de cliente de millones de usuarios de los servicios Pixmania, Eidos, eHarmony y diversitybusiness en la clandestinidad. Algunos paquetes de datos se ofrecen allí a precios entre 2.000 y 3.000 dólares (aprox. entre 1.400 y 2.100 euros). El potencial responsable del robo de datos es el Copyright © 2011 G Data Software AG 12 Informe sobre malware 1/2011 de G Data argentino Chris Russo. En el caso de eHarmony los datos se han robado aprovechando un punto débil SQL Injektion. 15.02. En la presentación de la web BBC 6 Music y de la página web de BBC 1xtra Radio se inyecta un código malicioso como consecuencia de una infección en masa de páginas web vulnerables. El código insertado recarga archivos de una página web e intenta infectar a los visitantes de la página web sin su conocimiento (infección drive-by download). Los atacantes utilizan un equipo Phoenix Exploit para aprovechar los puntos débiles del ordenador. 17.02. Un estudio asegura que el Reino Unido acumula unas pérdidas valoradas en 27.000 millones de libras esterlinas (aprox. 30.700 millones de euros) como consecuencia del cibercrimen. El robo por propiedad intelectual ocupa la mayor parte de los hechos criminales, seguido del espionaje industrial y chantaje. 28.02. Curiosidad: Un hombre de 48 años, de Naperville, Illinois, es víctima de una relación online engañosa. Durante dos años había ingresado para una señora un total de 200.000 dólares (aprox. 139.000 euros) en cuentas en Inglaterra, Estados Unidos, Malasia e incluso Nigeria. Cuando la mujer dejó de dar noticias, temió que la hubieran podido secuestrar y llamó a la policía. Ésta le explicó que había sido engañado. Incluso el carné de conducir, que la mujer le había mandado una vez, no era auténtico. Era un carné de muestra del estado federado de Florida. Marzo de 2011 05.03. Google explica oficialmente que el martes anterior se eliminaron numerosas aplicaciones del Android Market. Las aplicaciones estaban infectadas con el código dañino denominado DroidDream que intenta, entre otros, obtener los derechos de raíz de los dispositivos móviles afectados. Mediante control a distancia, Google desinstala los programas maliciosos de los dispositivos afectados. Adicionalmente la Captura de pantalla4: Robot empresa distribuye una "Android Market Security Tool Android (fuente: android.com) March 2011", que poco después aparece en el mercado como una aplicación troyana. 06.03. En un robo en la central del servicio de seguridad estatal egipcio, opositores al régimen encuentran documentos de la empresa británica Gamma International que ofrece al gobierno la compra de un programa de espionaje de nombre FinFisher. El software dañino es apropiado para espiar, interceptar y tomar posesión del ordenador de disidentes y debería costar, incluyendo un curso de formación, 525.000 dólares (aprox. 364.000 euros). Copyright © 2011 G Data Software AG 13 Informe sobre malware 1/2011 de G Data 16.03. Poco más de un año después del desmantelamiento de la botnet Waledac, Microsoft informa de nuevo acerca de la desactivación con éxito de una botnet: una de las mayores del mundo, llamada Rustock. La unidad de crímenes digitales de Microsoft (Microsoft Digital Crimes Unit, DCU) calcula que había aproximadamente un millón de ordenadores infectados con el código dañino Rustock y que se podía Ilustración 3: El gráfico muestra desde mitad de responsabilizar así a esta botnet de miles marzo un claro retroceso de las noticias por segundo (fuente: Spamcop.net) de millones de correos spam al día. 17.03. Unos agresores atacan el servidor de la empresa de seguridad RSA y roban datos para la autenticación de dos factores SecurID. El ataque clasificado como Advanced Persistent Threat se realizó de forma selectiva mediante archivos Excel manipulados que se habían enviados a un pequeño grupo de trabajadores de RSA. Al abrir los archivos .xls, el código dañino aprovecha un agujero de seguridad Zero-Day para obtener acceso a las cuentas de usuario privilegiadas. 18.03. Ashley Mitchell, de 29 años, es condenado a dos años de prisión por haber robado 400.000 millones de chips virtuales de póquer por valor de 12 millones de dólares (aprox. 8,4 millones de euros) de la empresa americana Zynga. Zynga gestiona, entre otros, el mundialmente conocido juego online Farmville. Mitchell vendió una parte de su botín en el mercado negro por 53.000 libras esterlinas (aprox. 60.000 euros). 20.03. La plataforma TripAdvisor es víctima de un robo de datos. Unos criminales atacan la popular página de viajes y roban de una base de datos direcciones de correos de sus miembros. TripAdvisor cierra el agujero de inmediato y no supone daños mayores. "Como consecuencia del anterior suceso, podría usted recibir correos de spam", informan en un mensaje a sus miembros. 23.03. Unos atacantes desconocidos consiguen acceder a certificados SLL de páginas web existentes infiltrándose con una cuenta comprometida en el Certifícate Authority (CA) de Comodo. Los certificados se robaron el 15 de marzo y se pudieron utilizar para falsificar páginas web que parecieran auténticas. Comodo dice en un informe que "los ataques venían de varias IP, pero principalmente de Irán" Abril de 2011 04.04. Se dan a conocer detalles sobre un ataque masivo de SQL Injektion a gran escala. El ataque, denominado ataque Lizamoon, introducía códigos dañinos en millones de páginas web. La limpieza de las páginas afectadas resulta ser una ardua tarea. Los visitantes de la Copyright © 2011 G Data Software AG 14 Informe sobre malware 1/2011 de G Data página web original son redirigidos mediante el código dañino a páginas web FakeAV, con las que los estafadores quieren obtener dinero. 08.04. Curiosidad: Una empresa de software pone una oferta de trabajo para programadoras y empleadas comerciales. Los requisitos a cumplir: Las interesadas deben tener entre 20 y 39 años, y deberán estar de acuerdo en trabajar completamente sin ropa. El administrador, de 63 años, promete ofertas de trabajo en una empresa seria. 20.04. El Departamento de Seguridad Nacional de los Estados Unidos planea publicar a sus avisos terroristas nacionales no sólo en su propia página web, radio y televisión, sino también en redes sociales como Facebook y Twitter. Los mensajes en los aeropuertos y las noticias en páginas web gubernamentales se suprimirán. 24.4. El hijo de 20 años del fabricante de software de seguridad Eugene Kaspersky es liberado sano y salvo de las garras de cinco secuestradores por las autoridades rusas de seguridad. Según fuentes internas no se ha realizado ningún pago de rescate. Los secuestradores exigían 3 millones de euros. 27.4. El primer cliente de PlayStation Sony demanda a Sony Corp. por protección insuficiente de los datos personales. Unos hackers habían atacado entre el 17 y el 19.04. la red Sony de PlayStation (PSN) y el servicio online Qriocity y robado los datos de 77 millones de usuarios. Mayo de 2011 10.05. La policía finlandesa desarticula una banda de estafadores de banca online y detiene a 17 sospechosos. Los clientes del banco finlandés Nordea Bank fueron el objetivo de los criminales que obtuvieron un botín de alrededor de 1,2 millones de euros con más de 100 transacciones manipuladas. El dinero se pudo devolver de nuevo a sus propietarios legítimos a excepción de 178.000 euros. 11.05. La muerte de Osama Bin Laden, y unas supuestas fotos como prueba fehaciente, son utilizadas por los autores de malware como gancho para atraer a sus víctimas. Los ataques son, en este caso, mediante correos electrónicos que incluyen enlaces a códigos dañinos y documentos de Word preparados que deben aprovechar un agujero de seguridad (CVE-2010-3333). Captura de pantalla5: Correo electrónico peligroso con las fotos de Osama Bin Laden como gancho. Copyright © 2011 G Data Software AG 15 Informe sobre malware 1/2011 de G Data 11.05. La página web de la agencia rusa de medios de comunicación Pravda es hackeada y ataca a sus visitantes de forma inadvertida. Los criminales utilizan scripts exploit incrustados que atacan la versión Java vulnerable del ordenador de los visitantes de dicha página web. Los atacantes no modificaron visualmente nada de la página web, lo que resulta mucho más peligroso. 20.05. El investigador independiente de seguridad Rosario presenta un exploit para el Internet Explorer de Microsoft que permite el acceso de los atacantes a páginas web que requieren registrarse, como por ejemplo Facebook. Después de introducir los datos de acceso, la página web crea una cookie como clave digital. Si se roba esta cookie, terceras personas también pueden acceder a las páginas con acceso teóricamente protegido. El ataque de sustracción de contraseñas se denomina "cookiejacking". 23.05. Todo el código fuente del troyano bancario ZeuS está disponible públicamente. ZeuS ha sido sin lugar a dudas el troyano bancario más poderoso de los últimos años. 25.05. Un doctorando de la universidad de Ámsterdam dotó a una base de datos con 35 millones de paquetes de datos de perfiles de Google. Contenía nombres, direcciones de correo electrónico e informaciones biográficas. La acumulación de información debía ser un experimento, para ver la rapidez con la que, por ejemplo, detectives privados y delincuentes del phishing podían conseguir información personal selectiva. Google no prohíbe la indexación de listas. 26.05. Las fuerzas armadas chinas confirman por primera vez que en su ejército existe una unidad de élite de ciberguerreros. Estas fuerzas especiales se denominan "cyber blue team". No se conoce si se trata de una unidad enfocada a medidas puramente defensivas o si también incluye fuerzas potencialmente de ataque. Junio de 2011 03.06. Tras los ataques a Sony PSN y Qirocity ahora se hackea la plataforma de Sony Pictures. La responsabilidad del ataque la suscribe un grupo llamado Lulz Security, abreviado LulzSec. Según fuentes internas robaron información personal de más de un millón de usuarios. 04.06. La unidad DCU de Microsoft sigue trabajando en desenmascarar a los inspiradores que hay detrás de la botnet Rustock paralizada en marzo. La DCU supone que los instigadores podrían haber operado o incluso seguir operando desde Rusia. Por este motivo ponen grandes anuncios publicitarios durante 30 días en periódicos rusos populares, para entrar en contacto con propietarios de las direcciones IP y los dominios desconectados. 07.06. La empresa de armamento Lockheed Martin da a conocer que recientemente se ha producido un ataque a su red, protegida por el token de seguridad RSA SecurID robado en marzo. Según informan, gracias a una rápida intervención se ha evitado el robo de datos. Actualmente están renovando 45.000 token SecureID. 20.06. La moneda virtual bitcoin experimenta una caída de la cotización en la plataforma de compraventa Mt Gox. Un desconocido hackea una importante cuenta de bitcoins (el 7,7% de todos los bitcoins), cambia el dinero virtual por dólares americanos y poco después lo Copyright © 2011 G Data Software AG 16 Informe sobre malware 1/2011 de G Data devuelve todo. La cotización desciende de 17,50 dólares por bitcoin a un céntimo por bitcoin. 26.06. Después de sólo 50 días, el grupo de hackers LulzSec da a conocer su disolución. Se responsabiliza a este grupo perseguido por la policía de muchos de los ataques de hackers y de ataques de sobrecarga de las últimas semanas. LulzSec publica en Internet muchos de los paquetes de datos capturados. Expertos estiman a LulzSec como descendientes del grupo Anonymous. 29.06. La red social MySpace se vende. El magnate de los medios de comunicación Rupert Murdoch había comprado la plataforma en el año 2005 por 580 millones de dólares (aprox. 403 millones de euros) y ahora la vende con una gran pérdida por 35 millones de dólares (aprox. 24 millones de euros) a una empresa publicitaria californiana. El número de usuarios de MySpace había retrocedido con el gran aumento de Facebook. 30.06. La policía criminal alemana presenta la estadística criminal alemana de 2010: El año anterior se registraron aprox. 250.000 casos de criminalidad en Internet, un 20 por ciento más que en 2009. La suma de daños asciende a 61,5 millones de euros. Copyright © 2011 G Data Software AG 17