Anuncios maliciosos y días cero: el resurgimiento de
Transcripción
Anuncios maliciosos y días cero: el resurgimiento de
Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas Informe sobre seguridad del primer trimestre de 2015 de TrendLabsSM Contenido RENUNCIA DE RESPONSABILIDAD DE TREND MICRO La información proporcionada en este documento es de carácter general y se ofrece con fines educativos únicamente. En ningún caso debe interpretarse como asesoramiento jurídico y es posible que no pueda aplicarse en todos los casos o no refleje la situación más actual. La información proporcionada no debe considerarse como base de actuación sin el debido asesoramiento jurídico de los hechos y las circunstancias concretos de cada caso y nada de lo estipulado en este documento debe interpretarse de otro modo. Trend Micro se reserva el derecho de modificar el contenido del presente documento en cualquier momento sin previo aviso. La traducción de este material a otros idiomas se ha realizado únicamente para la comodidad de los lectores no angloparlantes. En ningún caso se garantiza la precisión de las traducciones. Si tiene alguna pregunta relacionada con la precisión de una traducción, consulte la versión original del documento en el idioma oficial. Las posibles discrepancias o diferencias con respecto al original no son vinculantes y carecen de efecto jurídico para el cumplimiento o la aplicación de normativas. A pesar de todos los esfuerzos razonables realizados por Trend Micro para incluir información actualizada y precisa, Trend Micro no asume ninguna responsabilidad ni representación por su precisión, vigencia o integridad. Es responsabilidad propia del usuario el acceso a este documento y a la información que contiene, así como su utilización y la confianza en el mismo. Trend Micro renuncia a todas las garantías de cualquier tipo, explícitas o implícitas. Ni Trend Micro ni ninguna otra parte implicada en la creación, producción o presentación de este documento asume responsabilidad alguna por posibles consecuencias, pérdidas o daños, ya sean directos, indirectos, especiales, consecuenciales, así como tampoco por la pérdida de beneficios o daños especiales causados por el acceso al documento o por su uso o imposibilidad de uso, o relacionados con el uso de este documento, así como por errores u omisiones de cualquier tipo en su contenido. El uso de esta información constituye la aceptación de la condición de utilización “tal cual”. 4 Los fallos del modelo empresarial de la publicidad Web ponen en peligro la seguridad de los usuarios 11 Se dispara el volumen de infecciones del ransomware de cifrado: las empresas bajo amenaza 17 Malware de macros: una técnica antigua pero igualmente eficaz 21 El fallo de seguridad FREAK, con una década de antigüedad, expone los problemas existentes en la gestión de parches 26 Filtraciones de datos masivas en el sector sanitario y debilitación de otros sectores debido a los ataques de malware de TPV 30 Resurgimiento de antiguos atacantes con nuevas herramientas, tácticas y procedimientos para campañas de ataques dirigidos 32 Los kits de explotación siguen incrementando su nivel de sofisticación 36 Revisión del panorama de las amenazas La experiencia de las amenazas observadas este último trimestre demuestra que toda precaución es poca para proteger a los usuarios. Los ciberdelincuentes y atacantes ya no necesitan crear nuevos canales para alcanzar sus objetivos y atrapar a sus víctimas. Gran parte de las tareas preliminares ya están hechas y solo les queda finalizar el trabajo. Los mayores déficits de seguridad suelen pasar inadvertidos. Los anuncios maliciosos, por ejemplo, no suponen ninguna novedad. Muchos usuarios están habituados a ellos. Sin embargo, aunque los usuarios se abastezcan de las soluciones de seguridad más avanzadas y dispongan de los conocimientos adecuados, nada puede prepararles para hacer frente a los anuncios maliciosos infectados con vulnerabilidades de día cero. El incidente de Adobe® Flash® que tuvo lugar en febrero demostró la eficiencia de este tipo de ataques. Los usuarios de dispositivos móviles tampoco pudieron escapar. El adware continuó representando una amenaza significativa, tal como se desprende del desmantelamiento de aplicaciones de Google Play™ que se realizó ese mismo mes. A pesar de la intervención, los dispositivos de millones de usuarios que descargaron aplicaciones de alto riesgo aparentemente seguras ya se habían infectado. No cabe duda de que las redes de anuncios deben reforzar su seguridad. Muchos usuarios también cometen el error de pensar que la tecnología obsoleta no supone un problema grave. El considerable aumento en el número de infecciones de malware de macros (integrado en archivos de Microsoft™ Word®) y la persistencia de las vulnerabilidades OpenSSL puso de manifiesto la facilidad con la que los ciberdelincuentes pueden afianzarse aprovechando las vulnerabilidades antiguas y conocidas. No obstante, el sector más importante que se ha visto sorprendido durante estos últimos meses ha sido el minorista, algo interesante teniendo en cuenta la notoriedad de los ataques de malware para terminales de punto de venta (TPV). Como ha ocurrido con el ransomware, todo parece indicar que el malware de TPV ha venido para quedarse, con el consiguiente peligro que supone para los datos de las empresas y sus clientes. ¿Realmente estamos haciendo todo lo necesario para protegernos frente a las amenazas de seguridad? Como se ha demostrado a partir de los mayores incidentes ocurridos durante los tres primeros meses de 2015, ni siquiera los usuarios y las empresas más avezados en seguridad son inmunes a estos peligros. Al fin y al cabo, los agentes responsables de las amenazas no dudarán en sacar provecho incluso de la más mínima brecha de seguridad para obtener lo que desean. En el entorno informático actual no cabe margen de error. NOTA: todas las referencias del texto a las “detecciones” hacen referencia a casos en los que se detectaron amenazas en dispositivos de usuarios que posteriormente se bloquearon con un software de seguridad de Trend Micro. A menos que se indique lo contrario, las cifras incluidas en este informe provienen de datos recopilados por la infraestructura de seguridad en la nube Trend Micro™ Smart Protection Network™, que combina tecnologías en la nube y técnicas basadas en clientes para ofrecer asistencia para productos in situ y servicios alojados. TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Los fallos del modelo empresarial de la publicidad Web ponen en peligro la seguridad de los usuarios Los anuncios online se convirtieron en un medio privilegiado de propagación de vulnerabilidades, probablemente debido a la falta de control que tenían los usuarios sobre los anuncios que visualizaban. Los propietarios de sitios Web, al igual que los visitantes, también se vieron afectados por esta situación, ya que no poseían ningún control sobre los anuncios que realmente se mostraban en sus páginas. Las vulnerabilidades de día cero dirigidas a software seguridad más habituales hoy en día: visitar de Adobe se actualizaron recientemente cuando se únicamente sitios Web de confianza y mantener utilizaron para llevar a cabo ataques de publicidad actualizadas las aplicaciones con los parches más maliciosa. A principios de febrero, se descubrió recientes. un ejemplo de este tipo de vulnerabilidades, la CVE‑2015-0313, que actualmente forma parte Según un informe del Comité del Senado de del kit de explotación Angler. Utilizaba anuncios EE.UU. sobre seguridad nacional y asuntos guber maliciosos, por lo que ya no era necesario que las namentales, no es fácil abrirse camino en el sector víctimas visitaran páginas maliciosas o se toparan de la publicidad online. “La complejidad del sector con ellas por casualidad para que sus equipos se de la publicidad online dificulta la identificación de infectaran. las entidades responsables de los daños derivados de ataques de malware”1, 2. La publicidad maliciosa Debido al uso de las vulnerabilidades de día cero, supone un problema no solo para los usuarios los recientes ataques de publicidad maliciosa finales, sino también para los propietarios de los se han convertido en amenazas más serias. La sitios Web. Este tipo de publicidad también puede combinación de anuncios maliciosos y días cero infectar sitios Web sin el consentimiento o el debilita dos de las prácticas recomendadas de conocimiento de sus propietarios. 4 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Vulnerabilidades destacadas en el primer trimestre de 2015 CVE-2015-0310 CVE-2015-0311 Todas las versiones de Adobe Flash hasta la 16.0.0.257 Todas las versiones de Adobe Flash hasta la 16.0.0.287 Explotada mediante SWF_ANGZIA.A (vector no revelado) Explotada mediante SWF_ANGZIA.B, SWF_ANGZIA.C o SWF_ANGZIA.F a través de anuncios maliciosos 22 ENE 22 ENE 24 ENE 27 ENE 22 ENE CVE-2015-0313 22 ENE 24 ENE 2 FEB CVE-2015-0072 Todas las versiones de Adobe Flash hasta la 16.0.0.296 Versiones 9 a 11 de Microsoft™ Internet Explorer® Explotada mediante puertas traseras de BEDEP a través de anuncios maliciosos Explotada mediante inyección Web con ayuda de enlaces maliciosos 2 FEB 2 FEB ID de la lista CVE (vulnerabilidades y exposiciones más comunes) 4 FEB 10 FEB Revelación de la vulnerabilidad 5 FEB Descubrimiento del ataque 5 FEB 10 MAR Aplicación de parches para la vulnerabilidad 3 FEB Publicación de la regla de Trend Micro Deep Security De las cuatro vulnerabilidades de día cero detectadas este último trimestre, dos utilizaban anuncios maliciosos como vector de infección. 5 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Funcionamiento de la publicidad maliciosa Funcionamiento de la publicidad online Los anunciantes quieren promover productos o servicios. Las redes de anuncios conectan a los anunciantes con sitios Web que desean alojar anuncios online y recopilan y añaden diversos anuncios para distribuirlos por sitios diferentes. Los editores de los anuncios (los propietarios de los sitios Web) integran los anuncios en el contenido online de los sitios. Pueden mostrar varios anuncios en diferentes formatos. Los usuarios visualizan los anuncios cuando visitan los sitios que los alojan. Funcionamiento de la publicidad maliciosa online Los ciberdelincuentes se hacen pasar por anunciantes y envían anuncios maliciosos. Los anuncios maliciosos y legítimos se muestran indistintamente, posiblemente debido a la falta de mecanismos de control adecuados para su distribución mediante las redes de anuncios. Los anuncios maliciosos se muestran en sitios que alojan anuncios. Los anuncios maliciosos explotan las vulnerabilidades de los equipos de los visitantes del sitio para infectarlos con malware. 6 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Número de infecciones de BEDEP y ROZENA distribuidas a través de anuncios maliciosos entre el cuarto trimestre de 2014 y el primer trimestre de 2015 4.o trim. 2014 TOTAL: 2.503 4.000 1.er trim. 2015 TOTAL: 10.031 3.568 2.385 2.480 2.000 1.858 1 0 5 OCT. NOV. 1.660 313 106 6 152 0 DIC. 2014 ENE. FEB. MAR. 2015 TOTAL BEDEP: 7.719 TOTAL ROZENA: 4.815 Los anuncios maliciosos redirigieron a las víctimas a sitios Web que infectaron sus equipos automáticamente con varios tipos de malware. El malware BEDEP se propagó mediante una al menos 52 modelos de portátiles Lenovo® explotación de Adobe Flash de día cero distribuida distribuidos entre septiembre y diciembre de a través de anuncios maliciosos3. Los usuarios 20145, 6. Clasificado como inflaware o software que, sin saberlo, descargaron dicho malware se innecesario que consume mucho espacio en expusieron involuntariamente a participar en las el disco y viene preinstalado en los equipos, operaciones de redes robot de los atacantes y a Superfish es capaz de alterar los resultados de convertirse en víctimas y descargar otros tipos de búsqueda (mostrados como imágenes) según el malware . historial de navegación de los usuarios7. No solo se 4 comporta como adware, sino que también permite Las amenazas relacionadas con publicidad de que los ciberdelincuentes espíen comunicaciones este trimestre también incluían Superfish, un supuestamente seguras. complemento del explorador preinstalado en 7 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Funcionamiento de Superfish Superfish viene preinstalado en determinados modelos de portátiles Lenovo, por lo que es posible que los usuarios no tengan pleno conocimiento de qué es ni en qué consiste, ni hayan dado su consentimiento para utilizarlo. Superfish instala su propio certificado raíz para activar el complemento incluso en HTTPS, lo que le permite interceptar comunicaciones seguras sin generar advertencias. La búsqueda visual de Superfish es un complemento del explorador que muestra imágenes de anuncios relacionadas con los resultados de búsqueda. Los certificados de Superfish utilizan la misma clave privada que se ha filtrado públicamente en todos los portátiles, lo que implica una seguridad y un cifrado débil frente a posibles abusos. Además de venir preinstalado en los equipos y comportarse como adware, Superfish supuso una seria amenaza. La escasa seguridad de su certificado puso en peligro hasta las comunicaciones seguras. El adware no va dirigido solo a los usuarios, ya que llegó a infectar millones de dispositivos antes de que varias aplicaciones de Google Play que utilizaban el las aplicaciones que lo contenían se eliminaran de kit de desarrollo de software (SDK) MDash también Google Play. En la tienda también se encontraron mostraban anuncios maliciosos de forma agresiva más de 2.000 aplicaciones con un comportamiento en todos los dispositivos móviles afectados . Se similar. 8 cree que MDash (ANDROIDOS_ADMDASH.HRX) 8 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Número de aplicaciones infectadas con MDash encontradas en Google Play antes y después del desmantelamiento FEB. 3 DE FEBRERO 11 DE MARZO Google informó de la eliminación de tres aplicaciones de su tienda tras detectar que se trataba de adware camuflado. MAR. 26 DE MARZO Se informó del problema a Google, que afirmó que llevaría a cabo una investigación más exhaustiva. En el momento de realizar el análisis, nuestros investigadores identificaron 2.377 aplicaciones con funciones hash SHA-256 en Google Play. 31 DE MARZO ABR. 2 DE ABRIL Después de que nuestros investigadores realizaran una comprobación, todavía quedaban 682 aplicaciones en la tienda. 15 DE ABRIL Se publicó la entrada del blog sobre MDash. MAY. Cuando nuestros investigadores volvieron a realizar una comprobación, todavía quedaban 85 aplicaciones en Google Play. A principios de marzo se detectaron 2.000 aplicaciones infectadas con MDash en Google Play, la mayoría de las cuales se retiraron en el periodo de un mes tras la notificación. Las amenazas de este último trimestre atacaron las comunicaciones supuestamente seguras, que la plataforma de publicidad online para vulnerar quedaron a merced de los ciberdelincuentes. la seguridad de los datos de los usuarios y los Asimismo, volvió a quedar de manifiesto que propietarios de los sitios Web. Se ha demostrado ningún dispositivo está a salvo de amenazas cuando que los anuncios maliciosos son medios eficaces los atacantes utilizaron MDash y aplicaciones para explotar vulnerabilidades de día cero, tal como similares para robar información valiosa de sus se ha observado en los recientes ataques de día víctimas. cero de Adobe. Superfish puso en peligro incluso 9 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs “Para el usuario normal, los anuncios maliciosos representan una de las peores amenazas. Este tipo de anuncios puede hacer mucho más daño que otras amenazas, incluso cuando se actúa correctamente. La publicidad maliciosa puede perjudicar incluso a usuarios que no hagan clic en enlaces, tengan totalmente actualizadas las soluciones de seguridad o solo visiten sitios Web de confianza. En resumen, por muchas precauciones que tome, nunca estará protegido de los anuncios maliciosos: todo es cuestión de suerte.” —Christopher Budd, director de comunicaciones para amenazas “Los usuarios han intentado evitar por todos los medios exponerse a materiales publicitarios tanto en soportes online como tradicionales. Si se mantiene la tendencia de hacer un mal uso de la publicidad, cabe esperar que los desarrolladores de exploradores incorporen funciones que bloqueen directamente los anuncios en sus productos, algo que hoy en día solo se puede conseguir con complementos de terceros. La única forma de impedir esta marea de cambios pasa por que las redes publicitarias mejoren la verificación del contenido que ofrecen a través de, por ejemplo, el aislamiento de procesos previo a la publicación y una autenticación eficaz de sus sitios Web.” —Rik Ferguson, vicepresidente de investigación para seguridad 10 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Se dispara el volumen de infecciones del ransomware de cifrado: las empresas bajo amenaza El ransomware de cifrado amplió su lista de objetivos y dejó de dirigirse exclusivamente a particulares para incluir también empresas y otros tipos de usuarios específicos. Casi la mitad de los infectores de ransomware las víctimas a sus equipos como hacían los troyanos detectados durante el primer trimestre de 2015 se policiales. Su letal descendiente, el ransomware clasifican en la categoría más letal: el ransomware de cifrado, cifraba archivos secuestrados para de cifrado. El ransomware actual, más potente que asegurarse de obtener un rescate, con lo que los sus predecesores, no se limita a bloquear el acceso de usuarios se exponían a un riesgo mayor. Comparación de las variantes conocidas de ransomware de cifrado 1 GulCrypt TROJ_GULCRYPT.A Utiliza .RAR para proteger con contraseña los archivos almacenados; la contraseña está cifrada con el protocolo PGP. Descargada por TROJ_CRYPTOP.KLS junto con otros componentes. 2 (Bandarchor) 3 CryptoFortress Utiliza técnicas antiguas, aunque se publican nuevas variantes con frecuencia (dirigida a más tipos de archivos; alterna notas de rescate en ruso y en inglés). Imita la interfaz de usuario (IU) de TorrentLocker; utiliza comodines de forma masiva para buscar extensiones de nombres de archivos; cifra archivos en recursos de red compartidos. TROJ_CRYPAURA.F TROJ_CRYPFORT.A Distribuida mediante spam y explotación de vulnerabilidades. Incluida en el kit de explotación Nuclear. 4 TeslaCrypt 5 VaultCrypt 6 Troidesh Utiliza una IU similar a la de CryptoLocker; cifra los archivos de juegos independientemente de los documentos. Utiliza GnuPG para cifrar archivos; descarga herramientas de pirateo para robar credenciales de inicio de sesión de la caché del explorador; utiliza sDelete 16 veces para dificultar a las víctimas la recuperación de copias de seguridad; dirigida principalmente a rusos. Renombra archivos como {nombre del archivo codificado}.xtbl; roba direcciones IP. TROJ_CRYPAURA.F Incluida en el kit de explotación Angler. BAT_CRYPVAULT.A TROJ_CRYPSHED.A Incluida en el kit de explotación Nuclear. Distribuida mediante spam con una aplicación de descarga de JavaScript™. 11 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs FUNCIONES 1 2 3 4 5 6 ¿Nueva familia? Sí No Sí Sí Sí Datos robados No aplicable Nombre del ordenador e identificador único global (GUID) de la máquina No aplicable Dirección IP Credenciales de Dirección IP inicio de sesión de la caché del explorador mediante una herramienta de pirateo conocida como “Browser Password Dump by Security Xploded” (HKTL_ BROWPASS) Comunicación C&C No Sí (con un servidor de comando y control [C&C] codificado) No Sí (a través de Tor2web) Sí (a través de Onion City Tor2web) Sí (a través de Tor) Nombre del archivo de nota de rescate {nombre de usuario}_ archivos fud.bmp (como fondo de pantalla) LEER PARA RECUPERAR LOS ARCHIVOS. html SALVE_SUS_ ARCHIVOS.txt; SALVE_SUS_ ARCHIVOS.bmp (como fondo de pantalla) VAULT.txt LÉAME{1 de 10}. txt Nombre de la extensión anexada a los archivos cifrados .rar .id-{id#}_fud@ india.com* .frtrss .ecc .VAULT Renombra archivos como {nombre del archivo codificado}.xtbl ¿Elimina las instantáneas? No No Sí Sí Sí No Número de archivos atacados 11 102 (de los 39 de variantes anteriores) 132+ 185 15 342 Importe del rescate 300 € Bitcoins (BTC) 1 BTC por valor de 500 dólares estadounidenses 1,5 BTC (1.000 dólares estadounidenses si se paga con PayPal) BTC por valor de 247 dólares estadounidenses (aumenta cada siete días) Desconocido (en primer lugar, las víctimas deben ponerse en contacto con los atacantes y todavía no se conocen casos de pagos por rescate) Utiliza la Internet profunda para los sitios Web de pago Mail2Tor (servicio de correo electrónico Tor) No (a través de correo electrónico) Tor Tor Tor No (a través de correo electrónico) No Sí Sí Sí No ¿Funciones de Sí servicios básicos (a través gratuitos? de correo electrónico) Sí (* id#: número que identifica a las víctimas durante las transacciones de descifrado) Se añadieron seis familias a la creciente lista de ransomware de cifrado principal. La lista se clasifica por diferentes niveles de gravedad de peticiones y sofisticación. 12 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Número de infecciones por ransomware 20.000 13.000 8.000 12.000 Ransomware 10.000 9.000 6.000 6.000 8.000 3.000 3.000 3.000 Ransomware de cifrado 3.000 2.000 0 4.o trim. 2013 1.er trim. 2014 2.o trim. 2014 3.er trim. 2014 4.o trim. 2014 1.er trim. 2015 Tras descender el número de ataques entre el primer y tercer trimestre de 2014, probablemente debido a la detención del autor del kit de explotación Blackhole (Paunch) a finales de 2013, el volumen de ransomware recuperó fuelle antes de que finalizara el 2014. (El kit de explotación Blackhole era conocido por distribuir ransomware). Países con el mayor número de infecciones de ransomware en el primer trimestre de 2015 Estados Unidos Australia Japón Turquía Italia Francia Alemania India Canadá Filipinas Otros 34% 6% 6% 5% 5% 4% 3% 3% 2% 2% 30% El grueso de las infecciones por ransomware correspondía a Estados Unidos, seguramente a causa de la adición durante ese año de nuevas variantes de ransomware de cifrado como CTB-Locker, que iba dirigido a residentes estadounidenses. 13 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Principales familias de ransomware CRYPCTB REVETON KOVTER CRYPWALL RANSOM CRILOCK CRYPTOPHP VIRLOCK MATSNU CRYPTWALL Otros 25% 20% 17% 11% 10% 6% 5% 1% 1% 1% 3% CRYPCTB, que representa el 25% del total de ransomware, es el nombre de detección de Trend Micro para las variantes de CTB-Locker, que atormentaron a los usuarios durante los dos primeros meses de este año. Aunque la detención de Paunch en 2013 se tradujo Pero lo más preocupante es el hecho de que en un descenso en el número de infecciones de ransomware ha dejado de amenazar a clientes ransomware, el incidente no disuadió a otros exclusivamente y ha ampliado sus miras a las ciberdelincuentes de distribuir variantes de la empresas. CryptoFortress, una imitación de amenaza más nocivas . De hecho, los usuarios CryptoLocker (TROJ_CRYPFORT.A), es capaz actuales se enfrentan a una plaga de variantes de de cifrar archivos de carpetas compartidas10. ransomware incluso más letales. CRYPWEB, por su parte, cifra bases de datos 9 de servidores Web11. Es importante que las empresas tomen consciencia de la amenaza que el ransomware constituye para sus infraestructuras y negocios. 14 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Número de infecciones de ransomware por segmentos durante el cuarto trimestre de 2014 y el primer trimestre de 2015 16.433 15.532 4.o trim. 2014 1.er trim. 2015 72% Particulares 52% 16% Grandes empresas 28% 6% s Pequeñas y medianas empresas (PYMES) 14% s 6% Otros 6% El número de infecciones de ransomware en empresas casi se ha duplicado durante el último trimestre. Este aumento podría deberse al incremento del volumen de ransomware dirigido a empresas en lugar de a usuarios normales. Además de las empresas, los jugadores online CRYPAURA, por ejemplo, logró secuestrar un total también pasaron a formar parte de la lista de de 102 tipos de archivos para obtener un rescate, objetivos del ransomware de cifrado. Teslacrypt frente a los 39 habituales. (TROJ_CRYPTESLA.A) fue capaz de cifrar datos de software y el juego Steam®, así como El ransomware se asemeja a FAKEAV en el sentido documentos y archivos de copias de seguridad y de que prácticamente consigue asustar a todos soportes de los usuarios . Incluso la policía de los usuarios para que paguen el precio exigido Massachusetts se vio obligada a pagar hasta 500 para recuperar el acceso a los equipos y archivos. dólares estadounidenses de rescate simplemente El tiempo dirá si el ransomware suscitará tantos para recuperar el acceso a sus archivos cifrados . problemas como lo ha hecho FAKEAV. Sin 12, 13 14 embargo, en el caso de FAKEAV la sensibilización Los usuarios de Australia y Nueva Zelanda de los usuarios desempeñó un papel decisivo, también experimentaron ataques de ransomware. puesto que bastaba con ignorar los molestos Los ataques de TorrentLocker, según se ha mensajes emergentes para mantenerse a salvo. podido comprobar este enero, se abrieron camino Con el ransomware, en cambio, los usuarios no en todos los mercados. Paralelamente, otras tienen opción. Su única esperanza se reduce a variantes de ransomware de cifrado ejecutadas poder recuperar los archivos secuestrados de las este último trimestre también mostraron mejoras. ubicaciones seguras de las copias de seguridad. 15 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs “El ransomware de cifrado se ha revelado como un medio excepcional para que los ciberdelincuentes rentabilicen sus ataques. Los cerebros que urdieron las primeras variantes ganaron millones de dólares en pocos meses. La facilidad con la que el ransomware se puede transformar en ransomware de cifrado mediante la adición de bibliotecas de cifrado explicaría muy bien el crecimiento de la amenaza. Los algoritmos de cifrado son irreversibles. Las víctimas que no guardan copias de seguridad no tendrán más remedio que pagar si desean recuperar sus archivos importantes.” —Anthony Melgarejo, ingeniero de respuestas frente a amenazas 16 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Malware de macros: una técnica antigua pero igualmente eficaz El resurgir del malware de macros podría deberse perfectamente a la voluntad de los ciberdelincuentes para aprovechar la falta de conocimientos de los usuarios. Después de todo, son muy pocos los usuarios que realmente comprenden las macros y saben cómo funcionan. Hacia finales de 2014 se observó un resurgimiento del malware de macros, respaldado por el incremento del spam con archivos adjuntos maliciosos cargados de macros y la aparición de nuevas variantes. El malware de macros solía utilizar frases clave y términos de búsqueda populares para persuadir a los objetivos para descargar y ejecutar las macros15. Incluso el infame malware bancario, VAWTRAK, ha utilizado macros maliciosas para infectar equipos, un método que dista mucho de los vectores de infección conocidos. Este malware recurrió al spam para convencer a los destinatarios de que habilitasen macros con el objetivo de ver correctamente archivos Word adjuntos especialmente diseñados. Al hacerlo, se ejecutaba el malware de macro (W2KM_VLOAD.A), que descarga variantes de VAWTRAK16. Entre las amenazas que anteriormente utilizaban malware de macros como vector de infección figuran ladrones de datos como DRIDEX y ROVNIX17, 18. Los ciberdelincuentes confían en coger despre venidos a los usuarios, lo que podría explicar el éxito de los ataques de malware de macros. Se aprovechan del hecho de que los usuarios no saben qué son las macros ni cómo funcionan. Por ello, cuando se les solicita que habiliten macros para ver correctamente archivos adjuntos mediante spam muy convincente, lo hacen. Las macros se están convirtiendo en los vectores de ataque preferidos debido a su facilidad para burlar las soluciones antimalware tradicionales. La ejecución de malware de macros requiere de intervención manual, lo que hace que las tecnologías de aislamiento de procesos no consigan impedir eficazmente la amenaza. Es posible que los usuarios de soluciones para la exploración del correo electrónico sean menos proclives a las infecciones por malware de macros, ya que dichas soluciones detectan ejecutables en lugar de buscar macros maliciosas integradas que podrían ocultarse con facilidad y que las soluciones antimalware podrían obviar fácilmente. Funcionamiento del malware de macros El spam insta a los usuarios a descargar y abrir archivos adjuntos, que normalmente están en blanco o solo presentan contenido ilegible. Los mensajes solicitan a los destinatarios que habiliten macros para mostrar un contenido determinado y proporcionan las instrucciones correspondientes. La rutina se ejecuta una vez habilitada la macro. La ingeniería social tuvo mucho que ver en los recientes ataques de malware de macros. Se engañaba a los usuarios para que habilitaran macros con el objetivo de ver archivos adjuntos sin saber que en realidad estaban ejecutando rutinas maliciosas en segundo plano. 17 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Nuevo malware de macros detectado en el primer trimestre de 2015 436 500 250 180 79 29 0 2011 2012 19 2013 2014 2015 Se ha detectado un resurgimiento del malware de macros desde 2014. Incluso el troyano bancario VAWTRAK ha empezado a utilizarlo. Número de infecciones de malware de macros en el primer trimestre de 2015 93.000 100.000 48.000 50.000 32.000 0 20.000 22.000 1.er trim. 2.o trim. 2014 3.er trim. 4.o trim. 1.er trim. 2015 El número de infecciones de malware de macros no ha dejado de aumentar desde el primer trimestre de 2014. Esto podría deberse al lanzamiento de nuevas variantes y al incremento del número de spam con archivos adjuntos maliciosos cargados de macros. 18 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Países con el mayor número de infecciones de malware de macros durante el primer trimestre de 2015 China Estados Unidos Reino Unido Japón Australia Francia Italia Taiwán Alemania India Otros 22% 14% 12% 7% 5% 5% 4% 3% 3% 2% 23% China encabezó la lista de países con el mayor número de equipos infectados por malware de macros durante los tres primeros meses de 2015. Pese a que Microsoft ha inhabilitado las macros predeterminadas de Office, los usuarios de versiones anteriores siguen estando expuestos. Principales variantes de malware de macros en el primer trimestre de 2015 W97M_MARKER.BO 8% X97M_OLEMAL.A 5% W2KM_DLOADR.JS 3% X2KM_DLOADR.C 2% W97M_SATELLITE 2% W97M_DLOADR.XTRZ 2% W2KM_DLOAD.NB 2% W97M_DLOADER.GHV 2% X2KM_DLOAD.A 2% X97M_LAROUX.CO 2% Otros 70% 19 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Aplicaciones más utilizadas para incorporar macros maliciosas en el primer trimestre de 2015 Word 75% Excel® 21% PowerPoint® 1% Otros 3% Los documentos de Microsoft Word y las hojas de datos de Excel fueron los portadores de macros maliciosas preferidos por los ciberdelincuentes. Principales familias de malware de macros en el primer trimestre de 2015 DLOADR DLOAD MARKER BARTALEX DLOADER DLOADE OLEMAL LAROUX BURSTED MDROP Otros 30% 10% 8% 8% 6% 5% 4% 4% 3% 2% 20% El malware de macros ha pasado a ser el vector de ataque favorito, ya que puede eludir fácilmente las soluciones antimalware independientes instaladas en la mayoría de equipos. Las principales familias de malware de macros eran aplicaciones de descarga, lo que podría indicar que otro malware los utiliza como medio para infectar sistemas. 20 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs “El reciente éxito del malware de macros podría atribuirse al uso de eficaces tácticas de ingeniería social y a la facilidad con que se puede ocultar. Normalmente se integra en archivos de Office, con los que las soluciones de exploración de malware suelen ser más benevolentes. Lo peor de todo es que las macros se pueden habilitar a través de archivos de lotes y secuencias de comandos, que también esquivan la detección antimalware.” —Anthony Melgarejo, ingeniero de respuestas frente a amenazas 21 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs El fallo de seguridad FREAK, con una década de antigüedad, expone los problemas existentes en la gestión de parches FREAK y GHOST asustaron a los usuarios de equipos y aplicaciones vulnerables. Pusieron en evidencia los problemas de la anticuada gestión de parches para los administradores de TI, derivados de la variedad de plataformas y dispositivos que necesitaban protección. Cabe esperar que surjan más fallos explotables en plataformas y dispositivos a medida que avance el año. FREAK (acrónimo de “Factoring RSA Export Transport Layer Security (TLS)/Secure Sockets Keys”), una vulnerabilidad que obliga a las Layer (SSL) eran vulnerables a los ataques man-in- aplicaciones y los sitios Web seguros afectados a the-middle (MiTM)19. Los usuarios de Windows® utilizar un cifrado más débil, se descubrió el pasado afectados estuvieron expuestos al robo de datos mes de marzo. Se detectó que todas las versiones de confidenciales20. OpenSSL anteriores a 1.0.1k y los clientes de Apple Actualmente vulnerables Cambio desde el 3 de marzo Servidores HTTPS de la lista de principales nombres de dominio de Alexa (compuesta por 1 millón) 8,5% Ha disminuido desde el 9,6% Servidores HTTPS con certificados de confianza para el explorador 6,5% Ha disminuido desde el 36,7% Todos los servidores HTTPS 11,8% Ha disminuido desde el 26,3% El número de servidores que se han visto afectados por la vulnerabilidad FREAK ha disminuido desde el descubrimiento del fallo este mes de marzo21. GHOST, una vulnerabilidad de desbordamiento para los fallos de las aplicaciones Web antes de de búfer de Linux™ (glibc o las versiones de GNU que se conviertan en objeto de ataque. Al fin y al C Library anteriores a la 2.2), también se dio a cabo, estos fallos pueden poner en peligro datos conocer el pasado enero. El fallo se activa al utilizar empresariales importantes almacenados en bases determinadas funciones en glibc que permiten la de datos de servidores vulnerables. ejecución de código arbitrario. Afortunadamente, la vulnerabilidad no es fácil de explotar y puede Los datos de Trend Micro Deep Security revelaron afectar solamente a un reducido número de que los ataques de secuencias de sitios cruzados sistemas . (XSS) y de SQL injection se utilizaban básicamente 22 contra aplicaciones Web de servidores corporativos. Al igual que sucede con las vulnerabilidades de Los datos de Open Web Application Security clientes y servidores, es necesario crear parches Project (OWASP) respaldan esta conclusión. 22 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Principales vulnerabilidades de aplicaciones Web detectadas en el primer trimestre de 2015 Plantea graves amenazas para cualquier aplicación Web que utilice una base de datos; el problema surge de entradas no validadas o insuficientes que los usuarios transfieren mediante aplicaciones Web afectadas a servidores de bases de datos en forma de comandos SQL; permite que los atacantes lean o modifiquen datos de las bases de datos, así como añadir o eliminar datos, lo que puede tener efectos devastadores. CRÍTICA SQL injection XSS no persistente Permite a los atacantes inyectar secuencias de comandos maliciosas (normalmente en el cliente) en aplicaciones Web; XSS se aprovecha de las aplicaciones que no validan, filtran ni cifran los datos suministrados por los usuarios; el objetivo suele ser intentar engañar a las víctimas para que hagan clic en enlaces aparentemente legítimos que en realidad proporcionan datos adicionales para lanzar ataques. Aprovecha las validaciones de seguridad insuficientes de las aplicaciones Web para facilitar el acceso de los atacantes a archivos de rutas de sistemas restringidos mediante navegación por los sistemas de archivos de los servidores; también conocidos como ataques “punto punto barra” o “directory traversal”. ALTA Path traversal Detección de posible recurso confidencial Permite a los atacantes obtener información sobre recursos que podrían estar enlazados con la estructura de aplicaciones (antiguas copias de seguridad, configuraciones de servidores, registros de bases de datos o servidores, configuraciones de bases de datos, vuelcos de bases de datos o archivos de aplicaciones confidenciales) con la finalidad de ejecutar ataques más sofisticados. Indexación de directorios Afecta a servidores Web que muestran la página de índice de su directorio o subdirectorio virtual cuando acceden agentes de usuario; permite que los atacantes organicen más ataques a partir del análisis del contenido y la estructura del directorio de aplicaciones Web vulnerables y obtengan acceso no autorizado a archivos de directorio. Permite a los atacantes obtener acceso a información confidencial, incluida la lógica interna de las aplicaciones Web, que incorpora códigos HTML que los usuarios visualizan cuando se producen excepciones o errores en las aplicaciones Web. MEDIA Mensajes detallados de error de aplicaciones Datos de formularios confidenciales transmitidos sin SSL Permite a los atacantes obtener datos confidenciales transmitidos a través de aplicaciones que no utilizan SSL. Revelación de código fuente de archivos de inclusión Permite que los atacantes obtengan acceso a información confidencial sobre la lógica de las aplicaciones existente en códigos fuente y la aprovechen en su beneficio. Provocada por la generación de resultados inesperados; las aplicaciones Web que divulgan rutas locales pueden guiar a los atacantes hasta las carpetas raíz y, de este modo, ayudarles a diseñar ataques personalizados con los que acceder a los archivos internos del sistema. BAJA Revelación de ruta local Filtración de dirección IP interna Puede revelar información sobre el esquema de direcciones IP de las redes internas que luego se puede utilizar para diseñar ataques personalizados. XXS no persistente es la vulnerabilidad de aplicaciones Web más común. Según OWASP, “los errores de XSS se producen cuando una aplicación recibe datos que no son de confianza y los envía a un explorador Web sin la validación adecuada”. De esta forma, los atacantes pueden ejecutar secuencias de comandos maliciosas cuando engañan a los usuarios para que hagan clic en enlaces especialmente diseñados. 23 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Los datos de Deep Security también desvelaron que para el desarrollo Web y, en ocasiones, como las vulnerabilidades de los servidores PHP eran lenguaje de programación general. La mayor parte las más predominantes entre las organizaciones. de estas vulnerabilidades, clasificadas con una De hecho, las 10 principales vulnerabilidades de gravedad “alta” o “crítica”, ya están parcheadas en servidores estaban relacionadas con el lenguaje de las últimas versiones de PHP. secuencia de comandos del servidor PHP diseñado Principales vulnerabilidades de plataformas detectadas durante el primer trimestre de 2015 ID de CVE Gravedad Software afectado CVE-20122688 Crítica PHP No especificada. Actualice a PHP 5.3.15, 5.4.5 o superior. CVE-20122376 Crítica PHP Permite a los atacantes ejecutar código arbitrario. Todavía se tienen que publicar los parches o las actualizaciones para solucionar el problema. CVE-20113268 Crítica PHP Permite a los atacantes ejecutar código arbitrario o bloquear las aplicaciones afectadas. Actualice a PHP 5.3.7 o superior. CVE-20149427 Alta PHP Permite a los atacantes bloquear aplicaciones infectadas, obtener información confidencial de la memoria de proceso de php-cgi o activar la ejecución inesperada de código. Póngase en contacto con los proveedores de la aplicación para obtener información acerca de cómo arreglar este fallo. CVE-20131635 Alta PHP Permite a los atacantes eludir restricciones de acceso planificadas. Actualice a PHP 5.3.22, 5.4.13 o superior. CVE-20111092 Alta PHP Permite a los atacantes bloquear aplicaciones infectadas. Actualice a PHP 5.3.6 o superior. CVE-20121823 Alta PHP Permite a los atacantes ejecutar código arbitrario. Actualice a PHP 5.4.2 o superior. CVE-20122311 Alta PHP Permite a los atacantes ejecutar código arbitrario. Actualice a PHP 5.3.13, 5.4.3 o superior. CVE-20122386 Alta PHP Permite a los atacantes bloquear aplicaciones infectadas. Actualice a PHP 5.3.14, 5.4.4 o superior. CVE-20111153 Alta PHP Permite a los atacantes obtener información confidencial y diseñar ataques de denegación de servicio (DoS). Actualice a PHP 5.3.6 o superior. Descripción Solución PHP fue la plataforma más vulnerable de este pasado trimestre al detectarse fallos en diferentes versiones del lenguaje de secuencia de comandos. Tanto los usuarios como los administradores de TI deben mantener actualizadas sus aplicaciones con los parches o las versiones más recientes. Deep Security dispone de soluciones para gestionar estas vulnerabilidades. 24 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs A medida que aumenta el número de vulnera problemas subyacentes podría ser la falta de bilidades detectadas en aplicaciones y sistemas responsabilidad directa a la hora de revelar o operativos de código abierto, los administradores parchear fallos, que se suma a la dificultad de de TI tienen más dificultades para mitigar los proteger todas las aplicaciones y los sistemas riesgos relacionados. Uno de los principales operativos potencialmente vulnerables. “El ataque FREAK volvió a recordar que, independientemente de lo protegidos que pensemos que están nuestros sistemas y redes, siempre es posible descubrir una amenaza nueva. Los sistemas heredados deberían estar tan actualizados como sea posible. Las empresas, por su parte, deberían conservar los códigos fuente de las aplicaciones personalizadas que les diseñan los proveedores. Como ocurrió con Heartbleed, FREAK reproduce la fragilidad de OpenSSL. Se trata de una tecnología obsoleta que es preciso sustituir por bibliotecas de cifrado optimizadas. Las organizaciones que utilizan bibliotecas y software de código abierto deben revisar e intensificar sus políticas de seguridad. Entre otras medidas, deben aplicar soluciones de seguridad para la reputación de dominios e IP y la supervisión del tráfico de redes mediante sistemas de detección de filtraciones, además de recurrir a la prevención de intrusiones para bloquear amenazas conocidas y desconocidas.” —Pawan Kinger, director de Deep Security Labs 25 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Filtraciones de datos masivas en el sector sanitario y debilitación de otros sectores debido a los ataques de malware de TPV Una seguridad laxa y la falta de implementación de las soluciones más exigentes pese a la gran cantidad de datos confidenciales que se almacenan en las redes de proveedores de servicios sanitarios podrían ser la causa de que dichas redes se hayan convertido en el objetivo preferido de los ataques. Dos grandes proveedores de servicios de atención sanitaria, Premera Blue Cross y Anthem, sufrieron filtraciones de datos que expusieron millones de registros médicos y financieros de sus clientes durante el mes de marzo23. Según los datos facilitados, la filtración de Anthem afectó a 80 millones de clientes y empleados24. El ataque a Premera Blue Cross, descubierto en enero, dejó expuestos los registros de 11 millones de clientes. Ambas filtraciones de datos desbancaron a NHS, que logró dejar al descubierto más de 8,6 millones de sus registros, como el peor ataque a un proveedor de servicios sanitarios desde 201125. Los proveedores de servicios sanitarios poseen más información sobre los usuarios que cualquier otro tipo de organización, aunque no por ello utilizan necesariamente los medios más eficaces para proteger sus datos26. Ataques más destacados de filtraciones de datos dirigidos a proveedores de servicios sanitarios entre 2009 y 2015 Virginia Department of Health | EE.UU. National Health Services | R. Unido Registros de pacientes, prescripciones Registros de pacientes no cifrados 2009 Registros perdidos: 8,3 millones Registros perdidos: 8,6 millones 2010 Advocate Medical Group | EE.UU. Nombres, direcciones, fechas de nacimiento, números de la seguridad social Community Health Systems | EE.UU. 2011 Cinco años de datos de pacientes, nombres, direcciones y números de la seguridad social Registros perdidos: 4 millones 2012 Registros perdidos: 4,5 millones Premera Blue | EE.UU. 2013 Anthem | EE.UU. Nombres, fechas de nacimiento, direcciones de correo electrónico, direcciones, números de teléfono, números de la seguridad social, números de ID de miembros, información de cuentas bancarias, información sobre reclamaciones, información clínica Registros perdidos: 11 millones 2014 Nombres, fechas de nacimiento, números de ID de miembros, números de la seguridad social, direcciones, números de teléfono, direcciones de correo electrónico, información sobre empleos 2015 Registros perdidos: 80 millones Las filtraciones de datos de Anthem y Premera, ambas descubiertas durante el primer trimestre del año, se consideran las peores hasta la fecha27. La última filtración de este tipo tuvo lugar en 2011, cuando se robaron portátiles que podían contener registros de pacientes sin cifrar del NHS. (Nota: únicamente se han considerado las organizaciones que perdieron un mínimo de 4 millones de registros). 26 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Número de filtraciones de datos observadas entre 2005 y 2014 relacionadas con los servicios sanitarios 10% 14% 14% 15% 2005 2006 2007 2008 14% 25% 24% 36% 2009 2010 2011 2012 44% 43% 2013 2014 Filtraciones de datos relacionadas con los servicios sanitarios El número de víctimas por filtraciones de datos de proveedores de servicios sanitarios ha ido en aumento desde 2005 hasta prácticamente cuadruplicarse en 2014. El sector sanitario ha sufrido más filtraciones incluso que las empresas y los sectores militar y gubernamental entre 2012 y 201428. En el sector minorista y de servicios, los raspadores Los usuarios se han visto cercados por diferentes de RAM para TPV no han dejado de aumentar. La variantes de raspadores de RAM de TPV nuevos debilidad de la seguridad de los sistemas de TPV y antiguos. Así, FighterPoS se sumó a la creciente ha permitido que los raspadores de RAM se hayan lista de malware de TPV conocido este febrero, convertido en un método viable para infiltrarse mientras que el viejo pero eficaz BlackPOS siguió en las redes, aunque no necesariamente para acosando a empresas y fue responsable de una parte organizar ataques dirigidos. El malware de TPV considerable del número total de infecciones29. permitía a los atacantes obtener gratificaciones instantáneas en forma de pingües beneficios. 27 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Número de sistemas infectados por raspadores de RAM de TPV 116 259 300 120 86 65 156 124 150 123 60 73 0 1.er trim. 2.o trim. 3.er trim. 4.o trim. 1.er trim. 2014 2015 0 ENE. FEB. MAR. El número de detecciones de raspadores de RAM de TPV aumentó más del doble desde que empezó su rastreo el año pasado, lo que podría atribuirse a la aplicación de mejoras en el malware de TPV existente, como sucede con BlackPOS30. Países con el mayor número de infecciones de raspadores de RAM para TPV durante el primer trimestre de 2015 Estados Unidos Australia Taiwán Austria Italia Brasil Canadá Filipinas Francia Japón Otros 23% 10% 8% 7% 5% 4% 4% 4% 3% 2% 30% Estados Unidos fue el país al que se dirigieron más ataques de malware de TPV, debido a su gran número de posibles víctimas. De hecho, el 80% de la población del país paga regularmente con tarjeta y no en efectivo31. 28 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Principales familias de raspadores de RAM de TPV en el primer trimestre de 2015 POCARDL DEXTR POSLOGR POSNEWT JACKPOS POCARDLER POSLUSY ALINAOS POSHOOK ALINA Otros 20% 14% 11% 7% 7% 6% 6% 5% 5% 5% 14% POCARDL, que robaba credenciales de tarjetas de pago y cuya presencia se observó por primera vez en octubre de 2012, fue la familia de raspadores de RAM de TPV predominante durante los tres primeros meses de 201532. “El malware de TPV se convertirá en uno de los pilares del sector de la seguridad, como el scareware FAKEAV y el ransomware. Así ocurrirá especialmente en países como Estados Unidos, donde la mayor parte de la población prefiere el pago con tarjeta al dinero en efectivo.” —Jay Yaneza, investigador de amenazas 29 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Resurgimiento de antiguos atacantes con nuevas herramientas, tácticas y procedimientos para campañas de ataques dirigidos El grupo Rocket Kitten y todos aquellos responsables de la operación Pawn Storm se fijaron nuevos objetivos, lo que demuestra que los ataques dirigidos resisten y, además, evolucionan. La operación Pawn Storm, una operación de (IOS_ XAGENT.B), ambas parecidas a las variantes ciberespionaje económico y político todavía en de SEDNIT de equipos Windows. marcha, utilizó los dispositivos iOS™ vulnerables para infiltrarse en las redes deseadas33. No fue la En su empeño por conseguir una mejora constante primera campaña en utilizar malware móvil para en el campo de los ataques dirigidos, Rocket Kitten diseñar ataques dirigidos, pero sí la primera que mejoró sus herramientas, tácticas y procedimientos fijó su interés en iOS. Los responsables recurrieron (TTPs)34. Los cerebros de la operación hicieron un a dos aplicaciones maliciosas de iOS: XAgent mal uso de OneDrive® para alojar aplicaciones de (IOS_XAGENT.A) y una versión falsa de MadCap registro de pulsaciones como WOOLERG. Ataques dirigidos relacionados con los móviles más destacados desde 2011 Ataques de espionaje económico y político instigados por un grupo cuyos objetivos principales son personal militar, de embajadas y contratistas de defensa de Estados Unidos y sus aliados. Fue el primer ataque en utilizar malware de iOS específicamente para infiltrarse en las redes objetivo. Relacionado con 90 ataques dirigidos contra sectores y/o comunidades de Japón e India. Utilizó malware de Android™ de tipo RAT (herramienta de acceso remoto) para recopilar información y cargar archivos a dispositivos infectados, o descargarlos. Ataque dirigido a activistas del Tíbet y Uyghur. Utilizó trucos de ingeniería social para aprovechar las vulnerabilidades de los sistemas Windows y Mac OS X. Propagó ANDROIDOS_CHULI.A mediante cuentas de correo electrónico pirateadas pertenecientes a los activistas. 2013 Chuli 2012 Luckycat 2011 Pawn Storm Xsser mRAT Regin Dirigido contra gobiernos, instituciones financieras, operadores de telecomunicaciones, organizaciones de investigación y otras entidades de diferentes países. Hizo un mal uso de los controladores de estación base del sistema global para las comunicaciones móviles (GSM) para hacerse con las credenciales necesarias para manipular la red GSM de un país de Oriente Medio. Los atacantes apuestan por los dispositivos móviles porque todo el mundo los usa. Los hábitos móviles poco seguros que todos aplican en su tiempo libre facilitan enormemente la infiltración en el lugar de trabajo, sobre todo gracias a la tendencia de uso de dispositivos propiedad de los empleados (BYOD)35. 30 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas 2014 Considerado una campaña iniciada por atacantes de habla china contra manifestantes chinos. El malware multiplataforma Xsser mRAT (ANDROIDOS_Code4HK.A) afectó tanto a dispositivos Android como iOS; ANDROIDOS_Code4HK.A expuso textos, correos electrónicos y mensajes instantáneos de las víctimas, así como datos de su ubicación, nombres de usuario y contraseñas, registros de llamadas y listas de contactos. TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Técnica utilizada por los creadores de la operación Pawn Storm para burlar las medidas de seguridad empresariales de las tiendas de aplicaciones Los atacantes crean malware firmado con un certificado de empresa. Los atacantes alojan el malware en un servidor y utilizan itms-services para generar un enlace de instalación. El enlace se envía a cada uno de los usuarios objetivo del ataque para que hagan clic en el mismo mediante ingeniosas técnicas de ingeniería social. El malware se instala cuando se hace clic en el enlace. Aunque se desconocen los métodos exactos de instalación del malware XAgent, sí que se sabe que pueden llegar a afectar incluso a dispositivos sin jailbreak si las aplicaciones portadoras están firmadas con un certificado de la empresa Apple. Los cebos de la ingeniería social también aumentan las posibilidades de infección de los dispositivos. 31 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Los kits de explotación siguen incrementando su nivel de sofisticación Los kits de explotación llenan constantemente su arsenal de técnicas de explotación de cada vez más vulnerabilidades, lo que incrementa su atractivo para todo aquel tipo de atacante que siempre busca la mejor rentabilidad para su dinero. Su implicación en los ataques de publicidad maliciosa del último trimestre se postula como un medio viable para su ejecución. Más de 70 kits de explotación detectados son capaces de aprovechar más de 100 vulnerabilidades36. Desde la detención de Paunch en 2013, el número de kits de explotación en circulación ha disminuido considerablemente. No obstante, la reducción en volumen se ha visto compensada por una mayor sofisticación. Al fin y al cabo, los kits de explotación se actualizan constantemente para poder apro vechar un mayor número de vulnerabilidades. El kit de explotación Hanjuan, por ejemplo, fue uno de los utilizados en el ataque de día cero Adobe Flash mencionado anteriormente. El kit de explotación Nuclear, en cambio, fue el más utilizado durante los tres primeros meses de 2015. Japón fue el país preferido de los atacantes, como prueban los múltiples ataques de publicidad maliciosa dirigidos sobre todo a los usuarios japoneses 37. Como viene siendo habitual, los kits más populares incluían explotaciones para Adobe Flash e Internet Explorer, seguramente por la ingente base de usuarios de este tipo de software. Vulnerabilidades utilizadas en los kits de explotación Sweet Orange Nuclear Internet Explorer CVE-2013-2551 Microsoft Silverlight® CVE-2013-0074 Adobe Flash CVE-2014-0515 CVE-2014-0569 CVE-2014-8439 CVE-2015-0311 Adobe Acrobat® Reader CVE-2010-0188 Oracle JavaTM CVE-2012-0507 XMLDOM ActiveX CVE-2013-7331 CVE-2013-2551 CVE-2014-0322 CVE-2014-6332 CVE-2014-0515 CVE-2014-0569 FlashPack CVE-2013-2551 CVE-2013-3918 CVE-2014-0322 CVE-2013-0634 CVE-2014-0497 CVE-2014-0515 CVE-2014-0569 Rig Angler CVE-2013-2551 CVE-2013-2551 CVE-2013-0074 CVE-2013-0074 CVE-2014-0569 CVE-2015-0311 CVE-2014-0515 CVE-2014-0569 CVE-2015-0311 Magnitude CVE-2013-2551 CVE-2014-0515 Fiesta Styx CVE-2013-2551 CVE-2013-2551 CVE-2013-0074 CVE-2013-0074 CVE-2014-0497 CVE-2014-0569 CVE-2015-0311 CVE-2014-0515 Hanjuan CVE-2015-0313 CVE-2010-0188 CVE-2013-2460 CVE-2013-5471 CVE-2013-2465 CVE-2013-7331 CVE-2013-7331 CVE-2012-0507 CVE-2014-2465 CVE-2013-7331 Las explotaciones de Adobe Flash se encuentran en todos los kits utilizados en los ataques más destacados del primer trimestre de 2015. 32 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Número de accesos a los servidores de kits de explotación durante el cuarto trimestre de 2014 y el primer trimestre de 2015 Sweet Orange Angler 4.° trim. 2014 1.077.223 363.982 155.816 140.604 14.671 26.943 25.133 Sin datos 1.804.372 1.er trim. 2015 264.897 590.063 255.593 42.424 740.037 321.712 61.952 103.924 2.380.602 -75,4% 62,1% 64% -69,8% 4.944,2% 1.094% 146,5% Creci miento Magnitude Rig Nuclear Neutrino Fiesta Hanjuan Total Sin datos Kits de explotación con mayor número de accesos de usuario durante el primer trimestre de 2015 Nuclear Angler Neutrino Sweet Orange Magnitude Hanjuan Fiesta Rig 31% 25% 13% 11% 11% 4% 3% 2% Durante el primer trimestre de 2015 se registró un aumento del 30% de las actividades relacionadas con los kits de explotación. El kit de explotación Nuclear fue el que recibió un mayor número de visitas, relacionadas probablemente con los ataques de publicidad maliciosa detectados. Por su parte, la reducción en las visitas al kit de explotación Sweet Orange podría atribuirse a la limpieza de anuncios maliciosos que determinadas redes publicitarias realizaron en sus plataformas. 33 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas 31,9% TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Países más afectados por ataques relacionados con kits de explotación Japón Estados Unidos Australia Canadá Dinamarca Francia Reino Unido Italia Brasil España Otros 52% 31% 5% 1% 1% 1% 1% 1% 1% 1% 5% Japón fue el país más afectado, probablemente por la avalancha de ataques de publicidad maliciosa relacionados con los kits de explotación dirigidos específicamente a usuarios japoneses registrados a principios de este año. A pesar de haberse reducido el volumen de kits de explotación de nueva creación, un número considerable permanecieron activos durante el último trimestre. ¿Podríamos decir que es la calma previa a la tormenta? ¿Quizás los desarrolladores de kits de explotación prefieren no hacer demasiado ruido mientras mejoran sus ofertas para lanzar al mercado? Actividad diaria de los kits de explotación conocidos durante el primer trimestre de 2015 5 100.000 Nuclear Angler 4 Neutrino Sweet Orange 2 50.000 Magnitude Hanjuan 3 Fiesta 1 Rig 0 ENE. FEB. MAR. (Nota: los picos del gráfico corresponden a los números que se detallan más abajo.) Las acciones adoptadas por AOL para retirar la publicidad maliciosa de su plataforma provocaron un descenso de la actividad del kit de explotación Sweet Orange (1). Los kits Angler (2 y 4) y Hanjuan (2) se utilizaron para introducir el malware de día cero BEDEP en ordenadores desde finales de enero hasta principios de febrero, contribuyendo así al aumento de visitas a sus servidores. El kit de explotación Nuclear (3 y 5), en cambio, se utilizó en un ataque de publicidad maliciosa a través de sitios de pornografía. 34 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs “Cada vez son más los ataques de explotación que utilizan la publicidad maliciosa en detrimento de la exposición de los sitios o el spam. Al fin y al cabo, el mal uso de las redes de publicidad legítimas permite a los atacantes enmascarar sus intenciones. Mejoran continuamente sus herramientas y tácticas con el objetivo de diseñar campañas más eficaces y multiplicar su negocio. Vamos a ser testigos de muchos más ataques de este tipo a lo largo de 2015.” —Joseph C. Chen, ingeniero 35 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Revisión del panorama de las amenazas El volumen general de amenazas ha disminuido en el volumen de spam alcanzó niveles nunca vistos. comparación con los datos registrados en el cuarto Esto podría ser indicativo del resurgir del correo trimestre de 2014. Si bien hubo menos bloqueos electrónico como vector de infección preferido de acceso de usuarios a dominios maliciosos y se para ejecutar amenazas antiguas como el malware redujo el malware capaz de infectar dispositivos, de macros en equipos vulnerables. Número total de amenazas bloqueadas durante el primer trimestre de 2015 6.000 millones Tasa de detección de Trend Micro: amenazas bloqueadas por segundo durante el 1.er trimestre de 2015 2.000/s 1.931 5.200 5.000 millones 1.858 1.595 millones 3.900 millones 3.000 millones 1.000/s 0 0 ENE. FEB. MAR. Durante el pasado trimestre, se bloqueó un promedio de 4.700 millones de amenazas al mes, lo que supone un incremento de 1.500 millones respecto a la cifra del último trimestre de 2014. ENE. FEB. MAR. Durante el pasado trimestre, se bloqueó un promedio de 1.800 amenazas por segundo. Esta cifra supone un aumento de 600 amenazas respecto a las 1.200 amenazas por segundo registradas anteriormente. 36 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Número de consultas de reputación de correo electrónico bloqueadas como spam durante el primer trimestre de 2015 Número de visitas de usuario a sitios maliciosos bloqueadas durante el primer trimestre de 2015 5.000 millones 350 millones 4.600 315 millones millones 4.100 millones 236 3.300 millones millones 2.500 millones 252 millones 175 millones 0 0 ENE. FEB. MAR. ENE. Se evitó que un total de 12.000 millones de correos electrónicos enviados desde direcciones IP remitentes de spam llegaran a los buzones de entrada de los usuarios. FEB. MAR. Se registraron más de 800 millones de visitas de usuario a sitios maliciosos durante el pasado trimestre, cifra que aumenta cada mes. Número de archivos maliciosos bloqueados durante el primer trimestre de 2015 600 millones 522 millones 361 300 millones 351 millones millones ENE. FEB. 0 MAR. Se impidió que más de mil millones de archivos maliciosos infectaran dispositivos durante el último trimestre. El número de malware prácticamente se duplicó de febrero a marzo. 37 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs La familia KRYPTIK de troyanos que afectaba Muchos de los dominios principales cuyo acceso principalmente a clientes ha entrado este último se bloqueó a los usuarios este último trimestre trimestre en la lista de malware más habitual. estaban relacionados con el adware. Todo ello Estos troyanos, conocidos hasta ahora por asustar podría estar ligado con el repunte observado a los usuarios con mensajes de advertencia que del número de ataques de publicidad maliciosa. aparecían en sus pantallas, intentaron descargar Además, el adware también hizo acto de presencia otros archivos maliciosos en equipos previamente en las principales posiciones de la lista de tipos de infectados. consiguieron amenazas móviles. En total se han registrado más desbancar ni a SALITY ni a DOWNAD de las de 5 millones de amenazas Android hasta la fecha, 2 principales posiciones. una cifra muy cercana a nuestra previsión global de Sin embargo, no 8 millones para finales de 2015. Principales dominios maliciosos a los que se impidió el acceso durante el primer trimestre de 2015 Dominio Motivo para bloquear el acceso files-download-131.com Descarga de archivos posiblemente no deseados (PUA)38 enhizlitakip.com Relacionado con un scam de un seguidor de Twitter turco cnfg.toolbarservices.com Relacionado con adware presentado como una barra de herramientas del explorador s.trk-u.com Relacionado con adware presentado como una barra de herramientas del explorador s.ad120m.com Sitio con el que se comunica una variante de TROJ_GEN sso.anbtr.com Sitio con el que se comunica PE_SALITY.RL f0fff0.com Abre páginas emergentes que descargan adware fa8072.com Abre páginas emergentes que descargan adware creative.ad120m.com Sitio con el que se comunica una variante de TROJ_GEN lovek.info Vinculado con fraudes por clics de ratón La mayoría de los dominios maliciosos a los que se bloqueó el acceso durante el último trimestre estaban relacionados con la propagación de adware y vinculados con otros fraudes. 38 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Países con el mayor número de URL maliciosas durante el primer trimestre de 2015 Estados Unidos Países Bajos China Rusia Costa Rica Alemania Reino Unido Portugal Japón Corea del Sur Otros 29% 7% 6% 3% 2% 1% 1% 1% 1% 1% 48% Estados Unidos se mantuvo en la primera posición de la lista de países con mayor número de URL. Francia y Hungría salieron de la lista y en su lugar entraron Costa Rica y Portugal. Países con el mayor número de usuarios que hicieron clic en URL maliciosas durante el primer trimestre de 2015 Estados Unidos Japón Australia Taiwán India China Francia Alemania Canadá Italia Otros 33% 24% 5% 4% 3% 3% 3% 2% 2% 2% 19% Al ser el país que más URL maliciosas aloja, Estados Unidos también resulta ser el país con el mayor número de usuarios que hicieron clic en enlaces maliciosos. 39 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Idiomas con más spam durante el primer trimestre de 2015 Inglés Chino Alemán Japonés Ruso Portugués Español Polaco Francés Italiano Otros 84.49% 1.86% 1.27% 1.15% 0.70% 0.61% 0.54% 0.43% 0.38% 0.09% 8.48% El inglés sigue siendo el idioma más utilizado para el spam. Principales países emisores de spam en el primer trimestre de 2015 Estados Unidos Rusia China Japón Vietnam Italia España Argentina Irán Alemania Otros 16% 5% 5% 5% 5% 4% 4% 4% 3% 3% 46% En línea con el idioma más usado con el spam, Estados Unidos encabezó la lista de países emisores de spam. Irán también entró a formar parte de lista; Ucrania, en cambio, desapareció. 40 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Principales familias de malware en el primer trimestre de 2015 Nombre de detección Volumen SALITY 86.000 DOWNAD 83.000 KRYPTIK 71.000 BROWSEVIEW 69.000 GAMARUE 65.000 DUNIHI 49.000 VIRUX 42.000 UPATRE 41.000 FORUCON 39.000 RAMNIT 29.000 Principales familias de malware por segmento en el primer trimestre de 2015 Segmento Grandes empresas PYMES Particulares Nombre de detección Volumen DOWNAD 62.000 SALITY 35.000 DUNIHI 29.000 DOWNAD 12.000 DLOADR 11.000 UPATRE 10.000 KRYPTIK 61.000 GAMARUE 38.000 SALITY 36.000 Aunque KRYPTIK presenta un rápido crecimiento que le permite entrar en la lista de malware principal del último trimestre, no consigue desbancar a los líderes SALITY y DOWNAD, asentados en las primeras posiciones desde hace tiempo. 41 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Principales familias de adware en el primer trimestre de 2015 Nombre de detección Volumen OPENCANDY 454.000 DEALPLY 224.000 MYPCBACKUP 183.000 MYPCBaACKUP 142.000 PULSOFT 122.000 TOMOS 113.000 MULTIPLUG 109.000 INSTALLCORE 102.000 ELEX 90.000 SPROTECT 67.000 Principales familias de adware por segmento en el primer trimestre de 2015 Segmento Grandes empresas PYMES Nombre de detección OPENCANDY 68.000 DEALPLY 46.000 TOMOS 18.000 OPENCANDY 29.000 DEALPLY 23.000 MYPCBACKUP Particulares Volumen 8.000 OPENCANDY 346.000 MYPCBACKUP 156.000 DEALPLY 135.000 El primer adware de la lista, OPENCANDY, encabezó repetidamente la lista de infectores de dispositivos de diferentes segmentos de usuarios. 42 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Principales familias de malware Android en el primer trimestre de 2015 Danpay Inoco Youm Agent AdultPlayer Jxt Gexin Guidead AppInst FakeApp Otros 14% 12% 6% 6% 4% 4% 2% 2% 1% 1% 48% Danpay fue la familia de malware Android más destacada del último trimestre. Sus rutinas incluyen el acceso a servidores C&C y esperar comandos maliciosos mientras descarga silenciosamente otras aplicaciones en dispositivos previamente infectados. Principales familias de adware Android en el primer trimestre de 2015 AdLeak Igexin AdFeiwo Noiconads FeiwoDown Appquanta Arpush RevMob SnailCut GoYear Otros 8% 7% 6% 5% 5% 4% 4% 4% 3% 3% 51% AdLeak, un nombre de detección genérico de Trend Micro para aplicaciones que podrían comprometer la privacidad de los usuarios, encabezó la lista de adware móvil este último trimestre. 43 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Principales tipos de amenazas Android detectadas durante el primer trimestre de 2015 50% 48% 25% 18% 14% 14% 4% 2% 0 ADWARE LADRONES DE DATOS PAYWARE ABUSO DE SERVICIOS PREMIUM DESCARGAS MALICIOSAS OTROS El adware siguió siendo el principal tipo de amenaza para dispositivos Android. El payware o software de pago hace referencia a aplicaciones posiblemente no deseadas (PUA) que manipulan a los usuarios para que acepten pagar cuotas o tasas fraudulentas. Las PUA no son necesariamente maliciosas, pero incluyen funciones que ponen en riesgo la seguridad de los datos de los usuarios o dificultan su experiencia móvil. Crecimiento acumulado de amenazas Android desde el primer trimestre de 2015 5,4 millones 6 millones 4,9 millones 3,8 millones 4,1 millones 4,3 millones 4,6 millones 3 millones 0 OCT. 2014 NOV. DIC. ENE. 2015 FEB. MAR. La gran mayoría de amenazas Android detectadas durante el último trimestre fueron PUA. 44 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Países que alojaron el mayor número de servidores C&C en el primer trimestre de 2015 Estados Unidos Ucrania Alemania Rusia Francia Reino Unido Países Bajos China Corea del Sur Portugal Otros 29% 9% 7% 7% 4% 4% 4% 3% 3% 2% 28% Los servidores C&C estaban ampliamente distribuidos en países como Estados Unidos, Ucrania y Alemania. No es necesario que los atacantes residan en dichos países para acceder a sus servidores C&C, ya que pueden gestionarlos de forma remota. La mayoría de los países de la lista también figuraban en la de principales países que alojan URL maliciosas. Esto podría indicar la existencia de usos indebidos de los servicios de alojamiento e infraestructuras de dichos países. Países con mayor número de conexiones a servidores C&C en el primer trimestre de 2015 Estados Unidos Japón Australia Taiwán Alemania India Canadá Francia Malasia Italia Otros 51% 9% 5% 4% 4% 4% 2% 2% 2% 1% 16% Estados Unidos registró el mayor número de conexiones C&C. También encabezó la lista de países con más usuarios que hicieron clic en URL maliciosas. Estas cifras indicarían que la mayoría de los intentos de acceso registrados podrían estar relacionados con redes robot. 45 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Familias de malware con el mayor número de servidores C&C relacionados en el primer trimestre de 2015 1.500 1.316 750 745 385 379 TROJAN GOZEUS 348 0 CRILOCK DUNIHI ZEUS Las variantes del ransomware CRILOCK fueron las que más veces accedieron a servidores C&C durante el último trimestre. Familias de malware con el mayor número de víctimas en el primer trimestre de 2015 350.000 349.000 379 175.000 36.000 31.000 PUSHDO/ WIGON CLACK 18.000 0 POWELIKS BADUR POWELIKS fue el malware que causó un mayor número de víctimas el último trimestre, probablemente por su mecanismo de ocultación, que le permite permanecer invisible en los sistemas infectados. 46 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs Referencias 1. U.S. Senate Committee on Homeland Security & Governmental Affairs. (14 de mayo de 2014). U.S. Senate Committee on Homeland Security & Governmental Affairs. "Permanent Subcommittee on Investigations Releases Report: 'Online Advertising and Hidden Hazards to Consumer Security and Data Privacy.'" Último acceso: 7 de mayo de 2015, http://www.hsgac.senate.gov/media/permanentsubcommittee-on-investigations-releases-report-online-advertising-and-hidden-hazards-to-consumer-security-and-data-privacy. 2. Brooks Li y Joseph C. Chen. (16 de marzo de 2015). TrendLabs Security Intelligence Blog. "Exploit Kits and Malvertsing: A Troublesome Combination." Último acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/exploit-kitsand-malvertising-a-troublesome-combination/. 3. Peter Pi. (2 de febrero de 2015). TrendLabs Security Intelligence Blog. "Trend Micro Discovers New Adobe Flash Zero-Day Exploit Used in Malvertisements." Último acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/trend-microdiscovers-new-adobe-flash-zero-day-exploit-used-in-malvertisements/. 4. Alvin Bacani. (5 de febrero de 2015). TrendLabs Security Intelligence Blog. "BEDEP Malware Tied to Adobe Zero Days." Último acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/bedep-malware-tied-to-adobe-zero-days/. 5. Trend Micro Incorporated. (20 de febrero de 2015). TrendLabs Security Intelligence Blog. "Superfish Adware in Lenovo Consumer Laptops Violates SSL, Affects Companies via BYOD." Último acceso: 16 de abril de 2015, http://www.trendmicro.com/vinfo/us/security/ news/cybercrime-and-digital-threats/superfish-adware-in-lenovo-consumer-laptops-violates-ssl. 6. Lenovo. (19 de febrero de 2015). Lenovo. "Lenovo Statement on Superfish." Último acceso: 16 de abril de 2015, http://news.lenovo.com/article_display.cfm?article_id=1929. 7. Vangie Beal. (2015). Webopedia. "Bloatware." Último acceso: 20 de abril de 2015, http://www.webopedia.com/TERM/B/bloatware.html. 8. Seven Shen. (2 de abril de 2015). TrendLabs Security Intelligence Blog. "The Fine Line Between Ad and Adware: A Closer Look at the MDash SDK." Último acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/the-fine-line-between-adand-adware-a-closer-look-at-the-mdash-sdk/. 9. Trend Micro Incorporated. (13 de febrero de 2013). TrendLabs Security Intelligence Blog. "Key Figure in Police Ransomware Activity Nabbed." Último acceso: 23 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/key-figure-in-policeransomware-activity-nabbed-2/. 10. David John Agni. (2015). Enciclopedia de amenazas. "TROJ_CRYPFORT.A." Último acceso: 16 de abril de 2015, http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPFORT.A. 11. Francis Xavier Antazo. (2015). Enciclopedia de amenazas. "PHP_CRYPWEB.A." Último acceso: 16 de abril de 2015, http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/PHP_CRYPWEB.A. 12. Anthony Joe Melgarejo. (1 de abril de 2015). TrendLabs Security Intelligence Blog. "Crypto-Ransomware Sightings and Trends for 1Q 2015." Último acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/crypto-ransomware-sightings-andtrends-for-1q-2015/. 13. David John Agni. (2015). Enciclopedia de amenazas. "TROJ_CRYPTESLA.A." Último acceso: 16 de abril de 2015, http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPTESLA.A. 14. Shirley Siluk. (13 de abril de 2015). CIO Today. "Ransomware Hackers Hitting Police Departments." Último acceso: 16 de abril de 2015, http://www.cio-today.com/article/index.php?story_id=033001297WKR. 15. Maydalene Salvador. (24 de marzo de 2015). TrendLabs Security Intelligence Blog. "Macro-Based Malware Increases Along with Spam Volume, Now Drops BARTALEX." Último acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/ macro-based-malware-increases-along-with-spam-volume-now-drops-bartalex/. 16. Trend Micro Incorporated. (16 de febrero de 2015). TrendLabs Security Intelligence Blog. "Banking Malware VAWTRAK Now Uses Malicious Macros, Abuses Windows PowerShell." Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabssecurity-intelligence/banking-malware-vawtrak-now-uses-malicious-macros-abuses-windows-powershell/. 17. Rhena Inocencio. (5 de noviembre de 2014). TrendLabs Security Intelligence Blog. "Banking Trojan DRIDEX Uses Macros for Infection." Último acceso: 6 de mayo de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/banking-trojan-dridex-usesmacros-for-infection/. 47 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs 18. Joie Salvio. (19 de noviembre de 2014). TrendLabs Security Intelligence Blog. "ROVNIX Infects Systems with Password-Protected Macros." Último acceso: 6 de mayo de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/rovnix-infects-systems-withpassword-protected-macros/. 19. Trend Micro Incorporated. (4 de marzo de 2015). TrendLabs Security Intelligence Blog. "FREAK Vulnerability Forces Weaker Encryption." Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/freak-vulnerability-forcesweaker-encryption/. 20. Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Cédric Fournet, Markulf Kohlweiss, Alfredo Pironti, Pierre-Yves Strub, Santiago Zanella-Béguelin, Jean-Karim Zinzindohoué y Benjamin Beurdouche. (2015). MiTLS. "SMACK: State Machine AttaCKs." Último acceso: 17 de abril de 2015, https://www.smacktls.com/#freak. 21. Tracking the FREAK Attack. (2015). Último acceso: 30 de abril de 2015, https://freakattack.com/. 22. Pawan Kinger. (28 de enero de 2015). TrendLabs Security Intelligence Blog. "Not So Spooky: Linux ‘GHOST’ Vulnerability." Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/not-so-spooky-linux-ghost-vulnerability/. 23. Trend Micro Incorporated. (20 de marzo de 2015). Trend Micro Security News. "Premera Blue Cross Admits to Data Breach, Exposes Records of 11 Million Patients." Último acceso: 17 de abril de 2015, http://www.trendmicro.com/vinfo/us/security/news/cyberattacks/premera-blue-cross-data-breach-exposes-11m-patient-records. 24. Christopher Budd. (5 de febrero de 2015). Trend Micro Simply Security. "The Anthem Data Breach: What You Need to Know." Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/what-you-need-to-know-about-the-anthem-hack/. 25. Jack Clark. (15 de junio de 2011). ZDNet. "NHS Laptop Loss Could Put Millions of Records at Risk." Último acceso: 30 de abril de 2015, http://www.zdnet.com/article/nhs-laptop-loss-could-put-millions-of-records-at-risk/. 26. Trend Micro Incorporated. (10 de febrero de 2015). Trend Micro Security News. "Millions Affected in Anthem Breach, Healthcare Companies Prime Attack Targets." Último acceso: 17 de abril de 2015, http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/ millions-affected-in-anthem-breach-healthcare-companies-prime-attack-targets. 27. Miriam Quick, Ella Hollowood, Christian Miles, y Dan Hampson. (30 de marzo de 2015). Information Is Beautiful. "World’s Biggest Data Breaches." Último acceso: 23 de abril de 2015, http://www.informationisbeautiful.net/visualizations/worlds-biggest-databreaches-hacks/. 28. Identity Theft Resource Center. (2015). ITRC. "2008 Data Breaches." Último acceso: 23 de abril de 2015, http://www.idtheftcenter. org/ITRC-Surveys-Studies/2008-data-breaches.html. 29. Jay Yaneza. (3 de marzo de 2015). TrendLabs Security Intelligence Blog. "PwnPOS: Old Undetected PoS Malware Still Causing Havoc." Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/pwnpos-old-undetected-pos-malwarestill-causing-havoc/. 30. Rhena Inocencio. (29 de agosto de 2014). TrendLabs Security Intelligence Blog. "New BlackPOS Malware Emerges in the Wild, Targets Retail Accounts." Último acceso: 23 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/new-blackposmalware-emerges-in-the-wild-targets-retail-accounts/. 31. American Consumer Credit Counseling. (2015). ConsumerCredit.com. "Infographic: Cash Vs. Card." Último acceso: 23 de abril de 2015, http://www.consumercredit.com/financial-education/infographics/infographic-cash-vs-card.aspx. 32. Trend Micro Incorporated. (2014). Trend Micro Security Intelligence. “La ciberdelincuencia ataca objetivos impensables: Informe sobre seguridad del primer trimestre de 2014 de TrendLabs" Último acceso: 23 de abril de 2015, http://www.trendmicro.co.uk/media/ misc/cybercrime-hits-the-unexpected-en.pdf. 33. Lambert Sun, Brooks Hong y Feike Hacquebord. (4 de febrero de 2015). TrendLabs Security Intelligence Blog. "Pawn Storm Update: iOS Espionage App Found." Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/pawnstorm-update-ios-espionage-app-found/. 34. Cedric Pernet. (18 de marzo de 2015). TrendLabs Security Intelligence Blog. "Operación 'Woolen Goldfish': phishing en las garras de un gatito" Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/operation-woolen-goldfishwhen-kittens-go-phishing/. 48 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs 35. Trend Micro Incorporated. (27 de febrero de 2015). Trend Micro Security News. "Pawn Storm in iOS Apps and Other Cases of Mobile Links in Targeted Attacks." Último acceso: 23 de abril de 2015, http://www.trendmicro.com/vinfo/us/security/news/mobilesafety/pawn-storm-in-ios-apps-and-other-cases-of-mobile-links-in-targeted-attacks. 36. Trend Micro Incorporated. (16 de marzo de 2015). Trend Micro Security News. "Exploit Kits: Past, Present and Future." Último acceso: 17 de abril de 2015, http://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/exploit-kits-past-present-andfuture. 37. Peter Pi. (20 de marzo de 2015). TrendLabs Security Intelligence Blog. "Freshly Patched Adobe Exploit Added to Nuclear Exploit Kit." Último acceso: 23 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/freshly-patched-flash-exploit-added-tonuclear-exploit-kit/. 38. Trend Micro Incorporated. (2015). Enciclopedia de amenazas. "Potentially Unwanted Application." Último acceso: 30 de abril de 2015, http://www.trendmicro.com/vinfo/us/security/definition/potentially-unwanted-app. 49 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas Redactado por: Asistencia técnica global y Centro de I+D de TREND MICRO TREND MICRO TM Trend Micro Incorporated, líder global de seguridad en la nube, crea un mundo seguro para intercambiar información digital con sus soluciones de seguridad de contenidos de Internet y de gestión de amenazas para empresas y particulares. Trend Micro es una empresa pionera en seguridad de servidores con más de 20 años de experiencia que ofrece seguridad del más alto nivel adaptada a las necesidades de sus clientes, detiene las amenazas más rápidamente y protege la información en entornos físicos, virtualizados y basados en la nube. Con el respaldo de la infraestructura de Trend Micro™ Smart Protection Network™, nuestra tecnología, productos y servicios de seguridad basados en la nube líderes del sector consiguen detener las amenazas allá donde surgen, en Internet. Además, nuestros clientes cuentan con la asistencia de un equipo de más 1.000 expertos en amenazas en todo el mundo. Si desea más obtener más información, visite www.trendmicro.com. ©2015 por Trend Micro, Incorporated. Reservados todos los derechos. Trend Micro y el logotipo en forma de pelota de Trend Micro son marcas registradas o marcas comerciales de Trend Micro Incorporated. El resto de los nombres de productos o empresas pueden ser marcas comerciales o registradas de sus respectivos propietarios.