Anuncios maliciosos y días cero: el resurgimiento de

Transcripción

Anuncios maliciosos y días cero:
el resurgimiento de las amenazas
debilita la confianza en las cadenas
de suministro y las prácticas
recomendadas
Informe sobre seguridad del primer trimestre de 2015 de TrendLabsSM
Contenido
RENUNCIA DE RESPONSABILIDAD DE
TREND MICRO
La información proporcionada en este documento es
de carácter general y se ofrece con fines educativos
únicamente. En ningún caso debe interpretarse
como asesoramiento jurídico y es posible que no
pueda aplicarse en todos los casos o no refleje la
situación más actual. La información proporcionada
no debe considerarse como base de actuación sin
el debido asesoramiento jurídico de los hechos y las
circunstancias concretos de cada caso y nada de lo
estipulado en este documento debe interpretarse
de otro modo. Trend Micro se reserva el derecho de
modificar el contenido del presente documento en
cualquier momento sin previo aviso.
La traducción de este material a otros idiomas se
ha realizado únicamente para la comodidad de
los lectores no angloparlantes. En ningún caso
se garantiza la precisión de las traducciones. Si
tiene alguna pregunta relacionada con la precisión
de una traducción, consulte la versión original
del documento en el idioma oficial. Las posibles
discrepancias o diferencias con respecto al original
no son vinculantes y carecen de efecto jurídico para
el cumplimiento o la aplicación de normativas.
A pesar de todos los esfuerzos razonables
realizados por Trend Micro para incluir información
actualizada y precisa, Trend Micro no asume
ninguna responsabilidad ni representación por su
precisión, vigencia o integridad. Es responsabilidad
propia del usuario el acceso a este documento y a la
información que contiene, así como su utilización y la
confianza en el mismo. Trend Micro renuncia a todas
las garantías de cualquier tipo, explícitas o implícitas.
Ni Trend Micro ni ninguna otra parte implicada en
la creación, producción o presentación de este
documento asume responsabilidad alguna por
posibles consecuencias, pérdidas o daños, ya sean
directos, indirectos, especiales, consecuenciales, así
como tampoco por la pérdida de beneficios o daños
especiales causados por el acceso al documento o
por su uso o imposibilidad de uso, o relacionados
con el uso de este documento, así como por errores
u omisiones de cualquier tipo en su contenido. El
uso de esta información constituye la aceptación de
la condición de utilización “tal cual”.
4
Los fallos del modelo empresarial de
la publicidad Web ponen en peligro la
seguridad de los usuarios
11
Se dispara el volumen de infecciones del
ransomware de cifrado: las empresas bajo
amenaza
17
Malware de macros: una técnica antigua
pero igualmente eficaz
21
El fallo de seguridad FREAK, con una década
de antigüedad, expone los problemas
existentes en la gestión de parches
26
Filtraciones de datos masivas en el sector
sanitario y debilitación de otros sectores
debido a los ataques de malware de TPV
30
Resurgimiento de antiguos atacantes
con nuevas herramientas, tácticas
y procedimientos para campañas
de ataques dirigidos
32
Los kits de explotación siguen
incrementando su nivel de sofisticación
36
Revisión del panorama de las amenazas
La experiencia de las amenazas observadas este último trimestre demuestra que toda
precaución es poca para proteger a los usuarios. Los ciberdelincuentes y atacantes ya
no necesitan crear nuevos canales para alcanzar sus objetivos y atrapar a sus víctimas.
Gran parte de las tareas preliminares ya están hechas y solo les queda finalizar
el trabajo.
Los mayores déficits de seguridad suelen pasar inadvertidos. Los anuncios maliciosos,
por ejemplo, no suponen ninguna novedad. Muchos usuarios están habituados a
ellos. Sin embargo, aunque los usuarios se abastezcan de las soluciones de seguridad
más avanzadas y dispongan de los conocimientos adecuados, nada puede prepararles
para hacer frente a los anuncios maliciosos infectados con vulnerabilidades de día
cero. El incidente de Adobe® Flash® que tuvo lugar en febrero demostró la eficiencia
de este tipo de ataques.
Los usuarios de dispositivos móviles tampoco pudieron escapar. El adware
continuó representando una amenaza significativa, tal como se desprende del
desmantelamiento de aplicaciones de Google Play™ que se realizó ese mismo mes.
A pesar de la intervención, los dispositivos de millones de usuarios que descargaron
aplicaciones de alto riesgo aparentemente seguras ya se habían infectado. No cabe
duda de que las redes de anuncios deben reforzar su seguridad.
Muchos usuarios también cometen el error de pensar que la tecnología obsoleta no
supone un problema grave. El considerable aumento en el número de infecciones de
malware de macros (integrado en archivos de Microsoft™ Word®) y la persistencia
de las vulnerabilidades OpenSSL puso de manifiesto la facilidad con la que los
ciberdelincuentes pueden afianzarse aprovechando las vulnerabilidades antiguas
y conocidas.
No obstante, el sector más importante que se ha visto sorprendido durante estos
últimos meses ha sido el minorista, algo interesante teniendo en cuenta la notoriedad
de los ataques de malware para terminales de punto de venta (TPV). Como ha
ocurrido con el ransomware, todo parece indicar que el malware de TPV ha venido
para quedarse, con el consiguiente peligro que supone para los datos de las empresas
y sus clientes.
¿Realmente estamos haciendo todo lo necesario para protegernos frente a las
amenazas de seguridad? Como se ha demostrado a partir de los mayores incidentes
ocurridos durante los tres primeros meses de 2015, ni siquiera los usuarios y las
empresas más avezados en seguridad son inmunes a estos peligros. Al fin y al cabo,
los agentes responsables de las amenazas no dudarán en sacar provecho incluso
de la más mínima brecha de seguridad para obtener lo que desean. En el entorno
informático actual no cabe margen de error.
NOTA: todas las referencias del texto a las “detecciones” hacen referencia a casos en los que se detectaron amenazas en dispositivos
de usuarios que posteriormente se bloquearon con un software de seguridad de Trend Micro. A menos que se indique lo contrario, las
cifras incluidas en este informe provienen de datos recopilados por la infraestructura de seguridad en la nube Trend Micro™ Smart
Protection Network™, que combina tecnologías en la nube y técnicas basadas en clientes para ofrecer asistencia para productos in
situ y servicios alojados.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
Los fallos del modelo empresarial de la
publicidad Web ponen en peligro la seguridad
de los usuarios
Los anuncios online se convirtieron en un medio privilegiado de propagación de
vulnerabilidades, probablemente debido a la falta de control que tenían los usuarios
sobre los anuncios que visualizaban. Los propietarios de sitios Web, al igual que los
visitantes, también se vieron afectados por esta situación, ya que no poseían ningún
control sobre los anuncios que realmente se mostraban en sus páginas.
Las vulnerabilidades de día cero dirigidas a software
seguridad más habituales hoy en día: visitar
de Adobe se actualizaron recientemente cuando se
únicamente sitios Web de confianza y mantener
utilizaron para llevar a cabo ataques de publicidad
actualizadas las aplicaciones con los parches más
maliciosa. A principios de febrero, se descubrió
recientes.
un ejemplo de este tipo de vulnerabilidades, la
CVE‑2015-0313, que actualmente forma parte
Según un informe del Comité del Senado de
del kit de explotación Angler. Utilizaba anuncios
EE.UU. sobre seguridad nacional y asuntos guber
maliciosos, por lo que ya no era necesario que las
namentales, no es fácil abrirse camino en el sector
víctimas visitaran páginas maliciosas o se toparan
de la publicidad online. “La complejidad del sector
con ellas por casualidad para que sus equipos se
de la publicidad online dificulta la identificación de
infectaran.
las entidades responsables de los daños derivados
de ataques de malware”1, 2. La publicidad maliciosa
Debido al uso de las vulnerabilidades de día cero,
supone un problema no solo para los usuarios
los recientes ataques de publicidad maliciosa
finales, sino también para los propietarios de los
se han convertido en amenazas más serias. La
sitios Web. Este tipo de publicidad también puede
combinación de anuncios maliciosos y días cero
infectar sitios Web sin el consentimiento o el
debilita dos de las prácticas recomendadas de
conocimiento de sus propietarios.
4 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de
suministro y las prácticas recomendadas
Vulnerabilidades destacadas en el primer trimestre de 2015
CVE-2015-0310
CVE-2015-0311
Todas las versiones de Adobe
Flash hasta la 16.0.0.257
Explotada mediante
SWF_ANGZIA.A
(vector no revelado)
Explotada mediante
SWF_ANGZIA.B, SWF_ANGZIA.C
o SWF_ANGZIA.F a través de
anuncios maliciosos
22 ENE
22 ENE
24 ENE
27 ENE
22 ENE
CVE-2015-0313
22 ENE
24 ENE
2 FEB
CVE-2015-0072
Versiones 9 a 11 de
Microsoft™ Internet Explorer®
Explotada mediante puertas
traseras de BEDEP a través
de anuncios maliciosos
Explotada mediante inyección
Web con ayuda de enlaces
maliciosos
2 FEB
2 FEB
ID de la lista CVE
(vulnerabilidades
y exposiciones
más comunes)
4 FEB
10 FEB
Revelación de
la vulnerabilidad
5 FEB
Descubrimiento del
ataque
5 FEB
10 MAR
Aplicación de
parches para la
vulnerabilidad
3 FEB
Publicación
de la regla de
Trend Micro
Deep Security
De las cuatro vulnerabilidades de día cero detectadas este último trimestre,
dos utilizaban anuncios maliciosos como vector de infección.
Funcionamiento de la publicidad maliciosa
Funcionamiento de
la publicidad online
Los anunciantes quieren
promover productos
o servicios.
Las redes de anuncios
conectan a los
anunciantes con sitios
Web que desean alojar
anuncios online
y recopilan y añaden
diversos anuncios para
distribuirlos por sitios
diferentes.
Los editores de los
anuncios (los propietarios
de los sitios Web)
integran los anuncios en
el contenido online de
los sitios. Pueden mostrar
varios anuncios en
diferentes formatos.
Los usuarios visualizan los
anuncios cuando visitan
los sitios que los alojan.
Funcionamiento de la
publicidad maliciosa online
Los ciberdelincuentes
se hacen pasar por
anunciantes y envían
anuncios maliciosos.
Los anuncios maliciosos
y legítimos se muestran
indistintamente,
posiblemente debido a la
falta de mecanismos de
control adecuados para
su distribución mediante
las redes de anuncios.
se muestran en sitios
que alojan anuncios.
explotan las vulnerabilidades de los equipos
de los visitantes del sitio
para infectarlos con
malware.
Número de infecciones de BEDEP y ROZENA distribuidas a través de anuncios
maliciosos entre el cuarto trimestre de 2014 y el primer trimestre de 2015
4.o trim. 2014
TOTAL: 2.503
4.000
1.er trim. 2015
TOTAL: 10.031
3.568
2.385
2.480
2.000
1.858
1
0
5
OCT.
NOV.
1.660
313
106
6
152
0
DIC.
2014
ENE.
FEB.
MAR.
2015
TOTAL
BEDEP: 7.719
TOTAL
ROZENA: 4.815
Los anuncios maliciosos redirigieron a las víctimas a sitios Web que infectaron
sus equipos automáticamente con varios tipos de malware.
El malware BEDEP se propagó mediante una
al menos 52 modelos de portátiles Lenovo®
explotación de Adobe Flash de día cero distribuida
distribuidos entre septiembre y diciembre de
a través de anuncios maliciosos3. Los usuarios
20145, 6. Clasificado como inflaware o software
que, sin saberlo, descargaron dicho malware se
innecesario que consume mucho espacio en
expusieron involuntariamente a participar en las
el disco y viene preinstalado en los equipos,
operaciones de redes robot de los atacantes y a
Superfish es capaz de alterar los resultados de
convertirse en víctimas y descargar otros tipos de
búsqueda (mostrados como imágenes) según el
malware .
historial de navegación de los usuarios7. No solo se
4
comporta como adware, sino que también permite
Las amenazas relacionadas con publicidad de
que los ciberdelincuentes espíen comunicaciones
este trimestre también incluían Superfish, un
supuestamente seguras.
complemento del explorador preinstalado en
Funcionamiento de Superfish
Superfish viene preinstalado
en determinados modelos de
portátiles Lenovo, por lo que
es posible que los usuarios no
tengan pleno conocimiento de
qué es ni en qué consiste, ni
hayan dado su consentimiento
para utilizarlo.
Superfish instala su propio
certificado raíz para activar el
complemento incluso en HTTPS,
lo que le permite interceptar
comunicaciones seguras sin
generar advertencias.
La búsqueda visual
de Superfish es un
complemento del
explorador que muestra
imágenes de anuncios
relacionadas con los
resultados de búsqueda.
Los certificados de Superfish
utilizan la misma clave privada
que se ha filtrado públicamente
en todos los portátiles, lo que
implica una seguridad y un
cifrado débil frente a posibles
abusos.
Además de venir preinstalado en los equipos y comportarse como adware, Superfish supuso una seria amenaza.
La escasa seguridad de su certificado puso en peligro hasta las comunicaciones seguras.
El adware no va dirigido solo a los usuarios, ya que
llegó a infectar millones de dispositivos antes de que
varias aplicaciones de Google Play que utilizaban el
las aplicaciones que lo contenían se eliminaran de
kit de desarrollo de software (SDK) MDash también
Google Play. En la tienda también se encontraron
mostraban anuncios maliciosos de forma agresiva
más de 2.000 aplicaciones con un comportamiento
en todos los dispositivos móviles afectados . Se
similar.
8
cree que MDash (ANDROIDOS_ADMDASH.‌HRX)
Número de aplicaciones infectadas con MDash encontradas
en Google Play antes y después del desmantelamiento
FEB.
3 DE FEBRERO
11 DE MARZO
Google informó de la
eliminación de tres
aplicaciones de su tienda
tras detectar que se trataba
de adware camuflado.
MAR.
26 DE MARZO
Se informó del problema
a Google, que afirmó
que llevaría a cabo
una investigación
más exhaustiva.
En el momento de realizar
el análisis, nuestros
investigadores identificaron
2.377 aplicaciones con
funciones hash SHA-256
en Google Play.
31 DE MARZO
ABR.
2 DE ABRIL
Después de que nuestros
investigadores realizaran
una comprobación, todavía
quedaban 682 aplicaciones
en la tienda.
15 DE ABRIL
Se publicó la entrada
del blog sobre MDash.
MAY.
Cuando nuestros investigadores
volvieron a realizar una comprobación,
todavía quedaban 85 aplicaciones
en Google Play.
A principios de marzo se detectaron 2.000 aplicaciones infectadas con MDash en Google Play,
la mayoría de las cuales se retiraron en el periodo de un mes tras la notificación.
Las amenazas de este último trimestre atacaron
las comunicaciones supuestamente seguras, que
la plataforma de publicidad online para vulnerar
quedaron a merced de los ciberdelincuentes.
la seguridad de los datos de los usuarios y los
Asimismo, volvió a quedar de manifiesto que
propietarios de los sitios Web. Se ha demostrado
ningún dispositivo está a salvo de amenazas cuando
que los anuncios maliciosos son medios eficaces
los atacantes utilizaron MDash y aplicaciones
para explotar vulnerabilidades de día cero, tal como
similares para robar información valiosa de sus
se ha observado en los recientes ataques de día
víctimas.
cero de Adobe. Superfish puso en peligro incluso
“Para el usuario normal, los anuncios maliciosos representan
una de las peores amenazas. Este tipo de anuncios puede hacer
mucho más daño que otras amenazas, incluso cuando se actúa
correctamente. La publicidad maliciosa puede perjudicar incluso
a usuarios que no hagan clic en enlaces, tengan totalmente
actualizadas las soluciones de seguridad o solo visiten sitios
Web de confianza. En resumen, por muchas precauciones que
tome, nunca estará protegido de los anuncios maliciosos: todo
es cuestión de suerte.”
—Christopher Budd,
director de comunicaciones para amenazas
“Los usuarios han intentado evitar por todos los medios
exponerse a materiales publicitarios tanto en soportes online
como tradicionales. Si se mantiene la tendencia de hacer un mal
uso de la publicidad, cabe esperar que los desarrolladores de
exploradores incorporen funciones que bloqueen directamente
los anuncios en sus productos, algo que hoy en día solo se
puede conseguir con complementos de terceros. La única
forma de impedir esta marea de cambios pasa por que las redes
publicitarias mejoren la verificación del contenido que ofrecen
a través de, por ejemplo, el aislamiento de procesos previo a la
publicación y una autenticación eficaz de sus sitios Web.”
—Rik Ferguson,
vicepresidente de investigación para seguridad
Se dispara el volumen de infecciones del
ransomware de cifrado: las empresas bajo
amenaza
El ransomware de cifrado amplió su lista de objetivos y dejó de dirigirse
exclusivamente a particulares para incluir también empresas y otros tipos
de usuarios específicos.
Casi la mitad de los infectores de ransomware
las víctimas a sus equipos como hacían los troyanos
detectados durante el primer trimestre de 2015 se
policiales. Su letal descendiente, el ransomware
clasifican en la categoría más letal: el ransomware
de cifrado, cifraba archivos secuestrados para
de cifrado. El ransomware actual, más potente que
asegurarse de obtener un rescate, con lo que los
sus predecesores, no se limita a bloquear el acceso de
usuarios se exponían a un riesgo mayor.
Comparación de las variantes conocidas de ransomware de cifrado
1
GulCrypt
TROJ_GULCRYPT.A
Utiliza .RAR para proteger
con contraseña los archivos
almacenados; la contraseña
está cifrada con el protocolo
PGP.
Descargada por
TROJ_CRYPTOP.KLS junto
con otros componentes.
2 (Bandarchor)
3 CryptoFortress
Utiliza técnicas antiguas,
aunque se publican nuevas
variantes con frecuencia
(dirigida a más tipos de
archivos; alterna notas de
rescate en ruso y en inglés).
Imita la interfaz de usuario (IU)
de TorrentLocker; utiliza
comodines de forma masiva
para buscar extensiones de
nombres de archivos; cifra
archivos en recursos de red
compartidos.
TROJ_CRYPAURA.F
TROJ_CRYPFORT.A
Distribuida mediante
spam y explotación de
vulnerabilidades.
Incluida en el kit de explotación
Nuclear.
4 TeslaCrypt
5 VaultCrypt
6 Troidesh
Utiliza una IU similar a la de
CryptoLocker; cifra los archivos
de juegos independientemente
de los documentos.
Utiliza GnuPG para cifrar archivos;
descarga herramientas de pirateo
para robar credenciales de inicio de
sesión de la caché del explorador;
utiliza sDelete 16 veces para dificultar
a las víctimas la recuperación de
copias de seguridad; dirigida
principalmente a rusos.
Renombra archivos como
{nombre del archivo
codificado}.xtbl; roba
direcciones IP.
TROJ_CRYPAURA.F
Angler.
BAT_CRYPVAULT.A
TROJ_CRYPSHED.A
Nuclear.
Distribuida mediante spam con
una aplicación de descarga de
JavaScript™.
FUNCIONES
1
2
3
4
5
6
¿Nueva familia?
Sí
No
Sí
Sí
Sí
Datos robados
No aplicable
Nombre del
ordenador e
identificador
único global
(GUID) de la
máquina
No aplicable
Dirección IP
Credenciales de Dirección IP
inicio de sesión
de la caché
del explorador
mediante una
herramienta de
pirateo conocida
como “Browser
Password Dump
by Security
Xploded” (HKTL_
BROWPASS)
Comunicación
C&C
No
Sí
(con un servidor
de comando y
control [C&C]
codificado)
No
Sí
(a través de
Tor2web)
Sí
(a través de
Onion City Tor2web)
Sí
(a través de Tor)
Nombre del
archivo de nota
de rescate
{nombre de
usuario}_
archivos
fud.bmp (como
fondo de
pantalla)
LEER PARA
RECUPERAR
LOS ARCHIVOS.
html
SALVE_SUS_
ARCHIVOS.txt;
SALVE_SUS_
ARCHIVOS.bmp
(como fondo de
pantalla)
VAULT.txt
LÉAME{1 de 10}.
txt
Nombre de
la extensión
anexada a
los archivos
cifrados
.rar
.id-{id#}_fud@
india.com*
.frtrss
.ecc
.VAULT
Renombra
archivos como
{nombre
del archivo
codificado}.xtbl
¿Elimina las
instantáneas?
No
No
Sí
Sí
Sí
No
Número de
archivos
atacados
11
102 (de los 39
de variantes
anteriores)
132+
185
15
342
Importe del
rescate
300 €
Bitcoins (BTC)
1 BTC
por valor de
500 dólares
estadounidenses
1,5 BTC
(1.000 dólares
estadounidenses
si se paga con
PayPal)
BTC por valor
de 247 dólares
estadounidenses
(aumenta cada
siete días)
Desconocido
(en primer lugar,
las víctimas
deben ponerse
en contacto con
los atacantes
y todavía no se
conocen casos
de pagos por
rescate)
Utiliza la
Internet
profunda para
los sitios Web de
pago
Mail2Tor
(servicio
de correo
electrónico Tor)
No
(a través
de correo
electrónico)
Tor
Tor
Tor
No
(a través
de correo
electrónico)
No
Sí
Sí
Sí
No
¿Funciones de
Sí
servicios básicos (a través
gratuitos?
de correo
electrónico)
Sí
(* id#: número que identifica a las víctimas durante las transacciones de descifrado)
Se añadieron seis familias a la creciente lista de ransomware de cifrado principal.
La lista se clasifica por diferentes niveles de gravedad de peticiones y sofisticación.
Número de infecciones por ransomware
20.000
13.000
8.000
12.000
Ransomware
10.000
9.000
6.000
6.000
8.000
3.000
3.000
3.000
Ransomware
de cifrado
3.000
2.000
0
4.o trim.
2013
1.er trim.
2014
2.o trim.
2014
3.er trim.
2014
4.o trim.
2014
1.er trim.
2015
Tras descender el número de ataques entre el primer y tercer trimestre de 2014, probablemente debido a la detención
del autor del kit de explotación Blackhole (Paunch) a finales de 2013, el volumen de ransomware recuperó fuelle
antes de que finalizara el 2014. (El kit de explotación Blackhole era conocido por distribuir ransomware).
Países con el mayor número de infecciones de ransomware
en el primer trimestre de 2015
Estados Unidos
Australia
Japón
Turquía
Italia
Francia
Alemania
India
Canadá
Filipinas
Otros
34%
6%
6%
5%
5%
4%
3%
3%
2%
2%
30%
El grueso de las infecciones por ransomware correspondía a Estados Unidos, seguramente a causa
de la adición durante ese año de nuevas variantes de ransomware de cifrado como CTB-Locker,
que iba dirigido a residentes estadounidenses.
Principales familias de ransomware
CRYPCTB
REVETON
KOVTER
CRYPWALL
RANSOM
CRILOCK
CRYPTOPHP
VIRLOCK
MATSNU
CRYPTWALL
Otros
25%
20%
17%
11%
10%
6%
5%
1%
1%
1%
3%
CRYPCTB, que representa el 25% del total de ransomware, es el nombre de detección de Trend Micro para
las variantes de CTB-Locker, que atormentaron a los usuarios durante los dos primeros meses de este año.
Aunque la detención de Paunch en 2013 se tradujo
Pero lo más preocupante es el hecho de que
en un descenso en el número de infecciones de
ransomware ha dejado de amenazar a clientes
ransomware, el incidente no disuadió a otros
exclusivamente y ha ampliado sus miras a las
ciberdelincuentes de distribuir variantes de la
empresas. CryptoFortress, una imitación de
amenaza más nocivas . De hecho, los usuarios
CryptoLocker (TROJ_CRYPFORT.A), es capaz
actuales se enfrentan a una plaga de variantes de
de cifrar archivos de carpetas compartidas10.
ransomware incluso más letales.
CRYPWEB, por su parte, cifra bases de datos
9
de servidores Web11. Es importante que las
empresas tomen consciencia de la amenaza que el
ransomware constituye para sus infraestructuras
y negocios.
Número de infecciones de ransomware por segmentos durante
el cuarto trimestre de 2014 y el primer trimestre de 2015
16.433
15.532
4.o trim. 2014
1.er trim. 2015
72%
Particulares
52%
16%
Grandes empresas
28%
6%
s
Pequeñas y medianas
empresas (PYMES)
14%
s
6%
Otros
6%
El número de infecciones de ransomware en empresas casi se ha duplicado durante el último trimestre.
Este aumento podría deberse al incremento del volumen de ransomware dirigido a empresas
en lugar de a usuarios normales.
Además de las empresas, los jugadores online
CRYPAURA, por ejemplo, logró secuestrar un total
también pasaron a formar parte de la lista de
de 102 tipos de archivos para obtener un rescate,
objetivos del ransomware de cifrado. Teslacrypt
frente a los 39 habituales.
(TROJ_CRYPTESLA.A)
fue
capaz
de
cifrar
datos de software y el juego Steam®, así como
El ransomware se asemeja a FAKEAV en el sentido
documentos y archivos de copias de seguridad y
de que prácticamente consigue asustar a todos
soportes de los usuarios
. Incluso la policía de
los usuarios para que paguen el precio exigido
Massachusetts se vio obligada a pagar hasta 500
para recuperar el acceso a los equipos y archivos.
dólares estadounidenses de rescate simplemente
El tiempo dirá si el ransomware suscitará tantos
para recuperar el acceso a sus archivos cifrados .
problemas como lo ha hecho FAKEAV. Sin
12, 13
14
embargo, en el caso de FAKEAV la sensibilización
Los usuarios de Australia y Nueva Zelanda
de los usuarios desempeñó un papel decisivo,
también experimentaron ataques de ransomware.
puesto que bastaba con ignorar los molestos
Los ataques de TorrentLocker, según se ha
mensajes emergentes para mantenerse a salvo.
podido comprobar este enero, se abrieron camino
Con el ransomware, en cambio, los usuarios no
en todos los mercados. Paralelamente, otras
tienen opción. Su única esperanza se reduce a
variantes de ransomware de cifrado ejecutadas
poder recuperar los archivos secuestrados de las
este último trimestre también mostraron mejoras.
ubicaciones seguras de las copias de seguridad.
“El ransomware de cifrado se ha revelado como un medio
excepcional para que los ciberdelincuentes rentabilicen sus
ataques. Los cerebros que urdieron las primeras variantes
ganaron millones de dólares en pocos meses. La facilidad con
la que el ransomware se puede transformar en ransomware de
cifrado mediante la adición de bibliotecas de cifrado explicaría
muy bien el crecimiento de la amenaza. Los algoritmos de
cifrado son irreversibles. Las víctimas que no guardan copias
de seguridad no tendrán más remedio que pagar si desean
recuperar sus archivos importantes.”
—Anthony Melgarejo,
ingeniero de respuestas frente a amenazas
Malware de macros: una técnica antigua
pero igualmente eficaz
El resurgir del malware de macros podría deberse perfectamente a la voluntad de
los ciberdelincuentes para aprovechar la falta de conocimientos de los usuarios.
Después de todo, son muy pocos los usuarios que realmente comprenden las
macros y saben cómo funcionan.
Hacia finales de 2014 se observó un resurgimiento
del malware de macros, respaldado por el
incremento del spam con archivos adjuntos
maliciosos cargados de macros y la aparición de
nuevas variantes. El malware de macros solía
utilizar frases clave y términos de búsqueda
populares para persuadir a los objetivos para
descargar y ejecutar las macros15. Incluso el infame
malware bancario, VAWTRAK, ha utilizado macros
maliciosas para infectar equipos, un método que
dista mucho de los vectores de infección conocidos.
Este malware recurrió al spam para convencer a
los destinatarios de que habilitasen macros con
el objetivo de ver correctamente archivos Word
adjuntos especialmente diseñados. Al hacerlo, se
ejecutaba el malware de macro (W2KM_VLOAD.A),
que descarga variantes de VAWTRAK16. Entre las
amenazas que anteriormente utilizaban malware
de macros como vector de infección figuran
ladrones de datos como DRIDEX y ROVNIX17, 18.
Los ciberdelincuentes confían en coger despre
venidos a los usuarios, lo que podría explicar el
éxito de los ataques de malware de macros. Se
aprovechan del hecho de que los usuarios no saben
qué son las macros ni cómo funcionan. Por ello,
cuando se les solicita que habiliten macros para ver
correctamente archivos adjuntos mediante spam
muy convincente, lo hacen.
Las macros se están convirtiendo en los vectores
de ataque preferidos debido a su facilidad para
burlar las soluciones antimalware tradicionales.
La ejecución de malware de macros requiere
de intervención manual, lo que hace que las
tecnologías de aislamiento de procesos no
consigan impedir eficazmente la amenaza. Es
posible que los usuarios de soluciones para la
exploración del correo electrónico sean menos
proclives a las infecciones por malware de macros,
ya que dichas soluciones detectan ejecutables en
lugar de buscar macros maliciosas integradas que
podrían ocultarse con facilidad y que las soluciones
antimalware podrían obviar fácilmente.
Funcionamiento del malware de macros
El spam insta a los usuarios
a descargar y abrir
archivos adjuntos, que
normalmente están en
blanco o solo presentan
contenido ilegible.
Los mensajes solicitan a los
destinatarios que habiliten
macros para mostrar un
contenido determinado
y proporcionan las
instrucciones
correspondientes.
La rutina se ejecuta una
vez habilitada la macro.
La ingeniería social tuvo mucho que ver en
los recientes ataques de malware de macros.
Se engañaba a los usuarios para que habilitaran
macros con el objetivo de ver archivos adjuntos
sin saber que en realidad estaban ejecutando
rutinas maliciosas en segundo plano.
Nuevo malware de macros detectado en el primer trimestre de 2015
436
500
250
180
79
29
0
2011
2012
19
2013
2014
2015
Se ha detectado un resurgimiento del malware de macros desde 2014.
Incluso el troyano bancario VAWTRAK ha empezado a utilizarlo.
Número de infecciones de malware de macros en el primer trimestre de 2015
93.000
100.000
48.000
50.000
32.000
0
20.000
22.000
1.er trim.
2.o trim.
2014
3.er trim.
4.o trim.
1.er trim.
2015
El número de infecciones de malware de macros no ha dejado de aumentar desde el
primer trimestre de 2014. Esto podría deberse al lanzamiento de nuevas variantes y al
incremento del número de spam con archivos adjuntos maliciosos cargados de macros.
Países con el mayor número de infecciones de malware
de macros durante el primer trimestre de 2015
China
Estados Unidos
Reino Unido
Japón
Australia
Francia
Italia
Taiwán
Alemania
India
Otros
22%
14%
12%
7%
5%
5%
4%
3%
3%
2%
23%
China encabezó la lista de países con el mayor número de equipos infectados por malware de
macros durante los tres primeros meses de 2015. Pese a que Microsoft ha inhabilitado las macros
predeterminadas de Office, los usuarios de versiones anteriores siguen estando expuestos.
Principales variantes de malware de macros en el primer trimestre de 2015
W97M_MARKER.BO
8%
X97M_OLEMAL.A
5%
W2KM_DLOADR.JS
3%
X2KM_DLOADR.C
2%
W97M_SATELLITE
2%
W97M_DLOADR.XTRZ
2%
W2KM_DLOAD.NB
2%
W97M_DLOADER.GHV 2%
X2KM_DLOAD.A
2%
X97M_LAROUX.CO
2%
Otros
70%
Aplicaciones más utilizadas para incorporar macros maliciosas
Word
75%
Excel®
21%
PowerPoint®
1%
Otros
3%
Los documentos de Microsoft Word y las hojas de datos de Excel fueron
los portadores de macros maliciosas preferidos por los ciberdelincuentes.
Principales familias de malware de macros en el primer trimestre de 2015
DLOADR
DLOAD
MARKER
BARTALEX
DLOADER
DLOADE
OLEMAL
LAROUX
BURSTED
MDROP
Otros
30%
10%
8%
8%
6%
5%
4%
4%
3%
2%
20%
El malware de macros ha pasado a ser el vector de ataque favorito, ya que puede eludir fácilmente
las soluciones antimalware independientes instaladas en la mayoría de equipos. Las principales
familias de malware de macros eran aplicaciones de descarga, lo que podría indicar que otro
malware los utiliza como medio para infectar sistemas.
“El reciente éxito del malware de macros podría atribuirse al uso
de eficaces tácticas de ingeniería social y a la facilidad con que
se puede ocultar. Normalmente se integra en archivos de Office,
con los que las soluciones de exploración de malware suelen ser
más benevolentes. Lo peor de todo es que las macros se pueden
habilitar a través de archivos de lotes y secuencias de comandos,
que también esquivan la detección antimalware.”
—Anthony Melgarejo,
ingeniero de respuestas frente a amenazas
El fallo de seguridad FREAK, con una década
de antigüedad, expone los problemas existentes
en la gestión de parches
FREAK y GHOST asustaron a los usuarios de equipos y aplicaciones vulnerables.
Pusieron en evidencia los problemas de la anticuada gestión de parches para los
administradores de TI, derivados de la variedad de plataformas y dispositivos
que necesitaban protección. Cabe esperar que surjan más fallos explotables en
plataformas y dispositivos a medida que avance el año.
FREAK (acrónimo de “Factoring RSA Export
Transport Layer Security (TLS)/Secure Sockets
Keys”), una vulnerabilidad que obliga a las
Layer (SSL) eran vulnerables a los ataques man-in-
aplicaciones y los sitios Web seguros afectados a
the-middle (MiTM)19. Los usuarios de Windows®
utilizar un cifrado más débil, se descubrió el pasado
afectados estuvieron expuestos al robo de datos
mes de marzo. Se detectó que todas las versiones de
confidenciales20.
OpenSSL anteriores a 1.0.1k y los clientes de Apple
Actualmente
vulnerables
Cambio desde
el 3 de marzo
Servidores HTTPS de la lista de principales nombres de dominio
de Alexa (compuesta por 1 millón)
8,5%
Ha disminuido
desde el 9,6%
Servidores HTTPS con certificados de confianza para el explorador
6,5%
Ha disminuido
desde el 36,7%
Todos los servidores HTTPS
11,8%
Ha disminuido
desde el 26,3%
El número de servidores que se han visto afectados por la vulnerabilidad FREAK
ha disminuido desde el descubrimiento del fallo este mes de marzo21.
GHOST, una vulnerabilidad de desbordamiento
para los fallos de las aplicaciones Web antes de
de búfer de Linux™ (glibc o las versiones de GNU
que se conviertan en objeto de ataque. Al fin y al
C Library anteriores a la 2.2), también se dio a
cabo, estos fallos pueden poner en peligro datos
conocer el pasado enero. El fallo se activa al utilizar
empresariales importantes almacenados en bases
determinadas funciones en glibc que permiten la
de datos de servidores vulnerables.
ejecución de código arbitrario. Afortunadamente,
la vulnerabilidad no es fácil de explotar y puede
Los datos de Trend Micro Deep Security revelaron
afectar solamente a un reducido número de
que los ataques de secuencias de sitios cruzados
sistemas .
(XSS) y de SQL injection se utilizaban básicamente
22
contra aplicaciones Web de servidores corporativos.
Al igual que sucede con las vulnerabilidades de
Los datos de Open Web Application Security
clientes y servidores, es necesario crear parches
Project (OWASP) respaldan esta conclusión.
Principales vulnerabilidades de aplicaciones Web detectadas
Plantea graves amenazas para cualquier aplicación Web que utilice una base de datos; el problema surge
de entradas no validadas o insuficientes que los usuarios transfieren mediante aplicaciones Web afectadas
a servidores de bases de datos en forma de comandos SQL; permite que los atacantes lean o modifiquen
datos de las bases de datos, así como añadir o eliminar datos, lo que puede tener efectos devastadores.
CRÍTICA
SQL injection
XSS no persistente
Permite a los atacantes inyectar secuencias de comandos maliciosas (normalmente en el cliente)
en aplicaciones Web; XSS se aprovecha de las aplicaciones que no validan, filtran ni cifran los datos
suministrados por los usuarios; el objetivo suele ser intentar engañar a las víctimas para que hagan clic
en enlaces aparentemente legítimos que en realidad proporcionan datos adicionales para lanzar ataques.
Aprovecha las validaciones de seguridad insuficientes de las aplicaciones Web para facilitar el acceso
de los atacantes a archivos de rutas de sistemas restringidos mediante navegación por los sistemas de
archivos de los servidores; también conocidos como ataques “punto punto barra” o “directory traversal”.
ALTA
Path traversal
Detección de posible recurso confidencial
Permite a los atacantes obtener información sobre recursos que podrían estar enlazados con la
estructura de aplicaciones (antiguas copias de seguridad, configuraciones de servidores, registros de
bases de datos o servidores, configuraciones de bases de datos, vuelcos de bases de datos o archivos
de aplicaciones confidenciales) con la finalidad de ejecutar ataques más sofisticados.
Indexación de directorios
Afecta a servidores Web que muestran la página de índice de su directorio o subdirectorio virtual cuando
acceden agentes de usuario; permite que los atacantes organicen más ataques a partir del análisis
del contenido y la estructura del directorio de aplicaciones Web vulnerables y obtengan acceso no
autorizado a archivos de directorio.
Permite a los atacantes obtener acceso a información confidencial, incluida la lógica interna de las
aplicaciones Web, que incorpora códigos HTML que los usuarios visualizan cuando se producen
excepciones o errores en las aplicaciones Web.
MEDIA
Mensajes detallados de error de aplicaciones
Datos de formularios confidenciales transmitidos sin SSL
Permite a los atacantes obtener datos confidenciales transmitidos a través de aplicaciones que no
utilizan SSL.
Revelación de código fuente de archivos de inclusión
Permite que los atacantes obtengan acceso a información confidencial sobre la lógica de las aplicaciones
existente en códigos fuente y la aprovechen en su beneficio.
Provocada por la generación de resultados inesperados; las aplicaciones Web que divulgan rutas
locales pueden guiar a los atacantes hasta las carpetas raíz y, de este modo, ayudarles a diseñar ataques
personalizados con los que acceder a los archivos internos del sistema.
BAJA
Revelación de ruta local
Filtración de dirección IP interna
Puede revelar información sobre el esquema de direcciones IP de las redes internas que luego se puede
utilizar para diseñar ataques personalizados.
XXS no persistente es la vulnerabilidad de aplicaciones Web más común. Según OWASP, “los errores de XSS
se producen cuando una aplicación recibe datos que no son de confianza y los envía a un explorador Web sin la
validación adecuada”. De esta forma, los atacantes pueden ejecutar secuencias de comandos maliciosas cuando
engañan a los usuarios para que hagan clic en enlaces especialmente diseñados.
Los datos de Deep Security también desvelaron que
para el desarrollo Web y, en ocasiones, como
las vulnerabilidades de los servidores PHP eran
lenguaje de programación general. La mayor parte
las más predominantes entre las organizaciones.
de estas vulnerabilidades, clasificadas con una
De hecho, las 10 principales vulnerabilidades de
gravedad “alta” o “crítica”, ya están parcheadas en
servidores estaban relacionadas con el lenguaje de
las últimas versiones de PHP.
secuencia de comandos del servidor PHP diseñado
Principales vulnerabilidades de plataformas detectadas durante
el primer trimestre de 2015
ID de
CVE
Gravedad
Software
afectado
CVE-20122688
Crítica
PHP
No especificada.
Actualice a PHP 5.3.15,
5.4.5 o superior.
CVE-20122376
Crítica
PHP
Permite a los atacantes ejecutar código
arbitrario.
Todavía se tienen que
publicar los parches o
las actualizaciones para
solucionar el problema.
CVE-20113268
Crítica
PHP
arbitrario o bloquear las aplicaciones
afectadas.
Actualice a PHP 5.3.7
o superior.
CVE-20149427
Alta
PHP
Permite a los atacantes bloquear
aplicaciones infectadas, obtener
información confidencial de la memoria
de proceso de php-cgi o activar la
ejecución inesperada de código.
Póngase en contacto con
los proveedores de la
aplicación para obtener
información acerca de
cómo arreglar este fallo.
CVE-20131635
Alta
PHP
Permite a los atacantes eludir
restricciones de acceso planificadas.
5.4.13 o superior.
CVE-20111092
Alta
PHP
aplicaciones infectadas.
o superior.
CVE-20121823
Alta
PHP
arbitrario.
o superior.
CVE-20122311
Alta
PHP
arbitrario.
5.4.3 o superior.
CVE-20122386
Alta
PHP
aplicaciones infectadas.
Actualice a PHP 5.3.14, 5.4.4
o superior.
CVE-20111153
Alta
PHP
Permite a los atacantes obtener
información confidencial y diseñar
ataques de denegación de servicio
(DoS).
o superior.
Descripción
Solución
PHP fue la plataforma más vulnerable de este pasado trimestre al detectarse fallos en diferentes versiones
del lenguaje de secuencia de comandos. Tanto los usuarios como los administradores de TI deben mantener
actualizadas sus aplicaciones con los parches o las versiones más recientes. Deep Security dispone de soluciones
para gestionar estas vulnerabilidades.
A medida que aumenta el número de vulnera
problemas subyacentes podría ser la falta de
bilidades detectadas en aplicaciones y sistemas
responsabilidad directa a la hora de revelar o
operativos de código abierto, los administradores
parchear fallos, que se suma a la dificultad de
de TI tienen más dificultades para mitigar los
proteger todas las aplicaciones y los sistemas
riesgos relacionados. Uno de los principales
operativos potencialmente vulnerables.
“El ataque FREAK volvió a recordar que, independientemente de
lo protegidos que pensemos que están nuestros sistemas y redes,
siempre es posible descubrir una amenaza nueva. Los sistemas
heredados deberían estar tan actualizados como sea posible.
Las empresas, por su parte, deberían conservar los códigos
fuente de las aplicaciones personalizadas que les diseñan los
proveedores. Como ocurrió con Heartbleed, FREAK reproduce
la fragilidad de OpenSSL. Se trata de una tecnología obsoleta
que es preciso sustituir por bibliotecas de cifrado optimizadas.
Las organizaciones que utilizan bibliotecas y software de código
abierto deben revisar e intensificar sus políticas de seguridad.
Entre otras medidas, deben aplicar soluciones de seguridad para
la reputación de dominios e IP y la supervisión del tráfico de
redes mediante sistemas de detección de filtraciones, además de
recurrir a la prevención de intrusiones para bloquear amenazas
conocidas y desconocidas.”
—Pawan Kinger,
director de Deep Security Labs
Filtraciones de datos masivas en el sector
sanitario y debilitación de otros sectores
debido a los ataques de malware de TPV
Una seguridad laxa y la falta de implementación de las soluciones más exigentes
pese a la gran cantidad de datos confidenciales que se almacenan en las redes de
proveedores de servicios sanitarios podrían ser la causa de que dichas redes se
hayan convertido en el objetivo preferido de los ataques.
Dos grandes proveedores de servicios de atención
sanitaria, Premera Blue Cross y Anthem,
sufrieron filtraciones de datos que expusieron
millones de registros médicos y financieros de
sus clientes durante el mes de marzo23. Según los
datos facilitados, la filtración de Anthem afectó a
80 millones de clientes y empleados24. El ataque
a Premera Blue Cross, descubierto en enero, dejó
expuestos los registros de 11 millones de clientes.
Ambas filtraciones de datos desbancaron a NHS,
que logró dejar al descubierto más de 8,6 millones
de sus registros, como el peor ataque a un proveedor
de servicios sanitarios desde 201125.
Los proveedores de servicios sanitarios poseen
más información sobre los usuarios que cualquier
otro tipo de organización, aunque no por ello
utilizan necesariamente los medios más eficaces
para proteger sus datos26.
Ataques más destacados de filtraciones de datos dirigidos
a proveedores de servicios sanitarios entre 2009 y 2015
Virginia Department of Health | EE.UU.
National Health Services | R. Unido
Registros de pacientes, prescripciones
Registros de pacientes no cifrados
2009
Registros perdidos: 8,3 millones
2010
Advocate Medical Group | EE.UU.
Nombres, direcciones, fechas de nacimiento, números de la seguridad social
Community Health Systems | EE.UU.
2011
Cinco años de datos de pacientes, nombres,
direcciones y números de la seguridad social
Registros perdidos: 4 millones
2012
Premera Blue | EE.UU.
2013
Anthem | EE.UU.
Nombres, fechas de nacimiento, direcciones
de correo electrónico, direcciones, números
de teléfono, números de la seguridad social,
números de ID de miembros, información
de cuentas bancarias, información sobre
reclamaciones, información clínica
2014
Nombres, fechas de nacimiento, números
de ID de miembros, números de la
seguridad social, direcciones, números
de teléfono, direcciones de correo
electrónico, información sobre empleos
2015
Las filtraciones de datos de Anthem y Premera, ambas descubiertas durante el primer trimestre del año,
se consideran las peores hasta la fecha27. La última filtración de este tipo tuvo lugar en 2011,
cuando se robaron portátiles que podían contener registros de pacientes sin cifrar del NHS.
(Nota: únicamente se han considerado las organizaciones que perdieron un mínimo de 4 millones de registros).
Número de filtraciones de datos observadas entre 2005 y 2014
relacionadas con los servicios sanitarios
10%
14%
14%
15%
2005
2006
2007
2008
14%
25%
24%
36%
2009
2010
2011
2012
44%
43%
2013
2014
Filtraciones de datos relacionadas
con los servicios sanitarios
El número de víctimas por filtraciones de datos de proveedores de servicios sanitarios ha ido
en aumento desde 2005 hasta prácticamente cuadruplicarse en 2014. El sector sanitario ha sufrido
más filtraciones incluso que las empresas y los sectores militar y gubernamental entre 2012 y 201428.
En el sector minorista y de servicios, los raspadores
Los usuarios se han visto cercados por diferentes
de RAM para TPV no han dejado de aumentar. La
variantes de raspadores de RAM de TPV nuevos
debilidad de la seguridad de los sistemas de TPV
y antiguos. Así, FighterPoS se sumó a la creciente
ha permitido que los raspadores de RAM se hayan
lista de malware de TPV conocido este febrero,
convertido en un método viable para infiltrarse
mientras que el viejo pero eficaz BlackPOS siguió
en las redes, aunque no necesariamente para
acosando a empresas y fue responsable de una parte
organizar ataques dirigidos. El malware de TPV
considerable del número total de infecciones29.
permitía a los atacantes obtener gratificaciones
instantáneas en forma de pingües beneficios.
Número de sistemas infectados por raspadores de RAM de TPV
116
259
300
120
86
65
156
124
150
123
60
73
0
1.er trim. 2.o trim. 3.er trim. 4.o trim. 1.er trim.
2014
2015
0
ENE.
FEB.
MAR.
El número de detecciones de raspadores de RAM de TPV aumentó más del doble
desde que empezó su rastreo el año pasado, lo que podría atribuirse a la aplicación
de mejoras en el malware de TPV existente, como sucede con BlackPOS30.
Países con el mayor número de infecciones de raspadores
de RAM para TPV durante el primer trimestre de 2015
Estados Unidos
Australia
Taiwán
Austria
Italia
Brasil
Canadá
Filipinas
Francia
Japón
Otros
23%
10%
8%
7%
5%
4%
4%
4%
3%
2%
30%
Estados Unidos fue el país al que se dirigieron más ataques de malware de TPV, debido a su gran número
de posibles víctimas. De hecho, el 80% de la población del país paga regularmente con tarjeta y no en efectivo31.
Principales familias de raspadores de RAM de TPV en el primer trimestre de 2015
POCARDL
DEXTR
POSLOGR
POSNEWT
JACKPOS
POCARDLER
POSLUSY
ALINAOS
POSHOOK
ALINA
Otros
20%
14%
11%
7%
7%
6%
6%
5%
5%
5%
14%
POCARDL, que robaba credenciales de tarjetas de pago y cuya presencia se observó por primera vez en octubre
de 2012, fue la familia de raspadores de RAM de TPV predominante durante los tres primeros meses de 201532.
“El malware de TPV se convertirá en uno de los pilares del sector
de la seguridad, como el scareware FAKEAV y el ransomware.
Así ocurrirá especialmente en países como Estados Unidos,
donde la mayor parte de la población prefiere el pago con tarjeta
al dinero en efectivo.”
—Jay Yaneza,
investigador de amenazas
Resurgimiento de antiguos atacantes con
nuevas herramientas, tácticas y procedimientos
para campañas de ataques dirigidos
El grupo Rocket Kitten y todos aquellos responsables de la operación Pawn Storm
se fijaron nuevos objetivos, lo que demuestra que los ataques dirigidos resisten y,
además, evolucionan.
La operación Pawn Storm, una operación de
(IOS_ XAGENT.B), ambas parecidas a las variantes
ciberespionaje económico y político todavía en
de SEDNIT de equipos Windows.
marcha, utilizó los dispositivos iOS™ vulnerables
para infiltrarse en las redes deseadas33. No fue la
En su empeño por conseguir una mejora constante
primera campaña en utilizar malware móvil para
en el campo de los ataques dirigidos, Rocket Kitten
diseñar ataques dirigidos, pero sí la primera que
mejoró sus herramientas, tácticas y procedimientos
fijó su interés en iOS. Los responsables recurrieron
(TTPs)34. Los cerebros de la operación hicieron un
a dos aplicaciones maliciosas de iOS: XAgent
mal uso de OneDrive® para alojar aplicaciones de
(IOS_‌XAGENT.A) y una versión falsa de MadCap
registro de pulsaciones como WOOLERG.
Ataques dirigidos relacionados con los móviles más destacados desde 2011
Ataques de espionaje económico y político instigados por un grupo cuyos objetivos principales son
personal militar, de embajadas y contratistas de defensa de Estados Unidos y sus aliados. Fue el primer
ataque en utilizar malware de iOS específicamente para infiltrarse en las redes objetivo.
Relacionado con 90 ataques dirigidos contra sectores y/o comunidades de Japón e India. Utilizó malware
de Android™ de tipo RAT (herramienta de acceso remoto) para recopilar información y cargar archivos a
dispositivos infectados, o descargarlos.
Ataque dirigido a activistas del Tíbet y Uyghur. Utilizó trucos de ingeniería social para aprovechar las
vulnerabilidades de los sistemas Windows y Mac OS X. Propagó ANDROIDOS_CHULI.A mediante cuentas
de correo electrónico pirateadas pertenecientes a los activistas.
2013
Chuli
2012
Luckycat
2011
Pawn Storm
Xsser mRAT
Regin
Dirigido contra gobiernos, instituciones financieras, operadores de telecomunicaciones, organizaciones de
investigación y otras entidades de diferentes países. Hizo un mal uso de los controladores de estación base
del sistema global para las comunicaciones móviles (GSM) para hacerse con las credenciales necesarias
para manipular la red GSM de un país de Oriente Medio.
Los atacantes apuestan por los dispositivos móviles porque todo el mundo los usa. Los hábitos móviles poco
seguros que todos aplican en su tiempo libre facilitan enormemente la infiltración en el lugar de trabajo,
sobre todo gracias a la tendencia de uso de dispositivos propiedad de los empleados (BYOD)35.
2014
Considerado una campaña iniciada por atacantes de habla china contra manifestantes chinos. El malware
multiplataforma Xsser mRAT (ANDROIDOS_Code4HK.A) afectó tanto a dispositivos Android como iOS;
ANDROIDOS_Code4HK.A expuso textos, correos electrónicos y mensajes instantáneos de las víctimas,
así como datos de su ubicación, nombres de usuario y contraseñas, registros de llamadas y listas de
contactos.
Técnica utilizada por los creadores de la operación Pawn Storm para burlar
las medidas de seguridad empresariales de las tiendas de aplicaciones
Los atacantes crean malware
firmado con un certificado
de empresa.
Los atacantes alojan el malware
en un servidor y utilizan
itms-services para generar
un enlace de instalación.
El enlace se envía a cada uno de
los usuarios objetivo del ataque
para que hagan clic en el mismo
mediante ingeniosas técnicas de
ingeniería social.
El malware se instala cuando
se hace clic en el enlace.
Aunque se desconocen los métodos exactos de instalación del malware XAgent, sí que se
sabe que pueden llegar a afectar incluso a dispositivos sin jailbreak si las aplicaciones
portadoras están firmadas con un certificado de la empresa Apple. Los cebos de la
ingeniería social también aumentan las posibilidades de infección de los dispositivos.
Los kits de explotación siguen incrementando
su nivel de sofisticación
Los kits de explotación llenan constantemente su arsenal de técnicas de explotación
de cada vez más vulnerabilidades, lo que incrementa su atractivo para todo
aquel tipo de atacante que siempre busca la mejor rentabilidad para su dinero.
Su implicación en los ataques de publicidad maliciosa del último trimestre se
postula como un medio viable para su ejecución.
Más de 70 kits de explotación detectados son capaces
de aprovechar más de 100 vulnerabilidades36.
Desde la detención de Paunch en 2013, el número
de kits de explotación en circulación ha disminuido
considerablemente. No obstante, la reducción en
volumen se ha visto compensada por una mayor
sofisticación. Al fin y al cabo, los kits de explotación
se actualizan constantemente para poder apro
vechar un mayor número de vulnerabilidades.
El kit de explotación Hanjuan, por ejemplo, fue
uno de los utilizados en el ataque de día cero
Adobe Flash mencionado anteriormente. El kit
de explotación Nuclear, en cambio, fue el más
utilizado durante los tres primeros meses de 2015.
Japón fue el país preferido de los atacantes, como
prueban los múltiples ataques de publicidad
maliciosa dirigidos sobre todo a los usuarios
japoneses 37.
Como viene siendo habitual, los kits más populares
incluían explotaciones para Adobe Flash e Internet
Explorer, seguramente por la ingente base de
usuarios de este tipo de software.
Vulnerabilidades utilizadas en los kits de explotación
Sweet
Orange
Nuclear
Internet
Explorer
CVE-2013-2551
Microsoft
Silverlight®
CVE-2013-0074
Adobe
Flash
CVE-2014-0515
CVE-2014-0569
CVE-2014-8439
CVE-2015-0311
Adobe
Acrobat®
Reader
CVE-2010-0188
Oracle
JavaTM
CVE-2012-0507
XMLDOM
ActiveX
CVE-2013-7331
CVE-2013-2551
CVE-2014-0322
CVE-2014-6332
CVE-2014-0515
CVE-2014-0569
FlashPack
CVE-2013-2551
CVE-2013-3918
CVE-2014-0322
CVE-2013-0634
CVE-2014-0497
CVE-2014-0515
CVE-2014-0569
Rig
Angler
CVE-2013-2551
CVE-2013-2551
CVE-2013-0074
CVE-2013-0074
CVE-2014-0569
CVE-2015-0311
CVE-2014-0515
CVE-2014-0569
CVE-2015-0311
Magnitude
CVE-2013-2551
CVE-2014-0515
Fiesta
Styx
CVE-2013-2551
CVE-2013-2551
CVE-2013-0074
CVE-2013-0074
CVE-2014-0497
CVE-2014-0569
CVE-2015-0311
CVE-2014-0515
Hanjuan
CVE-2015-0313
CVE-2010-0188
CVE-2013-2460
CVE-2013-5471
CVE-2013-2465
CVE-2013-7331
CVE-2013-7331
CVE-2012-0507
CVE-2014-2465
CVE-2013-7331
Las explotaciones de Adobe Flash se encuentran en todos los kits utilizados
en los ataques más destacados del primer trimestre de 2015.
Número de accesos a los servidores de kits de explotación durante el cuarto
trimestre de 2014 y el primer trimestre de 2015
Sweet
Orange
Angler
4.° trim.
2014
1.077.223
363.982
155.816
140.604
14.671
26.943
25.133
Sin datos 1.804.372
1.er trim.
2015
264.897
590.063
255.593
42.424
740.037
321.712
61.952
103.924 2.380.602
-75,4%
62,1%
64%
-69,8%
4.944,2%
1.094%
146,5%
Creci
miento
Magnitude
Rig
Nuclear
Neutrino
Fiesta
Hanjuan
Total
Sin datos
Kits de explotación con mayor número de accesos de usuario
durante el primer trimestre de 2015
Nuclear
Angler
Neutrino
Sweet Orange
Magnitude
Hanjuan
Fiesta
Rig
31%
25%
13%
11%
11%
4%
3%
2%
Durante el primer trimestre de 2015 se registró un aumento del 30% de las actividades relacionadas
con los kits de explotación. El kit de explotación Nuclear fue el que recibió un mayor número de visitas,
relacionadas probablemente con los ataques de publicidad maliciosa detectados. Por su parte,
la reducción en las visitas al kit de explotación Sweet Orange podría atribuirse a la limpieza
de anuncios maliciosos que determinadas redes publicitarias realizaron en sus plataformas.
31,9%
Países más afectados por ataques relacionados con kits de explotación
Japón
Estados Unidos
Australia
Canadá
Dinamarca
Francia
Reino Unido
Italia
Brasil
España
Otros
52%
31%
5%
1%
1%
1%
1%
1%
1%
1%
5%
Japón fue el país más afectado, probablemente por la avalancha de ataques de publicidad maliciosa
relacionados con los kits de explotación dirigidos específicamente a usuarios japoneses registrados
a principios de este año.
A pesar de haberse reducido el volumen de kits de explotación de nueva creación, un número considerable
permanecieron activos durante el último trimestre. ¿Podríamos decir que es la calma previa a la tormenta?
¿Quizás los desarrolladores de kits de explotación prefieren no hacer demasiado ruido mientras mejoran sus
ofertas para lanzar al mercado?
Actividad diaria de los kits de explotación conocidos
5
100.000
Nuclear
Angler
4
Neutrino
Sweet Orange
2
50.000
Magnitude
Hanjuan
3
Fiesta
1
Rig
0
ENE.
FEB.
MAR.
(Nota: los picos del gráfico corresponden a los números que se detallan más abajo.)
Las acciones adoptadas por AOL para retirar la publicidad maliciosa de su plataforma provocaron un descenso
de la actividad del kit de explotación Sweet Orange (1). Los kits Angler (2 y 4) y Hanjuan (2) se utilizaron para
introducir el malware de día cero BEDEP en ordenadores desde finales de enero hasta principios de febrero,
contribuyendo así al aumento de visitas a sus servidores. El kit de explotación Nuclear (3 y 5), en cambio,
se utilizó en un ataque de publicidad maliciosa a través de sitios de pornografía.
“Cada vez son más los ataques de explotación que utilizan la
publicidad maliciosa en detrimento de la exposición de los sitios
o el spam. Al fin y al cabo, el mal uso de las redes de publicidad
legítimas permite a los atacantes enmascarar sus intenciones.
Mejoran continuamente sus herramientas y tácticas con el
objetivo de diseñar campañas más eficaces y multiplicar su
negocio. Vamos a ser testigos de muchos más ataques de este
tipo a lo largo de 2015.”
—Joseph C. Chen,
ingeniero
Revisión del panorama de las amenazas
El volumen general de amenazas ha disminuido en
el volumen de spam alcanzó niveles nunca vistos.
comparación con los datos registrados en el cuarto
Esto podría ser indicativo del resurgir del correo
trimestre de 2014. Si bien hubo menos bloqueos
electrónico como vector de infección preferido
de acceso de usuarios a dominios maliciosos y se
para ejecutar amenazas antiguas como el malware
redujo el malware capaz de infectar dispositivos,
de macros en equipos vulnerables.
Número total de amenazas bloqueadas
6.000
millones
Tasa de detección de Trend Micro:
amenazas bloqueadas por segundo
durante el 1.er trimestre de 2015
2.000/s
1.931
5.200
5.000
millones
1.858
1.595
millones
3.900
millones
3.000
millones
1.000/s
0
0
ENE.
FEB.
MAR.
Durante el pasado trimestre, se bloqueó un promedio
de 4.700 millones de amenazas al mes, lo que supone
un incremento de 1.500 millones respecto a la cifra
del último trimestre de 2014.
ENE.
FEB.
MAR.
Durante el pasado trimestre, se bloqueó
un promedio de 1.800 amenazas por segundo.
Esta cifra supone un aumento de 600 amenazas
respecto a las 1.200 amenazas por segundo
registradas anteriormente.
Número de consultas de reputación de
correo electrónico bloqueadas como
spam durante el primer trimestre de 2015
Número de visitas de usuario a sitios
maliciosos bloqueadas durante
el primer trimestre de 2015
5.000
millones
350 millones
4.600
315
millones
millones
4.100
millones
236
3.300
millones
millones
2.500
millones
252
millones
175 millones
0
0
ENE.
FEB.
MAR.
ENE.
Se evitó que un total de 12.000 millones de correos
electrónicos enviados desde direcciones IP remitentes
de spam llegaran a los buzones de entrada de
los usuarios.
FEB.
MAR.
Se registraron más de 800 millones de visitas
de usuario a sitios maliciosos durante el pasado
trimestre, cifra que aumenta cada mes.
Número de archivos maliciosos bloqueados durante el primer trimestre de 2015
600 millones
522
millones
361
300 millones
351
millones
millones
ENE.
FEB.
0
MAR.
Se impidió que más de mil millones de archivos maliciosos infectaran
dispositivos durante el último trimestre. El número de malware
prácticamente se duplicó de febrero a marzo.
La familia KRYPTIK de troyanos que afectaba
Muchos de los dominios principales cuyo acceso
principalmente a clientes ha entrado este último
se bloqueó a los usuarios este último trimestre
trimestre en la lista de malware más habitual.
estaban relacionados con el adware. Todo ello
Estos troyanos, conocidos hasta ahora por asustar
podría estar ligado con el repunte observado
a los usuarios con mensajes de advertencia que
del número de ataques de publicidad maliciosa.
aparecían en sus pantallas, intentaron descargar
Además, el adware también hizo acto de presencia
otros archivos maliciosos en equipos previamente
en las principales posiciones de la lista de tipos de
infectados.
consiguieron
amenazas móviles. En total se han registrado más
desbancar ni a SALITY ni a DOWNAD de las
de 5 millones de amenazas Android hasta la fecha,
2 principales posiciones.
una cifra muy cercana a nuestra previsión global de
Sin
embargo,
no
8 millones para finales de 2015.
Principales dominios maliciosos a los que se impidió el acceso durante el primer
trimestre de 2015
Dominio
Motivo para bloquear el acceso
files-download-131.com
Descarga de archivos posiblemente no deseados (PUA)38
enhizlitakip.com
Relacionado con un scam de un seguidor de Twitter turco
cnfg.toolbarservices.com
Relacionado con adware presentado como una barra de
herramientas del explorador
s.trk-u.com
Relacionado con adware presentado como una barra de
herramientas del explorador
s.ad120m.com
Sitio con el que se comunica una variante de TROJ_GEN
sso.anbtr.com
Sitio con el que se comunica PE_SALITY.RL
f0fff0.com
Abre páginas emergentes que descargan adware
fa8072.com
Abre páginas emergentes que descargan adware
creative.ad120m.com
Sitio con el que se comunica una variante de TROJ_GEN
lovek.info
Vinculado con fraudes por clics de ratón
La mayoría de los dominios maliciosos a los que se bloqueó el acceso durante
el último trimestre estaban relacionados con la propagación de adware
y vinculados con otros fraudes.
Países con el mayor número de URL maliciosas
Estados Unidos
Países Bajos
China
Rusia
Costa Rica
Alemania
Reino Unido
Portugal
Japón
Corea del Sur
Otros
29%
7%
6%
3%
2%
1%
1%
1%
1%
1%
48%
Estados Unidos se mantuvo en la primera posición de la lista de países con mayor número de URL.
Francia y Hungría salieron de la lista y en su lugar entraron Costa Rica y Portugal.
Países con el mayor número de usuarios que hicieron clic en URL maliciosas
Estados Unidos
Japón
Australia
Taiwán
India
China
Francia
Alemania
Canadá
Italia
Otros
33%
24%
5%
4%
3%
3%
3%
2%
2%
2%
19%
Al ser el país que más URL maliciosas aloja, Estados Unidos también resulta ser el país
con el mayor número de usuarios que hicieron clic en enlaces maliciosos.
Idiomas con más spam durante el primer trimestre de 2015
Inglés
Chino
Alemán
Japonés
Ruso
Portugués
Español
Polaco
Francés
Italiano
Otros
84.49%
1.86%
1.27%
1.15%
0.70%
0.61%
0.54%
0.43%
0.38%
0.09%
8.48%
El inglés sigue siendo el idioma más utilizado para el spam.
Principales países emisores de spam en el primer trimestre de 2015
Estados Unidos
Rusia
China
Japón
Vietnam
Italia
España
Argentina
Irán
Alemania
Otros
16%
5%
5%
5%
5%
4%
4%
4%
3%
3%
46%
En línea con el idioma más usado con el spam, Estados Unidos encabezó la lista de países emisores de spam.
Irán también entró a formar parte de lista; Ucrania, en cambio, desapareció.
Principales familias de malware en el primer trimestre de 2015
Nombre de detección
Volumen
SALITY
86.000
DOWNAD
83.000
KRYPTIK
71.000
BROWSEVIEW
69.000
GAMARUE
65.000
DUNIHI
49.000
VIRUX
42.000
UPATRE
41.000
FORUCON
39.000
RAMNIT
29.000
Principales familias de malware por segmento en el primer trimestre de 2015
Segmento
Grandes empresas
PYMES
Particulares
Volumen
DOWNAD
62.000
SALITY
35.000
DUNIHI
29.000
DOWNAD
12.000
DLOADR
11.000
UPATRE
10.000
KRYPTIK
61.000
GAMARUE
38.000
SALITY
36.000
Aunque KRYPTIK presenta un rápido crecimiento que le permite entrar en la lista
de malware principal del último trimestre, no consigue desbancar a los líderes
SALITY y DOWNAD, asentados en las primeras posiciones desde hace tiempo.
Principales familias de adware en el primer trimestre de 2015
Nombre de detección Volumen
OPENCANDY
454.000
DEALPLY
224.000
MYPCBACKUP
183.000
MYPCBaACKUP
142.000
PULSOFT
122.000
TOMOS
113.000
MULTIPLUG
109.000
INSTALLCORE
102.000
ELEX
90.000
SPROTECT
67.000
Principales familias de adware por segmento en el primer trimestre de 2015
Segmento
Grandes empresas
PYMES
OPENCANDY
68.000
DEALPLY
46.000
TOMOS
18.000
OPENCANDY
29.000
DEALPLY
23.000
MYPCBACKUP
Particulares
Volumen
8.000
OPENCANDY
346.000
MYPCBACKUP
156.000
DEALPLY
135.000
El primer adware de la lista, OPENCANDY, encabezó repetidamente la lista
de infectores de dispositivos de diferentes segmentos de usuarios.
Principales familias de malware Android en el primer trimestre de 2015
Danpay
Inoco
Youm
Agent
AdultPlayer
Jxt
Gexin
Guidead
AppInst
FakeApp
Otros
14%
12%
6%
6%
4%
4%
2%
2%
1%
1%
48%
Danpay fue la familia de malware Android más destacada del último trimestre. Sus rutinas
incluyen el acceso a servidores C&C y esperar comandos maliciosos mientras descarga
silenciosamente otras aplicaciones en dispositivos previamente infectados.
Principales familias de adware Android en el primer trimestre de 2015
AdLeak
Igexin
AdFeiwo
Noiconads
FeiwoDown
Appquanta
Arpush
RevMob
SnailCut
GoYear
Otros
8%
7%
6%
5%
5%
4%
4%
4%
3%
3%
51%
AdLeak, un nombre de detección genérico de Trend Micro para aplicaciones que podrían comprometer
la privacidad de los usuarios, encabezó la lista de adware móvil este último trimestre.
Principales tipos de amenazas Android detectadas
50%
48%
25%
18%
14%
14%
4%
2%
0
ADWARE
LADRONES
DE DATOS
PAYWARE
ABUSO DE
SERVICIOS
PREMIUM
DESCARGAS
MALICIOSAS
OTROS
El adware siguió siendo el principal tipo de amenaza para dispositivos Android. El payware o software de pago hace
referencia a aplicaciones posiblemente no deseadas (PUA) que manipulan a los usuarios para que acepten pagar
cuotas o tasas fraudulentas. Las PUA no son necesariamente maliciosas, pero incluyen funciones que ponen
en riesgo la seguridad de los datos de los usuarios o dificultan su experiencia móvil.
Crecimiento acumulado de amenazas Android desde el primer trimestre de 2015
5,4 millones
6 millones
4,9 millones
3,8 millones
4,1 millones
4,3 millones
4,6 millones
3 millones
0
OCT.
2014
NOV.
DIC.
ENE.
2015
FEB.
MAR.
La gran mayoría de amenazas Android detectadas durante el último trimestre fueron PUA.
Países que alojaron el mayor número de servidores C&C
Estados Unidos
Ucrania
Alemania
Rusia
Francia
Reino Unido
Países Bajos
China
Corea del Sur
Portugal
Otros
29%
9%
7%
7%
4%
4%
4%
3%
3%
2%
28%
Los servidores C&C estaban ampliamente distribuidos en países como Estados Unidos, Ucrania
y Alemania. No es necesario que los atacantes residan en dichos países para acceder a sus
servidores C&C, ya que pueden gestionarlos de forma remota. La mayoría de los países de la lista
también figuraban en la de principales países que alojan URL maliciosas. Esto podría indicar la
existencia de usos indebidos de los servicios de alojamiento e infraestructuras de dichos países.
Países con mayor número de conexiones a servidores C&C
Estados Unidos
Japón
Australia
Taiwán
Alemania
India
Canadá
Francia
Malasia
Italia
Otros
51%
9%
5%
4%
4%
4%
2%
2%
2%
1%
16%
Estados Unidos registró el mayor número de conexiones C&C. También encabezó la lista de
países con más usuarios que hicieron clic en URL maliciosas. Estas cifras indicarían que la
mayoría de los intentos de acceso registrados podrían estar relacionados con redes robot.
Familias de malware con el mayor número de servidores C&C relacionados
1.500
1.316
750
745
385
379
TROJAN
GOZEUS
348
0
CRILOCK
DUNIHI
ZEUS
Las variantes del ransomware CRILOCK fueron las que más
veces accedieron a servidores C&C durante el último trimestre.
Familias de malware con el mayor número de víctimas
350.000
349.000
379
175.000
36.000
31.000
PUSHDO/
WIGON
CLACK
18.000
0
POWELIKS
BADUR
POWELIKS fue el malware que causó un mayor número de víctimas el último trimestre, probablemente
por su mecanismo de ocultación, que le permite permanecer invisible en los sistemas infectados.
Referencias
1.
U.S. Senate Committee on Homeland Security & Governmental Affairs. (14 de mayo de 2014). U.S. Senate Committee on Homeland
Security & Governmental Affairs. "Permanent Subcommittee on Investigations Releases Report: 'Online Advertising and Hidden
Hazards to Consumer Security and Data Privacy.'" Último acceso: 7 de mayo de 2015, http://www.hsgac.senate.gov/media/permanentsubcommittee-on-investigations-releases-report-online-advertising-and-hidden-hazards-to-consumer-security-and-data-privacy.
2.
Brooks Li y Joseph C. Chen. (16 de marzo de 2015). TrendLabs Security Intelligence Blog. "Exploit Kits and Malvertsing:
A Troublesome Combination." Último acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/exploit-kitsand-malvertising-a-troublesome-combination/.
3.
Peter Pi. (2 de febrero de 2015). TrendLabs Security Intelligence Blog. "Trend Micro Discovers New Adobe Flash Zero-Day Exploit
Used in Malvertisements." Último acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/trend-microdiscovers-new-adobe-flash-zero-day-exploit-used-in-malvertisements/.
4.
Alvin Bacani. (5 de febrero de 2015). TrendLabs Security Intelligence Blog. "BEDEP Malware Tied to Adobe Zero Days." Último
acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/bedep-malware-tied-to-adobe-zero-days/.
5.
Trend Micro Incorporated. (20 de febrero de 2015). TrendLabs Security Intelligence Blog. "Superfish Adware in Lenovo Consumer
Laptops Violates SSL, Affects Companies via BYOD." Último acceso: 16 de abril de 2015, http://www.trendmicro.com/vinfo/us/security/
news/cybercrime-and-digital-threats/superfish-adware-in-lenovo-consumer-laptops-violates-ssl.
6.
Lenovo. (19 de febrero de 2015). Lenovo. "Lenovo Statement on Superfish." Último acceso: 16 de abril de 2015,
http://news.lenovo.com/article_display.cfm?article_id=1929.
7.
Vangie Beal. (2015). Webopedia. "Bloatware." Último acceso: 20 de abril de 2015, http://www.webopedia.com/TERM/B/bloatware.html.
8.
Seven Shen. (2 de abril de 2015). TrendLabs Security Intelligence Blog. "The Fine Line Between Ad and Adware: A Closer Look at
the MDash SDK." Último acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/the-fine-line-between-adand-adware-a-closer-look-at-the-mdash-sdk/.
9.
Trend Micro Incorporated. (13 de febrero de 2013). TrendLabs Security Intelligence Blog. "Key Figure in Police Ransomware
Activity Nabbed." Último acceso: 23 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/key-figure-in-policeransomware-activity-nabbed-2/.
10. David John Agni. (2015). Enciclopedia de amenazas. "TROJ_CRYPFORT.A." Último acceso: 16 de abril de 2015,
http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPFORT.A.
11. Francis Xavier Antazo. (2015). Enciclopedia de amenazas. "PHP_CRYPWEB.A." Último acceso: 16 de abril de 2015,
http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/PHP_CRYPWEB.A.
12. Anthony Joe Melgarejo. (1 de abril de 2015). TrendLabs Security Intelligence Blog. "Crypto-Ransomware Sightings and Trends for
1Q 2015." Último acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/crypto-ransomware-sightings-andtrends-for-1q-2015/.
13. David John Agni. (2015). Enciclopedia de amenazas. "TROJ_CRYPTESLA.A." Último acceso: 16 de abril de 2015,
http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPTESLA.A.
14. Shirley Siluk. (13 de abril de 2015). CIO Today. "Ransomware Hackers Hitting Police Departments." Último acceso: 16 de abril
de 2015, http://www.cio-today.com/article/index.php?story_id=033001297WKR.
15. Maydalene Salvador. (24 de marzo de 2015). TrendLabs Security Intelligence Blog. "Macro-Based Malware Increases Along with
Spam Volume, Now Drops BARTALEX." Último acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/
macro-based-malware-increases-along-with-spam-volume-now-drops-bartalex/.
16. Trend Micro Incorporated. (16 de febrero de 2015). TrendLabs Security Intelligence Blog. "Banking Malware VAWTRAK Now
Uses Malicious Macros, Abuses Windows PowerShell." Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabssecurity-intelligence/banking-malware-vawtrak-now-uses-malicious-macros-abuses-windows-powershell/.
17. Rhena Inocencio. (5 de noviembre de 2014). TrendLabs Security Intelligence Blog. "Banking Trojan DRIDEX Uses Macros for
Infection." Último acceso: 6 de mayo de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/banking-trojan-dridex-usesmacros-for-infection/.
18. Joie Salvio. (19 de noviembre de 2014). TrendLabs Security Intelligence Blog. "ROVNIX Infects Systems with Password-Protected
Macros." Último acceso: 6 de mayo de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/rovnix-infects-systems-withpassword-protected-macros/.
19. Trend Micro Incorporated. (4 de marzo de 2015). TrendLabs Security Intelligence Blog. "FREAK Vulnerability Forces Weaker
Encryption." Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/freak-vulnerability-forcesweaker-encryption/.
20. Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Cédric Fournet, Markulf Kohlweiss, Alfredo Pironti, Pierre-Yves Strub, Santiago
Zanella-Béguelin, Jean-Karim Zinzindohoué y Benjamin Beurdouche. (2015). MiTLS. "SMACK: State Machine AttaCKs." Último
acceso: 17 de abril de 2015, https://www.smacktls.com/#freak.
21. Tracking the FREAK Attack. (2015). Último acceso: 30 de abril de 2015, https://freakattack.com/.
22. Pawan Kinger. (28 de enero de 2015). TrendLabs Security Intelligence Blog. "Not So Spooky: Linux ‘GHOST’ Vulnerability."
Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/not-so-spooky-linux-ghost-vulnerability/.
23. Trend Micro Incorporated. (20 de marzo de 2015). Trend Micro Security News. "Premera Blue Cross Admits to Data Breach,
Exposes Records of 11 Million Patients." Último acceso: 17 de abril de 2015, http://www.trendmicro.com/vinfo/us/security/news/cyberattacks/premera-blue-cross-data-breach-exposes-11m-patient-records.
24. Christopher Budd. (5 de febrero de 2015). Trend Micro Simply Security. "The Anthem Data Breach: What You Need to Know."
Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/what-you-need-to-know-about-the-anthem-hack/.
25. Jack Clark. (15 de junio de 2011). ZDNet. "NHS Laptop Loss Could Put Millions of Records at Risk." Último acceso: 30 de abril
de 2015, http://‌www.zdnet.com/article/nhs-laptop-loss-could-put-millions-of-records-at-risk/.
26. Trend Micro Incorporated. (10 de febrero de 2015). Trend Micro Security News. "Millions Affected in Anthem Breach, Healthcare
Companies Prime Attack Targets." Último acceso: 17 de abril de 2015, http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/
millions-affected-in-anthem-breach-healthcare-companies-prime-attack-targets.
27. Miriam Quick, Ella Hollowood, Christian Miles, y Dan Hampson. (30 de marzo de 2015). Information Is Beautiful. "World’s
Biggest Data Breaches." Último acceso: 23 de abril de 2015, http://www.informationisbeautiful.net/visualizations/worlds-biggest-databreaches-hacks/.
28. Identity Theft Resource Center. (2015). ITRC. "2008 Data Breaches." Último acceso: 23 de abril de 2015, http://www.idtheftcenter.
org/ITRC-Surveys-Studies/2008-data-breaches.html.
29. Jay Yaneza. (3 de marzo de 2015). TrendLabs Security Intelligence Blog. "PwnPOS: Old Undetected PoS Malware Still Causing
Havoc." Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/pwnpos-old-undetected-pos-malwarestill-causing-havoc/.
30. Rhena Inocencio. (29 de agosto de 2014). TrendLabs Security Intelligence Blog. "New BlackPOS Malware Emerges in the Wild,
Targets Retail Accounts." Último acceso: 23 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/new-blackposmalware-emerges-in-the-wild-targets-retail-accounts/.
31. American Consumer Credit Counseling. (2015). ConsumerCredit.com. "Infographic: Cash Vs. Card." Último acceso: 23 de abril
de 2015, http://www.consumercredit.com/financial-education/infographics/infographic-cash-vs-card.aspx.
32. Trend Micro Incorporated. (2014). Trend Micro Security Intelligence. “La ciberdelincuencia ataca objetivos impensables: Informe
sobre seguridad del primer trimestre de 2014 de TrendLabs" Último acceso: 23 de abril de 2015, http://www.trendmicro.co.uk/media/
misc/cybercrime-hits-the-unexpected-en.pdf.
33. Lambert Sun, Brooks Hong y Feike Hacquebord. (4 de febrero de 2015). TrendLabs Security Intelligence Blog. "Pawn Storm
Update: iOS Espionage App Found." Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/pawnstorm-update-ios-espionage-app-found/.
34. Cedric Pernet. (18 de marzo de 2015). TrendLabs Security Intelligence Blog. "Operación 'Woolen Goldfish': phishing en las garras
de un gatito" Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/operation-woolen-goldfishwhen-kittens-go-phishing/.
35. Trend Micro Incorporated. (27 de febrero de 2015). Trend Micro Security News. "Pawn Storm in iOS Apps and Other Cases
of Mobile Links in Targeted Attacks." Último acceso: 23 de abril de 2015, http://www.trendmicro.com/vinfo/us/security/news/mobilesafety/pawn-storm-in-ios-apps-and-other-cases-of-mobile-links-in-targeted-attacks.
36. Trend Micro Incorporated. (16 de marzo de 2015). Trend Micro Security News. "Exploit Kits: Past, Present and Future." Último
acceso: 17 de abril de 2015, http://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/exploit-kits-past-present-andfuture.
37. Peter Pi. (20 de marzo de 2015). TrendLabs Security Intelligence Blog. "Freshly Patched Adobe Exploit Added to Nuclear Exploit
Kit." Último acceso: 23 de abril de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/freshly-patched-flash-exploit-added-tonuclear-exploit-kit/.
38. Trend Micro Incorporated. (2015). Enciclopedia de amenazas. "Potentially Unwanted Application." Último acceso: 30 de abril
de 2015, http://www.trendmicro.com/vinfo/us/security/definition/potentially-unwanted-app.
Redactado por:
Asistencia técnica global y Centro de I+D de TREND MICRO
TREND MICRO TM
Trend Micro Incorporated, líder global de seguridad en la nube, crea un
mundo seguro para intercambiar información digital con sus soluciones
de seguridad de contenidos de Internet y de gestión de amenazas
para empresas y particulares. Trend Micro es una empresa pionera en
seguridad de servidores con más de 20 años de experiencia que ofrece
seguridad del más alto nivel adaptada a las necesidades de sus clientes,
detiene las amenazas más rápidamente y protege la información en
entornos físicos, virtualizados y basados en la nube. Con el respaldo de
la infraestructura de Trend Micro™ Smart Protection Network™, nuestra
tecnología, productos y servicios de seguridad basados en la nube
líderes del sector consiguen detener las amenazas allá donde surgen,
en Internet. Además, nuestros clientes cuentan con la asistencia de un
equipo de más 1.000 expertos en amenazas en todo el mundo. Si desea
más obtener más información, visite www.trendmicro.com.
©2015 por Trend Micro, Incorporated. Reservados todos los derechos. Trend Micro y el logotipo en forma de pelota de Trend Micro son marcas registradas
o marcas comerciales de Trend Micro Incorporated. El resto de los nombres de productos o empresas pueden ser marcas comerciales o registradas de sus
respectivos propietarios.

Anuncios maliciosos y días cero: el resurgimiento de

Transcripción

Documentos relacionados

Maestria en Gestion Industrial

Maestría en Estructuras - EEP :: Ingeniería USAC

10 Consejos de Seguridad en Redes Sociales