anuncios maliciosos y días cero: el resurgimiento de las ... · como asesoramiento jurídico y es...

Informe sobre seguridad del primer trimestre de 2015 de TrendLabsSM

Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas

RENUNCIA DE RESPONSABILIDAD DE TREND MICROLa información proporcionada en este documento es de carácter general y se ofrece con fines educativos únicamente. En ningún caso debe interpretarse como asesoramiento jurídico y es posible que no pueda aplicarse en todos los casos o no refleje la situación más actual. La información proporcionada no debe considerarse como base de actuación sin el debido asesoramiento jurídico de los hechos y las circunstancias concretos de cada caso y nada de lo estipulado en este documento debe interpretarse de otro modo. Trend Micro se reserva el derecho de modificar el contenido del presente documento en cualquier momento sin previo aviso.

La traducción de este material a otros idiomas se ha realizado únicamente para la comodidad de los lectores no angloparlantes. En ningún caso se garantiza la precisión de las traducciones. Si tiene alguna pregunta relacionada con la precisión de una traducción, consulte la versión original del documento en el idioma oficial. Las posibles discrepancias o diferencias con respecto al original no son vinculantes y carecen de efecto jurídico para el cumplimiento o la aplicación de normativas.

A pesar de todos los esfuerzos razonables realizados por Trend Micro para incluir información actualizada y precisa, Trend Micro no asume ninguna responsabilidad ni representación por su precisión, vigencia o integridad. Es responsabilidad propia del usuario el acceso a este documento y a la información que contiene, así como su utilización y la confianza en el mismo. Trend Micro renuncia a todas las garantías de cualquier tipo, explícitas o implícitas. Ni Trend Micro ni ninguna otra parte implicada en la creación, producción o presentación de este documento asume responsabilidad alguna por posibles consecuencias, pérdidas o daños, ya sean directos, indirectos, especiales, consecuenciales, así como tampoco por la pérdida de beneficios o daños especiales causados por el acceso al documento o por su uso o imposibilidad de uso, o relacionados con el uso de este documento, así como por errores u omisiones de cualquier tipo en su contenido. El uso de esta información constituye la aceptación de la condición de utilización “tal cual”.

Contenido

Los fallos del modelo empresarial de la publicidad Web ponen en peligro la seguridad de los usuarios

4

Se dispara el volumen de infecciones del ransomware de cifrado: las empresas bajo amenaza

11

Malware de macros: una técnica antigua pero igualmente eficaz

17

El fallo de seguridad FREAK, con una década de antigüedad, expone los problemas existentes en la gestión de parches

21

Filtraciones de datos masivas en el sector sanitario y debilitación de otros sectores debido a los ataques de malware de TPV

26

Resurgimiento de antiguos atacantes con nuevas herramientas, tácticas y procedimientos para campañas de ataques dirigidos

30

Los kits de explotación siguen incrementando su nivel de sofisticación

32

Revisión del panorama de las amenazas

36

La experiencia de las amenazas observadas este último trimestre demuestra que toda precaución es poca para proteger a los usuarios. Los ciberdelincuentes y atacantes ya no necesitan crear nuevos canales para alcanzar sus objetivos y atrapar a sus víctimas. Gran parte de las tareas preliminares ya están hechas y solo les queda finalizar el trabajo.

Los mayores déficits de seguridad suelen pasar inadvertidos. Los anuncios maliciosos, por ejemplo, no suponen ninguna novedad. Muchos usuarios están habituados a ellos. Sin embargo, aunque los usuarios se abastezcan de las soluciones de seguridad más avanzadas y dispongan de los conocimientos adecuados, nada puede prepararles para hacer frente a los anuncios maliciosos infectados con vulnerabilidades de día cero. El incidente de Adobe® Flash® que tuvo lugar en febrero demostró la eficiencia de este tipo de ataques.

Los usuarios de dispositivos móviles tampoco pudieron escapar. El adware continuó representando una amenaza significativa, tal como se desprende del desmantelamiento de aplicaciones de Google Play™ que se realizó ese mismo mes. A pesar de la intervención, los dispositivos de millones de usuarios que descargaron aplicaciones de alto riesgo aparentemente seguras ya se habían infectado. No cabe duda de que las redes de anuncios deben reforzar su seguridad.

Muchos usuarios también cometen el error de pensar que la tecnología obsoleta no supone un problema grave. El considerable aumento en el número de infecciones de malware de macros (integrado en archivos de Microsoft™ Word®) y la persistencia de las vulnerabilidades OpenSSL puso de manifiesto la facilidad con la que los ciberdelincuentes pueden afianzarse aprovechando las vulnerabilidades antiguas y conocidas.

No obstante, el sector más importante que se ha visto sorprendido durante estos últimos meses ha sido el minorista, algo interesante teniendo en cuenta la notoriedad de los ataques de malware para terminales de punto de venta (TPV). Como ha ocurrido con el ransomware, todo parece indicar que el malware de TPV ha venido para quedarse, con el consiguiente peligro que supone para los datos de las empresas y sus clientes.

¿Realmente estamos haciendo todo lo necesario para protegernos frente a las amenazas de seguridad? Como se ha demostrado a partir de los mayores incidentes ocurridos durante los tres primeros meses de 2015, ni siquiera los usuarios y las empresas más avezados en seguridad son inmunes a estos peligros. Al fin y al cabo, los agentes responsables de las amenazas no dudarán en sacar provecho incluso de la más mínima brecha de seguridad para obtener lo que desean. En el entorno informático actual no cabe margen de error.

NOTA: todas las referencias del texto a las “detecciones” hacen referencia a casos en los que se detectaron amenazas en dispositivos de usuarios que posteriormente se bloquearon con un software de seguridad de Trend Micro. A menos que se indique lo contrario, las cifras incluidas en este informe provienen de datos recopilados por la infraestructura de seguridad en la nube Trend Micro™ Smart Protection Network™, que combina tecnologías en la nube y técnicas basadas en clientes para ofrecer asistencia para productos in situ y servicios alojados.

TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs

4 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas

Los fallos del modelo empresarial de la publicidad Web ponen en peligro la seguridad de los usuarios

Los anuncios online se convirtieron en un medio privilegiado de propagación de vulnerabilidades, probablemente debido a la falta de control que tenían los usuarios sobre los anuncios que visualizaban. Los propietarios de sitios Web, al igual que los visitantes, también se vieron afectados por esta situación, ya que no poseían ningún control sobre los anuncios que realmente se mostraban en sus páginas.

Las vulnerabilidades de día cero dirigidas a software

de Adobe se actualizaron recientemente cuando se

utilizaron para llevar a cabo ataques de publicidad

maliciosa. A principios de febrero, se descubrió

un ejemplo de este tipo de vulnerabilidades, la

CVE‑2015‑0313, que actualmente forma parte

del kit de explotación Angler. Utilizaba anuncios

maliciosos, por lo que ya no era necesario que las

víctimas visitaran páginas maliciosas o se toparan

con ellas por casualidad para que sus equipos se

infectaran.

Debido al uso de las vulnerabilidades de día cero,

los recientes ataques de publicidad maliciosa

se han convertido en amenazas más serias. La

combinación de anuncios maliciosos y días cero

debilita dos de las prácticas recomendadas de

seguridad más habituales hoy en día: visitar

únicamente sitios Web de confianza y mantener

actualizadas las aplicaciones con los parches más

recientes.

Según un informe del Comité del Senado de

EE.UU. sobre seguridad nacional y asuntos guber

na mentales, no es fácil abrirse camino en el sector

de la publicidad online. “La complejidad del sector

de la publicidad online dificulta la identificación de

las entidades responsables de los daños derivados

de ataques de malware”1, 2. La publicidad maliciosa

supone un problema no solo para los usuarios

finales, sino también para los propietarios de los

sitios Web. Este tipo de publicidad también puede

infectar sitios Web sin el consentimiento o el

conocimiento de sus propietarios.



ID de la lista CVE (vulnerabilidades y exposiciones más comunes)

Revelación de la vulnerabilidad

Descubri-miento del ataque

Aplicación de parches para la vulnerabilidad

Publicación de la regla de Trend Micro Deep Security

22 ENE 22 ENE 24 ENE 27 ENE

Todas las versiones de Adobe Flash hasta la 16.0.0.257

Explotada mediante SWF_ANGZIA.A (vector no revelado)

CVE-2015-0310

22 ENE 22 ENE 24 ENE 2 FEB


Explotada mediante SWF_ANGZIA.B, SWF_ANGZIA.C o SWF_ANGZIA.F a través de anuncios maliciosos

CVE-2015-0311

2 FEB 2 FEB 4 FEB 10 FEB


Explotada mediante puertas traseras de BEDEP a través de anuncios maliciosos

CVE-2015-0313

5 FEB 5 FEB 10 MAR 3 FEB

Versiones 9 a 11 de Microsoft™ Internet Explorer®

Explotada mediante inyección Web con ayuda de enlaces maliciosos

CVE-2015-0072

Vulnerabilidades destacadas en el primer trimestre de 2015

De las cuatro vulnerabilidades de día cero detectadas este último trimestre, dos utilizaban anuncios maliciosos como vector de infección.



Funcionamiento de la publicidad online

Funcionamiento de la publicidad maliciosa online

Las redes de anuncios conectan a los anunciantes con sitios Web que desean alojar anuncios online y recopilan y añaden diversos anuncios para distribuirlos por sitios diferentes.

Los editores de los anuncios (los propietarios de los sitios Web) integran los anuncios en el contenido online de los sitios. Pueden mostrar varios anuncios en diferentes formatos.

Los usuarios visualizan los anuncios cuando visitan los sitios que los alojan.

Los anuncios maliciosos y legítimos se muestran indistintamente, posiblemente debido a la falta de mecanismos de control adecuados para su distribución mediante las redes de anuncios.

Los anunciantes quieren promover productos o servicios.

Los ciberdelincuentes se hacen pasar por anunciantes y envían anuncios maliciosos.

Los anuncios maliciosos se muestran en sitios que alojan anuncios.

Los anuncios maliciosos explotan las vulnerabilidades de los equipos de los visitantes del sitio para infectarlos con malware.

Funcionamiento de la publicidad maliciosa



El malware BEDEP se propagó mediante una

explotación de Adobe Flash de día cero distribuida

a través de anuncios maliciosos3. Los usuarios

que, sin saberlo, descargaron dicho malware se

expusieron involuntariamente a participar en las

operaciones de redes robot de los atacantes y a

convertirse en víctimas y descargar otros tipos de

malware4.

Las amenazas relacionadas con publicidad de

este trimestre también incluían Superfish, un

complemento del explorador preinstalado en

al menos 52 modelos de portátiles Lenovo®

distribuidos entre septiembre y diciembre de

20145, 6. Clasificado como inflaware o software

innecesario que consume mucho espacio en

el disco y viene preinstalado en los equipos,

Superfish es capaz de alterar los resultados de

búsqueda (mostrados como imágenes) según el

historial de navegación de los usuarios7. No solo se

comporta como adware, sino que también permite

que los ciberdelincuentes espíen comunicaciones

supuestamente seguras.

Los anuncios maliciosos redirigieron a las víctimas a sitios Web que infectaron sus equipos automáticamente con varios tipos de malware.

Número de infecciones de BEDEP y ROZENA distribuidas a través de anuncios

maliciosos entre el cuarto trimestre de 2014 y el primer trimestre de 2015

4.000

2.000

0

OCT. NOV. DIC.

TOTALBEDEP: 7.719

ENE. FEB. MAR.2014 2015

01 106

5 6

2.385

1.858

2.480

313 152

3.568

1.660

TOTALROZENA: 4.815

1.er trim. 2015TOTAL: 10.031

4.o trim. 2014TOTAL: 2.503



Superfish viene preinstalado

en determinados modelos de

portátiles Lenovo, por lo que

es posible que los usuarios no

tengan pleno conocimiento de

qué es ni en qué consiste, ni

hayan dado su consentimiento

para utilizarlo.

Superfish instala su propio

certificado raíz para activar el

complemento incluso en HTTPS,

lo que le permite interceptar

comunicaciones seguras sin

generar advertencias.

Los certificados de Superfish

utilizan la misma clave privada

que se ha filtrado públicamente

en todos los portátiles, lo que

implica una seguridad y un

cifrado débil frente a posibles

abusos.

La búsqueda visual de Superfish es un complemento del explorador que muestra imágenes de anuncios relacionadas con los resultados de búsqueda.

Funcionamiento de Superfish

Además de venir preinstalado en los equipos y comportarse como adware, Superfish supuso una seria amenaza. La escasa seguridad de su certificado puso en peligro hasta las comunicaciones seguras.

El adware no va dirigido solo a los usuarios, ya que

varias aplicaciones de Google Play que utilizaban el

kit de desarrollo de software (SDK) MDash también

mostraban anuncios maliciosos de forma agresiva

en todos los dispositivos móviles afectados8. Se

cree que MDash (ANDROIDOS_ADMDASH. HRX)

llegó a infectar millones de dispositivos antes de que

las aplicaciones que lo contenían se eliminaran de

Google Play. En la tienda también se encontraron

más de 2.000 aplicaciones con un comportamiento

similar.



MAR.

FEB.

ABR.

MAY.

3 DE FEBRERO

Google informó de la

eliminación de tres

aplicaciones de su tienda

tras detectar que se trataba

de adware camuflado.

11 DE MARZO

En el momento de realizar

el análisis, nuestros

investigadores identificaron

2.377 aplicaciones con

funciones hash SHA-256

en Google Play.

26 DE MARZO

Se informó del problema

a Google, que afirmó

que llevaría a cabo

una investigación

más exhaustiva.

31 DE MARZO

Después de que nuestros

investigadores realizaran

una comprobación, todavía

quedaban 682 aplicaciones

en la tienda.

2 DE ABRIL

Se publicó la entrada

del blog sobre MDash.

15 DE ABRIL

Cuando nuestros investigadores

volvieron a realizar una comprobación,

todavía quedaban 85 aplicaciones

en Google Play.

Número de aplicaciones infectadas con MDash encontradas

en Google Play antes y después del desmantelamiento

A principios de marzo se detectaron 2.000 aplicaciones infectadas con MDash en Google Play, la mayoría de las cuales se retiraron en el periodo de un mes tras la notificación.

Las amenazas de este último trimestre atacaron

la plataforma de publicidad online para vulnerar

la seguridad de los datos de los usuarios y los

propietarios de los sitios Web. Se ha demostrado

que los anuncios maliciosos son medios eficaces

para explotar vulnerabilidades de día cero, tal como

se ha observado en los recientes ataques de día

cero de Adobe. Superfish puso en peligro incluso

las comunicaciones supuestamente seguras, que

quedaron a merced de los ciberdelincuentes.

Asimismo, volvió a quedar de manifiesto que

ningún dispositivo está a salvo de amenazas cuando

los atacantes utilizaron MDash y aplicaciones

similares para robar información valiosa de sus

víctimas.



“Para el usuario normal, los anuncios maliciosos representan

una de las peores amenazas. Este tipo de anuncios puede hacer

mucho más daño que otras amenazas, incluso cuando se actúa

correctamente. La publicidad maliciosa puede perjudicar incluso

a usuarios que no hagan clic en enlaces, tengan totalmente

actualizadas las soluciones de seguridad o solo visiten sitios

Web de confianza. En resumen, por muchas precauciones que

tome, nunca estará protegido de los anuncios maliciosos: todo

es cuestión de suerte.”

—Christopher Budd, director de comunicaciones para amenazas

“Los usuarios han intentado evitar por todos los medios

exponerse a materiales publicitarios tanto en soportes online

como tradicionales. Si se mantiene la tendencia de hacer un mal

uso de la publicidad, cabe esperar que los desarrolladores de

exploradores incorporen funciones que bloqueen directamente

los anuncios en sus productos, algo que hoy en día solo se

puede conseguir con complementos de terceros. La única

forma de impedir esta marea de cambios pasa por que las redes

publicitarias mejoren la verificación del contenido que ofrecen

a través de, por ejemplo, el aislamiento de procesos previo a la

publicación y una autenticación eficaz de sus sitios Web.”

—Rik Ferguson, vicepresidente de investigación para seguridad



GulCryptTROJ_GULCRYPT.A

Utiliza .RAR para proteger con contraseña los archivos almacenados; la contraseña está cifrada con el protocolo PGP.

Descargada por TROJ_CRYPTOP.KLS junto con otros componentes.

Utiliza técnicas antiguas, aunque se publican nuevas variantes con frecuencia (dirigida a más tipos de archivos; alterna notas de rescate en ruso y en inglés).

Distribuida mediante spam y explotación de vulnerabilidades.

Imita la interfaz de usuario (IU) de TorrentLocker; utiliza comodines de forma masiva para buscar extensiones de nombres de archivos; cifra archivos en recursos de red compartidos.

Incluida en el kit de explotación Nuclear.

Utiliza una IU similar a la de CryptoLocker; cifra los archivos de juegos independientemente de los documentos.

Incluida en el kit de explotación Angler.

Utiliza GnuPG para cifrar archivos; descarga herramientas de pirateo para robar credenciales de inicio de sesión de la caché del explorador; utiliza sDelete 16 veces para dificultar a las víctimas la recuperación de copias de seguridad; dirigida principalmente a rusos.

Distribuida mediante spam con una aplicación de descarga de JavaScript™.

Renombra archivos como {nombre del archivo codificado}.xtbl; roba direcciones IP.

Incluida en el kit de explotación Nuclear.

1 (Bandarchor)TROJ_CRYPAURA.F

2 CryptoFortressTROJ_CRYPFORT.A3

TeslaCryptTROJ_CRYPAURA.F4 VaultCrypt

BAT_CRYPVAULT.A5 TroideshTROJ_CRYPSHED.A6

Se dispara el volumen de infecciones del ransomware de cifrado: las empresas bajo amenaza

El ransomware de cifrado amplió su lista de objetivos y dejó de dirigirse exclusivamente a particulares para incluir también empresas y otros tipos de usuarios específicos.

Casi la mitad de los infectores de ransomware

detectados durante el primer trimestre de 2015 se

clasifican en la categoría más letal: el ransomware

de cifrado. El ransomware actual, más potente que

sus predecesores, no se limita a bloquear el acceso de

Comparación de las variantes conocidas de ransomware de cifrado

las víctimas a sus equipos como hacían los troyanos

policiales. Su letal descendiente, el ransomware

de cifrado, cifraba archivos secuestrados para

asegurarse de obtener un rescate, con lo que los

usuarios se exponían a un riesgo mayor.



FUNCIONES 1 2 3 4 5 6

¿Nueva familia? Sí No Sí Sí Sí Sí

Datos robados No aplicable Nombre del ordenador e identificador único global (GUID) de la máquina

No aplicable Dirección IP Credenciales de inicio de sesión de la caché del explorador mediante una herramienta de pirateo conocida como “Browser Password Dump by Security Xploded” (HKTL_BROWPASS)

Dirección IP

Comunicación C&C

No Sí (con un servidor de comando y control [C&C] codificado)

No Sí (a través de Tor2web)

Sí (a través de Onion City - Tor2web)

Sí (a través de Tor)

Nombre del archivo de nota de rescate

{nombre de usuario}_archivos

fud.bmp (como fondo de pantalla)

LEER PARA RECUPERAR LOS ARCHIVOS.html

SALVE_SUS_ARCHIVOS.txt; SALVE_SUS_ARCHIVOS.bmp (como fondo de pantalla)

VAULT.txt LÉAME{1 de 10}.txt

Nombre de la extensión anexada a los archivos cifrados

.rar .id-{id#}[email protected]*

.frtrss .ecc .VAULT Renombra archivos como {nombre del archivo codificado}.xtbl

¿Elimina las instantáneas?

No No Sí Sí Sí No

Número de archivos atacados

11 102 (de los 39 de variantes anteriores)

132+ 185 15 342

Importe del rescate

300 € Bitcoins (BTC) por valor de 500 dólares estadounidenses

1 BTC 1,5 BTC (1.000 dólares estadounidenses si se paga con PayPal)

BTC por valor de 247 dólares estadounidenses (aumenta cada siete días)

Desconocido (en primer lugar, las víctimas deben ponerse en contacto con los atacantes y todavía no se conocen casos de pagos por rescate)

Utiliza la Internet profunda para los sitios Web de pago

Mail2Tor (servicio de correo electrónico Tor)

No (a través de correo electrónico)

Tor Tor Tor No (a través de correo electrónico)

¿Funciones de servicios básicos gratuitos?

Sí (a través de correo electrónico)

No Sí Sí Sí No

(* id#: número que identifica a las víctimas durante las transacciones de descifrado)

Se añadieron seis familias a la creciente lista de ransomware de cifrado principal. La lista se clasifica por diferentes niveles de gravedad de peticiones y sofisticación.



Estados Unidos

Australia

Japón

Turquía

Italia

Francia

Alemania

India

Canadá

Filipinas

Otros

34%

6%

6%

5%

5%

4%

3%

3%

2%

2%

30%

20.000

10.000

0

4.o trim. 2013

1.er trim. 2014

2.o trim. 2014

3.er trim. 2014

4.o trim. 2014

1.er trim. 2015

12.000

9.000

6.000 6.000

8.000

13.000

3.000

2.000

3.000 3.000

8.000

3.000

Ransomware de cifrado

Ransomware

Número de infecciones por ransomware

Tras descender el número de ataques entre el primer y tercer trimestre de 2014, probablemente debido a la detención del autor del kit de explotación Blackhole (Paunch) a finales de 2013, el volumen de ransomware recuperó fuelle

antes de que finalizara el 2014. (El kit de explotación Blackhole era conocido por distribuir ransomware).

Países con el mayor número de infecciones de ransomware

en el primer trimestre de 2015

El grueso de las infecciones por ransomware correspondía a Estados Unidos, seguramente a causa de la adición durante ese año de nuevas variantes de ransomware de cifrado como CTB-Locker,

que iba dirigido a residentes estadounidenses.



CRYPCTB

REVETON

KOVTER

CRYPWALL

RANSOM

CRILOCK

CRYPTOPHP

VIRLOCK

MATSNU

CRYPTWALL

Otros

25%

20%

17%

11%

10%

6%

5%

1%

1%

1%

3%

Principales familias de ransomware

CRYPCTB, que representa el 25% del total de ransomware, es el nombre de detección de Trend Micro para las variantes de CTB-Locker, que atormentaron a los usuarios durante los dos primeros meses de este año.

Aunque la detención de Paunch en 2013 se tradujo

en un descenso en el número de infecciones de

ransomware, el incidente no disuadió a otros

ciberdelincuentes de distribuir variantes de la

amenaza más nocivas9. De hecho, los usuarios

actuales se enfrentan a una plaga de variantes de

ransomware incluso más letales.

Pero lo más preocupante es el hecho de que

ransomware ha dejado de amenazar a clientes

exclusivamente y ha ampliado sus miras a las

empresas. CryptoFortress, una imitación de

CryptoLocker (TROJ_CRYPFORT.A), es capaz

de cifrar archivos de carpetas compartidas10.

CRYPWEB, por su parte, cifra bases de datos

de servidores Web11. Es importante que las

empresas tomen consciencia de la amenaza que el

ransomware constituye para sus infraestructuras

y negocios.



Particulares

Grandes empresas

Pequeñas y medianas empresas (PYMES)

Otros

72%

16%

6%s

6%

4.o trim. 2014

15.53216.433

52%

28%

14%s

6%

1.er trim. 2015

Número de infecciones de ransomware por segmentos durante

el cuarto trimestre de 2014 y el primer trimestre de 2015

El número de infecciones de ransomware en empresas casi se ha duplicado durante el último trimestre. Este aumento podría deberse al incremento del volumen de ransomware dirigido a empresas

en lugar de a usuarios normales.

Además de las empresas, los jugadores online

también pasaron a formar parte de la lista de

objetivos del ransomware de cifrado. Teslacrypt

(TROJ_CRYPTESLA.A) fue capaz de cifrar

datos de software y el juego Steam®, así como

documentos y archivos de copias de seguridad y

soportes de los usuarios12, 13. Incluso la policía de

Massachusetts se vio obligada a pagar hasta 500

dólares estadounidenses de rescate simplemente

para recuperar el acceso a sus archivos cifrados14.

Los usuarios de Australia y Nueva Zelanda

también experimentaron ataques de ransomware.

Los ataques de TorrentLocker, según se ha

podido comprobar este enero, se abrieron camino

en todos los mercados. Paralelamente, otras

variantes de ransomware de cifrado ejecutadas

este último trimestre también mostraron mejoras.

CRYPAURA, por ejemplo, logró secuestrar un total

de 102 tipos de archivos para obtener un rescate,

frente a los 39 habituales.

El ransomware se asemeja a FAKEAV en el sentido

de que prácticamente consigue asustar a todos

los usuarios para que paguen el precio exigido

para recuperar el acceso a los equipos y archivos.

El tiempo dirá si el ransomware suscitará tantos

problemas como lo ha hecho FAKEAV. Sin

embargo, en el caso de FAKEAV la sensibilización

de los usuarios desempeñó un papel decisivo,

puesto que bastaba con ignorar los molestos

mensajes emergentes para mantenerse a salvo.

Con el ransomware, en cambio, los usuarios no

tienen opción. Su única esperanza se reduce a

poder recuperar los archivos secuestrados de las

ubicaciones seguras de las copias de seguridad.



“El ransomware de cifrado se ha revelado como un medio

excepcional para que los ciberdelincuentes rentabilicen sus

ataques. Los cerebros que urdieron las primeras variantes

ganaron millones de dólares en pocos meses. La facilidad con

la que el ransomware se puede transformar en ransomware de

cifrado mediante la adición de bibliotecas de cifrado explicaría

muy bien el crecimiento de la amenaza. Los algoritmos de

cifrado son irreversibles. Las víctimas que no guardan copias

de seguridad no tendrán más remedio que pagar si desean

recuperar sus archivos importantes.”

—Anthony Melgarejo,ingeniero de respuestas frente a amenazas



Los mensajes solicitan a los destinatarios que habiliten macros para mostrar un contenido determinado y proporcionan las instrucciones correspondientes.

El spam insta a los usuarios a descargar y abrir archivos adjuntos, que normalmente están en blanco o solo presentan contenido ilegible.

La rutina se ejecuta una vez habilitada la macro.

Malware de macros: una técnica antigua pero igualmente eficaz

Hacia finales de 2014 se observó un resurgimiento del malware de macros, respaldado por el incremento del spam con archivos adjuntos maliciosos cargados de macros y la aparición de nuevas variantes. El malware de macros solía utilizar frases clave y términos de búsqueda populares para persuadir a los objetivos para descargar y ejecutar las macros15. Incluso el infame malware bancario, VAWTRAK, ha utilizado macros maliciosas para infectar equipos, un método que dista mucho de los vectores de infección conocidos. Este malware recurrió al spam para convencer a los destinatarios de que habilitasen macros con el objetivo de ver correctamente archivos Word adjuntos especialmente diseñados. Al hacerlo, se ejecutaba el malware de macro (W2KM_VLOAD.A), que descarga variantes de VAWTRAK16. Entre las amenazas que anteriormente utilizaban malware de macros como vector de infección figuran ladrones de datos como DRIDEX y ROVNIX17, 18.

Los ciberdelincuentes confían en coger desprevenidos a los usuarios, lo que podría explicar el éxito de los ataques de malware de macros. Se aprovechan del hecho de que los usuarios no saben qué son las macros ni cómo funcionan. Por ello, cuando se les solicita que habiliten macros para ver correctamente archivos adjuntos mediante spam muy convincente, lo hacen.

Las macros se están convirtiendo en los vectores de ataque preferidos debido a su facilidad para burlar las soluciones antimalware tradicionales. La ejecución de malware de macros requiere de intervención manual, lo que hace que las tecnologías de aislamiento de procesos no consigan impedir eficazmente la amenaza. Es posible que los usuarios de soluciones para la

El resurgir del malware de macros podría deberse perfectamente a la voluntad de los ciberdelincuentes para aprovechar la falta de conocimientos de los usuarios. Después de todo, son muy pocos los usuarios que realmente comprenden las macros y saben cómo funcionan.

exploración del correo electrónico sean menos proclives a las infecciones por malware de macros, ya que dichas soluciones detectan ejecutables en lugar de buscar macros maliciosas integradas que podrían ocultarse con facilidad y que las soluciones antimalware podrían obviar fácilmente.

La ingeniería social tuvo mucho que ver en los recientes ataques de malware de macros.

Se engañaba a los usuarios para que habilitaran macros con el objetivo de ver archivos adjuntos

sin saber que en realidad estaban ejecutando rutinas maliciosas en segundo plano.

Funcionamiento del malware de macros



2011 2012 2013 2014 2015

500

250

0

1929

79

180

436

1.er trim.2014

2.o trim. 3.er trim. 4.o trim. 1.er trim.2015

100.000

50.000

0

32.000

22.00020.000

48.000

93.000

Nuevo malware de macros detectado en el primer trimestre de 2015

Se ha detectado un resurgimiento del malware de macros desde 2014. Incluso el troyano bancario VAWTRAK ha empezado a utilizarlo.

Número de infecciones de malware de macros en el primer trimestre de 2015

El número de infecciones de malware de macros no ha dejado de aumentar desde el primer trimestre de 2014. Esto podría deberse al lanzamiento de nuevas variantes y al incremento del número de spam con archivos adjuntos maliciosos cargados de macros.



China

Estados Unidos

Reino Unido

Japón

Australia

Francia

Italia

Taiwán

Alemania

India

Otros

22%

14%

12%

7%

5%

5%

4%

3%

3%

2%

23%

W97M_MARKER.BO

X97M_OLEMAL.A

W2KM_DLOADR.JS

X2KM_DLOADR.C

W97M_SATELLITE

W97M_DLOADR.XTRZ

W2KM_DLOAD.NB

W97M_DLOADER.GHV

X2KM_DLOAD.A

X97M_LAROUX.CO

Otros

8%

5%

3%

2%

2%

2%

2%

2%

2%

2%

70%

Países con el mayor número de infecciones de malware

de macros durante el primer trimestre de 2015

China encabezó la lista de países con el mayor número de equipos infectados por malware de macros durante los tres primeros meses de 2015. Pese a que Microsoft ha inhabilitado las macros

predeterminadas de Office, los usuarios de versiones anteriores siguen estando expuestos.

Principales variantes de malware de macros en el primer trimestre de 2015



DLOADR

DLOAD

MARKER

BARTALEX

DLOADER

DLOADE

OLEMAL

LAROUX

BURSTED

MDROP

Otros

30%

10%

8%

8%

6%

5%

4%

4%

3%

2%

20%

Word

Excel®

PowerPoint®

Otros

75%

21%

1%

3%

Principales familias de malware de macros en el primer trimestre de 2015

El malware de macros ha pasado a ser el vector de ataque favorito, ya que puede eludir fácilmente las soluciones antimalware independientes instaladas en la mayoría de equipos. Las principales

familias de malware de macros eran aplicaciones de descarga, lo que podría indicar que otro malware los utiliza como medio para infectar sistemas.

Los documentos de Microsoft Word y las hojas de datos de Excel fueron los portadores de macros maliciosas preferidos por los ciberdelincuentes.

Aplicaciones más utilizadas para incorporar macros maliciosas




“El reciente éxito del malware de macros podría atribuirse al uso

de eficaces tácticas de ingeniería social y a la facilidad con que

se puede ocultar. Normalmente se integra en archivos de Office,

con los que las soluciones de exploración de malware suelen ser

más benevolentes. Lo peor de todo es que las macros se pueden

habilitar a través de archivos de lotes y secuencias de comandos,

que también esquivan la detección antimalware.”

—Anthony Melgarejo, ingeniero de respuestas frente a amenazas



FREAK (acrónimo de “Factoring RSA Export

Keys”), una vulnerabilidad que obliga a las

aplicaciones y los sitios Web seguros afectados a

utilizar un cifrado más débil, se descubrió el pasado

mes de marzo. Se detectó que todas las versiones de

OpenSSL anteriores a 1.0.1k y los clientes de Apple

El fallo de seguridad FREAK, con una década de antigüedad, expone los problemas existentes en la gestión de parches

FREAK y GHOST asustaron a los usuarios de equipos y aplicaciones vulnerables. Pusieron en evidencia los problemas de la anticuada gestión de parches para los administradores de TI, derivados de la variedad de plataformas y dispositivos que necesitaban protección. Cabe esperar que surjan más fallos explotables en plataformas y dispositivos a medida que avance el año.

Transport Layer Security (TLS)/Secure Sockets

Layer (SSL) eran vulnerables a los ataques manin

the‑middle (MiTM)19. Los usuarios de Windows®

afectados estuvieron expuestos al robo de datos

confidenciales20.

Actualmente vulnerables

Cambio desde el 3 de marzo

Servidores HTTPS de la lista de principales nombres de dominio de Alexa (compuesta por 1 millón)

8,5%Ha disminuido desde el 9,6%

Servidores HTTPS con certificados de confianza para el explorador 6,5%Ha disminuido desde el 36,7%

Todos los servidores HTTPS 11,8%Ha disminuido desde el 26,3%

El número de servidores que se han visto afectados por la vulnerabilidad FREAK ha disminuido desde el descubrimiento del fallo este mes de marzo21.

GHOST, una vulnerabilidad de desbordamiento

de búfer de Linux™ (glibc o las versiones de GNU

C Library anteriores a la 2.2), también se dio a

conocer el pasado enero. El fallo se activa al utilizar

determinadas funciones en glibc que permiten la

ejecución de código arbitrario. Afortunadamente,

la vulnerabilidad no es fácil de explotar y puede

afectar solamente a un reducido número de

sistemas22.

Al igual que sucede con las vulnerabilidades de

clientes y servidores, es necesario crear parches

para los fallos de las aplicaciones Web antes de

que se conviertan en objeto de ataque. Al fin y al

cabo, estos fallos pueden poner en peligro datos

empresariales importantes almacenados en bases

de datos de servidores vulnerables.

Los datos de Trend Micro Deep Security revelaron

que los ataques de secuencias de sitios cruzados

(XSS) y de SQL injection se utilizaban básicamente

contra aplicaciones Web de servidores corporativos.

Los datos de Open Web Application Security

Project (OWASP) respaldan esta conclusión.



Principales vulnerabilidades de aplicaciones Web detectadas


SQL injection

Plantea graves amenazas para cualquier aplicación Web que utilice una base de datos; el problema surge de entradas no validadas o insuficientes que los usuarios transfieren mediante aplicaciones Web afectadas a servidores de bases de datos en forma de comandos SQL; permite que los atacantes lean o modifiquen datos de las bases de datos, así como añadir o eliminar datos, lo que puede tener efectos devastadores.

XSS no persistente

Permite a los atacantes inyectar secuencias de comandos maliciosas (normalmente en el cliente) en aplicaciones Web; XSS se aprovecha de las aplicaciones que no validan, filtran ni cifran los datos suministrados por los usuarios; el objetivo suele ser intentar engañar a las víctimas para que hagan clic en enlaces aparentemente legítimos que en realidad proporcionan datos adicionales para lanzar ataques.

Path traversal

Aprovecha las validaciones de seguridad insuficientes de las aplicaciones Web para facilitar el acceso de los atacantes a archivos de rutas de sistemas restringidos mediante navegación por los sistemas de archivos de los servidores; también conocidos como ataques “punto punto barra” o “directory traversal”.

Detección de posible recurso confidencial

Permite a los atacantes obtener información sobre recursos que podrían estar enlazados con la estructura de aplicaciones (antiguas copias de seguridad, configuraciones de servidores, registros de bases de datos o servidores, configuraciones de bases de datos, vuelcos de bases de datos o archivos de aplicaciones confidenciales) con la finalidad de ejecutar ataques más sofisticados.

Indexación de directorios

Afecta a servidores Web que muestran la página de índice de su directorio o subdirectorio virtual cuando acceden agentes de usuario; permite que los atacantes organicen más ataques a partir del análisis del contenido y la estructura del directorio de aplicaciones Web vulnerables y obtengan acceso no autorizado a archivos de directorio.

Mensajes detallados de error de aplicaciones

Permite a los atacantes obtener acceso a información confidencial, incluida la lógica interna de las aplicaciones Web, que incorpora códigos HTML que los usuarios visualizan cuando se producen excepciones o errores en las aplicaciones Web.

Datos de formularios confidenciales transmitidos sin SSL

Permite a los atacantes obtener datos confidenciales transmitidos a través de aplicaciones que no utilizan SSL.

Revelación de código fuente de archivos de inclusión

Permite que los atacantes obtengan acceso a información confidencial sobre la lógica de las aplicaciones existente en códigos fuente y la aprovechen en su beneficio.

Revelación de ruta local

Provocada por la generación de resultados inesperados; las aplicaciones Web que divulgan rutas locales pueden guiar a los atacantes hasta las carpetas raíz y, de este modo, ayudarles a diseñar ataques personalizados con los que acceder a los archivos internos del sistema.

Filtración de dirección IP interna

Puede revelar información sobre el esquema de direcciones IP de las redes internas que luego se puede utilizar para diseñar ataques personalizados.

CR

ÍTIC

AM

ED

IAA

LTA

XXS no persistente es la vulnerabilidad de aplicaciones Web más común. Según OWASP, “los errores de XSS se producen cuando una aplicación recibe datos que no son de confianza y los envía a un explorador Web sin la validación adecuada”. De esta forma, los atacantes pueden ejecutar secuencias de comandos maliciosas cuando

engañan a los usuarios para que hagan clic en enlaces especialmente diseñados.

BA

JA



Los datos de Deep Security también desvelaron que

las vulnerabilidades de los servidores PHP eran

las más predominantes entre las organizaciones.

De hecho, las 10 principales vulnerabilidades de

servidores estaban relacionadas con el lenguaje de

secuencia de comandos del servidor PHP diseñado

para el desarrollo Web y, en ocasiones, como

lenguaje de programación general. La mayor parte

de estas vulnerabilidades, clasificadas con una

gravedad “alta” o “crítica”, ya están parcheadas en

las últimas versiones de PHP.

Principales vulnerabilidades de plataformas detectadas durante

el primer trimestre de 2015

ID de CVE

GravedadSoftware afectado

Descripción Solución

CVE-2012-2688

Crítica PHP No especificada. Actualice a PHP 5.3.15, 5.4.5 o superior.

CVE-2012-2376

Crítica PHP Permite a los atacantes ejecutar código arbitrario.

Todavía se tienen que publicar los parches o las actualizaciones para solucionar el problema.

CVE-2011-3268

Crítica PHP Permite a los atacantes ejecutar código arbitrario o bloquear las aplicaciones afectadas.

Actualice a PHP 5.3.7 o superior.

CVE-2014-9427

Alta PHP Permite a los atacantes bloquear aplicaciones infectadas, obtener información confidencial de la memoria de proceso de php-cgi o activar la ejecución inesperada de código.

Póngase en contacto con los proveedores de la aplicación para obtener información acerca de cómo arreglar este fallo.

CVE-2013-1635

Alta PHP Permite a los atacantes eludir restricciones de acceso planificadas.

Actualice a PHP 5.3.22, 5.4.13 o superior.

CVE-2011-1092

Alta PHP Permite a los atacantes bloquear aplicaciones infectadas.


CVE-2012-1823

Alta PHP Permite a los atacantes ejecutar código arbitrario.


CVE-2012-2311

Alta PHP Permite a los atacantes ejecutar código arbitrario.


CVE-2012-2386

Alta PHP Permite a los atacantes bloquear aplicaciones infectadas.


CVE-2011-1153

Alta PHP Permite a los atacantes obtener información confidencial y diseñar ataques de denegación de servicio (DoS).


PHP fue la plataforma más vulnerable de este pasado trimestre al detectarse fallos en diferentes versiones del lenguaje de secuencia de comandos. Tanto los usuarios como los administradores de TI deben mantener

actualizadas sus aplicaciones con los parches o las versiones más recientes. Deep Security dispone de soluciones para gestionar estas vulnerabilidades.



A medida que aumenta el número de vulnera

bilidades detectadas en aplicaciones y sistemas

operativos de código abierto, los administradores

de TI tienen más dificultades para mitigar los

riesgos relacionados. Uno de los principales

problemas subyacentes podría ser la falta de

responsabilidad directa a la hora de revelar o

parchear fallos, que se suma a la dificultad de

proteger todas las aplicaciones y los sistemas

operativos potencialmente vulnerables.

“El ataque FREAK volvió a recordar que, independientemente de

lo protegidos que pensemos que están nuestros sistemas y redes,

siempre es posible descubrir una amenaza nueva. Los sistemas

heredados deberían estar tan actualizados como sea posible.

Las empresas, por su parte, deberían conservar los códigos

fuente de las aplicaciones personalizadas que les diseñan los

proveedores. Como ocurrió con Heartbleed, FREAK reproduce

la fragilidad de OpenSSL. Se trata de una tecnología obsoleta

que es preciso sustituir por bibliotecas de cifrado optimizadas.

Las organizaciones que utilizan bibliotecas y software de código

abierto deben revisar e intensificar sus políticas de seguridad.

Entre otras medidas, deben aplicar soluciones de seguridad para

la reputación de dominios e IP y la supervisión del tráfico de

redes mediante sistemas de detección de filtraciones, además de

recurrir a la prevención de intrusiones para bloquear amenazas

conocidas y desconocidas.”

—Pawan Kinger, director de Deep Security Labs



2013

2012

2011

2010

2009

2015

2014

Virginia Department of Health | EE.UU.

Registros de pacientes, prescripciones

Registros perdidos: 8,3 millones

National Health Services | R. Unido

Registros de pacientes no cifrados


Advocate Medical Group | EE.UU.

Nombres, direcciones, fechas de naci-miento, números de la seguridad social

Registros perdidos: 4 millones

Community Health Systems | EE.UU.

Cinco años de datos de pacientes, nombres, direcciones y números de la seguridad social


Premera Blue | EE.UU.

Nombres, fechas de nacimiento, direcciones de correo electrónico, direcciones, números de teléfono, números de la seguridad social, números de ID de miembros, información de cuentas bancarias, información sobre reclamaciones, información clínica


Anthem | EE.UU.

Nombres, fechas de nacimiento, números de ID de miembros, números de la seguridad social, direcciones, números de teléfono, direcciones de correo electrónico, información sobre empleos


Filtraciones de datos masivas en el sector sanitario y debilitación de otros sectores debido a los ataques de malware de TPV

Una seguridad laxa y la falta de implementación de las soluciones más exigentes pese a la gran cantidad de datos confidenciales que se almacenan en las redes de proveedores de servicios sanitarios podrían ser la causa de que dichas redes se hayan convertido en el objetivo preferido de los ataques.

Dos grandes proveedores de servicios de atención sanitaria, Premera Blue Cross y Anthem, sufrieron filtraciones de datos que expusieron millones de registros médicos y financieros de sus clientes durante el mes de marzo23. Según los datos facilitados, la filtración de Anthem afectó a 80 millones de clientes y empleados24. El ataque a Premera Blue Cross, descubierto en enero, dejó expuestos los registros de 11 millones de clientes.

Ambas filtraciones de datos desbancaron a NHS, que logró dejar al descubierto más de 8,6 millones de sus registros, como el peor ataque a un proveedor de servicios sanitarios desde 201125.Los proveedores de servicios sanitarios poseen más información sobre los usuarios que cualquier otro tipo de organización, aunque no por ello utilizan necesariamente los medios más eficaces para proteger sus datos26.

Ataques más destacados de filtraciones de datos dirigidos

a proveedores de servicios sanitarios entre 2009 y 2015

Las filtraciones de datos de Anthem y Premera, ambas descubiertas durante el primer trimestre del año, se consideran las peores hasta la fecha27. La última filtración de este tipo tuvo lugar en 2011, cuando se robaron portátiles que podían contener registros de pacientes sin cifrar del NHS.

(Nota: únicamente se han considerado las organizaciones que perdieron un mínimo de 4 millones de registros).



2005 2006 2007 2008

2013

2009 2010 2011 2012

2014

Filtraciones de datos relacionadas con los servicios sanitarios

10% 14% 14% 15%

14% 25%

44% 43%

24% 36%

Número de filtraciones de datos observadas entre 2005 y 2014

relacionadas con los servicios sanitarios

El número de víctimas por filtraciones de datos de proveedores de servicios sanitarios ha ido en aumento desde 2005 hasta prácticamente cuadruplicarse en 2014. El sector sanitario ha sufrido

más filtraciones incluso que las empresas y los sectores militar y gubernamental entre 2012 y 201428.

En el sector minorista y de servicios, los raspadores

de RAM para TPV no han dejado de aumentar. La

debilidad de la seguridad de los sistemas de TPV

ha permitido que los raspadores de RAM se hayan

convertido en un método viable para infiltrarse

en las redes, aunque no necesariamente para

organizar ataques dirigidos. El malware de TPV

permitía a los atacantes obtener gratificaciones

instantáneas en forma de pingües beneficios.

Los usuarios se han visto cercados por diferentes

variantes de raspadores de RAM de TPV nuevos

y antiguos. Así, FighterPoS se sumó a la creciente

lista de malware de TPV conocido este febrero,

mientras que el viejo pero eficaz BlackPOS siguió

acosando a empresas y fue responsable de una parte

considerable del número total de infecciones29.



300

150

0

1.er trim.2014 2015

2.o trim. 3.er trim. 4.o trim. 1.er trim.

73

156

124 123

259 120

60

0

ENE. FEB. MAR.

65

86

116

Estados Unidos

Australia

Taiwán

Austria

Italia

Brasil

Canadá

Filipinas

Francia

Japón

Otros

23%

10%

8%

7%

5%

4%

4%

4%

3%

2%

30%

Número de sistemas infectados por raspadores de RAM de TPV

El número de detecciones de raspadores de RAM de TPV aumentó más del doble desde que empezó su rastreo el año pasado, lo que podría atribuirse a la aplicación

de mejoras en el malware de TPV existente, como sucede con BlackPOS30.

Países con el mayor número de infecciones de raspadores

de RAM para TPV durante el primer trimestre de 2015

Estados Unidos fue el país al que se dirigieron más ataques de malware de TPV, debido a su gran número de posibles víctimas. De hecho, el 80% de la población del país paga regularmente con tarjeta y no en efectivo31.



Principales familias de raspadores de RAM de TPV en el primer trimestre de 2015

POCARDL

DEXTR

POSLOGR

POSNEWT

JACKPOS

POCARDLER

POSLUSY

ALINAOS

POSHOOK

ALINA

Otros

20%

14%

11%

7%

7%

6%

6%

5%

5%

5%

14%

POCARDL, que robaba credenciales de tarjetas de pago y cuya presencia se observó por primera vez en octubre de 2012, fue la familia de raspadores de RAM de TPV predominante durante los tres primeros meses de 201532.

“El malware de TPV se convertirá en uno de los pilares del sector

de la seguridad, como el scareware FAKEAV y el ransomware.

Así ocurrirá especialmente en países como Estados Unidos,

donde la mayor parte de la población prefiere el pago con tarjeta

al dinero en efectivo.”

—Jay Yaneza, investigador de amenazas



Resurgimiento de antiguos atacantes con nuevas herramientas, tácticas y procedimientos para campañas de ataques dirigidos

El grupo Rocket Kitten y todos aquellos responsables de la operación Pawn Storm se fijaron nuevos objetivos, lo que demuestra que los ataques dirigidos resisten y, además, evolucionan.

La operación Pawn Storm, una operación de

ciberespionaje económico y político todavía en

marcha, utilizó los dispositivos iOS™ vulnerables

para infiltrarse en las redes deseadas33. No fue la

primera campaña en utilizar malware móvil para

diseñar ataques dirigidos, pero sí la primera que

fijó su interés en iOS. Los responsables recurrieron

a dos aplicaciones maliciosas de iOS: XAgent

(IOS_ XAGENT.A) y una versión falsa de MadCap

(IOS_ XAGENT.B), ambas parecidas a las variantes

de SEDNIT de equipos Windows.

En su empeño por conseguir una mejora constante

en el campo de los ataques dirigidos, Rocket Kitten

mejoró sus herramientas, tácticas y procedimientos

(TTPs)34. Los cerebros de la operación hicieron un

mal uso de OneDrive® para alojar aplicaciones de

registro de pulsaciones como WOOLERG.

Ataques dirigidos relacionados con los móviles más destacados desde 2011

Pawn StormAtaques de espionaje económico y político instigados por un grupo cuyos objetivos principales son personal militar, de embajadas y contratistas de defensa de Estados Unidos y sus aliados. Fue el primer ataque en utilizar malware de iOS específicamente para infiltrarse en las redes objetivo.

LuckycatRelacionado con 90 ataques dirigidos contra sectores y/o comunidades de Japón e India. Utilizó malware de Android™ de tipo RAT (herramienta de acceso remoto) para recopilar información y cargar archivos a dispositivos infectados, o descargarlos.

ChuliAtaque dirigido a activistas del Tíbet y Uyghur. Utilizó trucos de ingeniería social para aprovechar las vulnerabilidades de los sistemas Windows y Mac OS X. Propagó ANDROIDOS_CHULI.A mediante cuentas de correo electrónico pirateadas pertenecientes a los activistas.

Xsser mRATConsiderado una campaña iniciada por atacantes de habla china contra manifestantes chinos. El malware multiplataforma Xsser mRAT (ANDROIDOS_Code4HK.A) afectó tanto a dispositivos Android como iOS; ANDROIDOS_Code4HK.A expuso textos, correos electrónicos y mensajes instantáneos de las víctimas, así como datos de su ubicación, nombres de usuario y contraseñas, registros de llamadas y listas de contactos.

ReginDirigido contra gobiernos, instituciones financieras, operadores de telecomunicaciones, organizaciones de investigación y otras entidades de diferentes países. Hizo un mal uso de los controladores de estación base del sistema global para las comunicaciones móviles (GSM) para hacerse con las credenciales necesarias para manipular la red GSM de un país de Oriente Medio.

20

112

013

20

14

Los atacantes apuestan por los dispositivos móviles porque todo el mundo los usa. Los hábitos móviles poco seguros que todos aplican en su tiempo libre facilitan enormemente la infiltración en el lugar de trabajo,

sobre todo gracias a la tendencia de uso de dispositivos propiedad de los empleados (BYOD)35.

20

12



Los atacantes crean malware

firmado con un certificado

de empresa.

Los atacantes alojan el malware

en un servidor y utilizan

itms-services para generar

un enlace de instalación.

El enlace se envía a cada uno de

los usuarios objetivo del ataque

para que hagan clic en el mismo

mediante ingeniosas técnicas de

ingeniería social.

El malware se instala cuando

se hace clic en el enlace.

Técnica utilizada por los creadores de la operación Pawn Storm para burlar

las medidas de seguridad empresariales de las tiendas de aplicaciones

Aunque se desconocen los métodos exactos de instalación del malware XAgent, sí que se sabe que pueden llegar a afectar incluso a dispositivos sin jailbreak si las aplicaciones

portadoras están firmadas con un certificado de la empresa Apple. Los cebos de la ingeniería social también aumentan las posibilidades de infección de los dispositivos.



Los kits de explotación siguen incrementando su nivel de sofisticación

Los kits de explotación llenan constantemente su arsenal de técnicas de explotación de cada vez más vulnerabilidades, lo que incrementa su atractivo para todo aquel tipo de atacante que siempre busca la mejor rentabilidad para su dinero. Su implicación en los ataques de publicidad maliciosa del último trimestre se postula como un medio viable para su ejecución.

Más de 70 kits de explotación detectados son capaces de aprovechar más de 100 vulnerabilidades36. Desde la detención de Paunch en 2013, el número de kits de explotación en circulación ha disminuido considerablemente. No obstante, la reducción en volumen se ha visto compensada por una mayor sofisticación. Al fin y al cabo, los kits de explotación se actualizan constantemente para poder aprovechar un mayor número de vulnerabilidades.

El kit de explotación Hanjuan, por ejemplo, fue uno de los utilizados en el ataque de día cero

Adobe Flash mencionado anteriormente. El kit de explotación Nuclear, en cambio, fue el más utilizado durante los tres primeros meses de 2015.

Japón fue el país preferido de los atacantes, como prueban los múltiples ataques de publicidad maliciosa dirigidos sobre todo a los usuarios japoneses 37.

Como viene siendo habitual, los kits más populares incluían explotaciones para Adobe Flash e Internet Explorer, seguramente por la ingente base de usuarios de este tipo de software.

Vulnerabilidades utilizadas en los kits de explotación

Nuclear Sweet Orange FlashPack Rig Angler Magnitude Fiesta Styx Hanjuan

Internet Explorer

CVE-2013-2551CVE-2013-2551CVE-2014-0322CVE-2014-6332

CVE-2013-2551CVE-2013-3918CVE-2014-0322

CVE-2013-2551 CVE-2013-2551 CVE-2013-2551 CVE-2013-2551 CVE-2013-2551

Microsoft Silverlight®

CVE-2013-0074 CVE-2013-0074 CVE-2013-0074 CVE-2013-0074 CVE-2013-0074

Adobe Flash

CVE-2014-0515CVE-2014-0569CVE-2014-8439CVE-2015-0311

CVE-2014-0515CVE-2014-0569

CVE-2013-0634CVE-2014-0497CVE-2014-0515CVE-2014-0569

CVE-2014-0569CVE-2015-0311

CVE-2014-0515CVE-2014-0569CVE-2015-0311

CVE-2014-0515CVE-2014-0497CVE-2014-0569CVE-2015-0311

CVE-2014-0515 CVE-2015-0313

Adobe Acrobat® Reader

CVE-2010-0188 CVE-2010-0188

Oracle JavaTM

CVE-2012-0507CVE-2013-2460CVE-2013-5471

CVE-2013-2465CVE-2012-0507CVE-2014-2465

XMLDOM ActiveX

CVE-2013-7331 CVE-2013-7331 CVE-2013-7331 CVE-2013-7331

Las explotaciones de Adobe Flash se encuentran en todos los kits utilizados en los ataques más destacados del primer trimestre de 2015.



Nuclear

Angler

Neutrino

Sweet Orange

Magnitude

Hanjuan

Fiesta

Rig

31%

25%

13%

11%

11%

4%

3%

2%

Número de accesos a los servidores de kits de explotación durante el cuarto

trimestre de 2014 y el primer trimestre de 2015

Sweet Orange Angler Magnitude Rig Nuclear Neutrino Fiesta Hanjuan Total

4.° trim. 2014

1.077.223 363.982 155.816 140.604 14.671 26.943 25.133 Sin datos 1.804.372

1.er trim. 2015

264.897 590.063 255.593 42.424 740.037 321.712 61.952 103.924 2.380.602

Creci-miento

-75,4% 62,1% 64% -69,8% 4.944,2% 1.094% 146,5% Sin datos 31,9%

Kits de explotación con mayor número de accesos de usuario

durante el primer trimestre de 2015

Durante el primer trimestre de 2015 se registró un aumento del 30% de las actividades relacionadas con los kits de explotación. El kit de explotación Nuclear fue el que recibió un mayor número de visitas,

relacionadas probablemente con los ataques de publicidad maliciosa detectados. Por su parte, la reducción en las visitas al kit de explotación Sweet Orange podría atribuirse a la limpieza de anuncios maliciosos que determinadas redes publicitarias realizaron en sus plataformas.



Japón

Estados Unidos

Australia

Canadá

Dinamarca

Francia

Reino Unido

Italia

Brasil

España

Otros

52%

31%

5%

1%

1%

1%

1%

1%

1%

1%

5%

Nuclear

Angler

Neutrino

Sweet Orange

Magnitude

Hanjuan

Fiesta

Rig

100.000

50.000

0

ENE. FEB. MAR.

1

2

3

4

5

Países más afectados por ataques relacionados con kits de explotación

Japón fue el país más afectado, probablemente por la avalancha de ataques de publicidad maliciosa relacionados con los kits de explotación dirigidos específicamente a usuarios japoneses registrados

a principios de este año.

A pesar de haberse reducido el volumen de kits de explotación de nueva creación, un número considerable

permanecieron activos durante el último trimestre. ¿Podríamos decir que es la calma previa a la tormenta?

¿Quizás los desarrolladores de kits de explotación prefieren no hacer demasiado ruido mientras mejoran sus

ofertas para lanzar al mercado?

Actividad diaria de los kits de explotación conocidos


(Nota: los picos del gráfico corresponden a los números que se detallan más abajo.)

Las acciones adoptadas por AOL para retirar la publicidad maliciosa de su plataforma provocaron un descenso de la actividad del kit de explotación Sweet Orange (1). Los kits Angler (2 y 4) y Hanjuan (2) se utilizaron para

introducir el malware de día cero BEDEP en ordenadores desde finales de enero hasta principios de febrero, contribuyendo así al aumento de visitas a sus servidores. El kit de explotación Nuclear (3 y 5), en cambio,

se utilizó en un ataque de publicidad maliciosa a través de sitios de pornografía.



“Cada vez son más los ataques de explotación que utilizan la

publicidad maliciosa en detrimento de la exposición de los sitios

o el spam. Al fin y al cabo, el mal uso de las redes de publicidad

legítimas permite a los atacantes enmascarar sus intenciones.

Mejoran continuamente sus herramientas y tácticas con el

objetivo de diseñar campañas más eficaces y multiplicar su

negocio. Vamos a ser testigos de muchos más ataques de este

tipo a lo largo de 2015.”

—Joseph C. Chen, ingeniero



6.000millones

3.000millones

0

ENE. FEB. MAR.

5.200millones 5.000

millones

3.900millones

2.000/s

1.000/s

0

ENE. FEB. MAR.

1.9311.858

1.595

Revisión del panorama de las amenazas

El volumen general de amenazas ha disminuido en

comparación con los datos registrados en el cuarto

trimestre de 2014. Si bien hubo menos bloqueos

de acceso de usuarios a dominios maliciosos y se

redujo el malware capaz de infectar dispositivos,

el volumen de spam alcanzó niveles nunca vistos.

Esto podría ser indicativo del resurgir del correo

electrónico como vector de infección preferido

para ejecutar amenazas antiguas como el malware

de macros en equipos vulnerables.

Número total de amenazas bloqueadas


Durante el pasado trimestre, se bloqueó un promedio de 4.700 millones de amenazas al mes, lo que supone un incremento de 1.500 millones respecto a la cifra

del último trimestre de 2014.

Tasa de detección de Trend Micro:

amenazas bloqueadas por segundo

durante el 1.er trimestre de 2015

Durante el pasado trimestre, se bloqueó un promedio de 1.800 amenazas por segundo.

Esta cifra supone un aumento de 600 amenazas respecto a las 1.200 amenazas por segundo

registradas anteriormente.



5.000millones

2.500millones

0

ENE. FEB. MAR.

4.600millones

4.100millones

3.300millones

350 millones

175 millones

0

ENE. FEB. MAR.

236millones

315millones

252millones

600 millones

300 millones

0

ENE. FEB. MAR.

361millones

522millones

351millones

Número de consultas de reputación de

correo electrónico bloqueadas como

spam durante el primer trimestre de 2015

Se evitó que un total de 12.000 millones de correos electrónicos enviados desde direcciones IP remitentes

de spam llegaran a los buzones de entrada de los usuarios.

Número de visitas de usuario a sitios

maliciosos bloqueadas durante

el primer trimestre de 2015

Se registraron más de 800 millones de visitas de usuario a sitios maliciosos durante el pasado

trimestre, cifra que aumenta cada mes.

Número de archivos maliciosos bloqueados durante el primer trimestre de 2015

Se impidió que más de mil millones de archivos maliciosos infectaran dispositivos durante el último trimestre. El número de malware

prácticamente se duplicó de febrero a marzo.



La familia KRYPTIK de troyanos que afectaba

principalmente a clientes ha entrado este último

trimestre en la lista de malware más habitual.

Estos troyanos, conocidos hasta ahora por asustar

a los usuarios con mensajes de advertencia que

aparecían en sus pantallas, intentaron descargar

otros archivos maliciosos en equipos previamente

infectados. Sin embargo, no consiguieron

desbancar ni a SALITY ni a DOWNAD de las

2 principales posiciones.

Muchos de los dominios principales cuyo acceso

se bloqueó a los usuarios este último trimestre

estaban relacionados con el adware. Todo ello

podría estar ligado con el repunte observado

del número de ataques de publicidad maliciosa.

Además, el adware también hizo acto de presencia

en las principales posiciones de la lista de tipos de

amenazas móviles. En total se han registrado más

de 5 millones de amenazas Android hasta la fecha,

una cifra muy cercana a nuestra previsión global de

8 millones para finales de 2015.

Principales dominios maliciosos a los que se impidió el acceso durante el primer

trimestre de 2015

Dominio Motivo para bloquear el acceso

files-download-131.com Descarga de archivos posiblemente no deseados (PUA)38

enhizlitakip.com Relacionado con un scam de un seguidor de Twitter turco

cnfg.toolbarservices.com Relacionado con adware presentado como una barra de herramientas del explorador

s.trk-u.com Relacionado con adware presentado como una barra de herramientas del explorador

s.ad120m.com Sitio con el que se comunica una variante de TROJ_GEN

sso.anbtr.com Sitio con el que se comunica PE_SALITY.RL

f0fff0.com Abre páginas emergentes que descargan adware

fa8072.com Abre páginas emergentes que descargan adware

creative.ad120m.com Sitio con el que se comunica una variante de TROJ_GEN

lovek.info Vinculado con fraudes por clics de ratón

La mayoría de los dominios maliciosos a los que se bloqueó el acceso durante el último trimestre estaban relacionados con la propagación de adware

y vinculados con otros fraudes.



Estados Unidos

Países Bajos

China

Rusia

Costa Rica

Alemania

Reino Unido

Portugal

Japón

Corea del Sur

Otros

29%

7%

6%

3%

2%

1%

1%

1%

1%

1%

48%

Estados Unidos

Japón

Australia

Taiwán

India

China

Francia

Alemania

Canadá

Italia

Otros

33%

24%

5%

4%

3%

3%

3%

2%

2%

2%

19%

Países con el mayor número de URL maliciosas


Estados Unidos se mantuvo en la primera posición de la lista de países con mayor número de URL. Francia y Hungría salieron de la lista y en su lugar entraron Costa Rica y Portugal.

Países con el mayor número de usuarios que hicieron clic en URL maliciosas


Al ser el país que más URL maliciosas aloja, Estados Unidos también resulta ser el país con el mayor número de usuarios que hicieron clic en enlaces maliciosos.



Inglés

Chino

Alemán

Japonés

Ruso

Portugués

Español

Polaco

Francés

Italiano

Otros

84.49%

1.86%

1.27%

1.15%

0.70%

0.61%

0.54%

0.43%

0.38%

0.09%

8.48%

Estados Unidos

Rusia

China

Japón

Vietnam

Italia

España

Argentina

Irán

Alemania

Otros

16%

5%

5%

5%

5%

4%

4%

4%

3%

3%

46%

Idiomas con más spam durante el primer trimestre de 2015

El inglés sigue siendo el idioma más utilizado para el spam.

Principales países emisores de spam en el primer trimestre de 2015

En línea con el idioma más usado con el spam, Estados Unidos encabezó la lista de países emisores de spam. Irán también entró a formar parte de lista; Ucrania, en cambio, desapareció.



Principales familias de malware en el primer trimestre de 2015

Principales familias de malware por segmento en el primer trimestre de 2015

Segmento Nombre de detección Volumen

Grandes empresas

DOWNAD 62.000

SALITY 35.000

DUNIHI 29.000

PYMES

DOWNAD 12.000

DLOADR 11.000

UPATRE 10.000

Particulares

KRYPTIK 61.000

GAMARUE 38.000

SALITY 36.000

Aunque KRYPTIK presenta un rápido crecimiento que le permite entrar en la lista de malware principal del último trimestre, no consigue desbancar a los líderes SALITY y DOWNAD, asentados en las primeras posiciones desde hace tiempo.

Nombre de detección Volumen

SALITY 86.000

DOWNAD 83.000

KRYPTIK 71.000

BROWSEVIEW 69.000

GAMARUE 65.000

DUNIHI 49.000

VIRUX 42.000

UPATRE 41.000

FORUCON 39.000

RAMNIT 29.000



Principales familias de adware en el primer trimestre de 2015

Principales familias de adware por segmento en el primer trimestre de 2015

Segmento Nombre de detección Volumen

Grandes empresas

OPENCANDY 68.000

DEALPLY 46.000

TOMOS 18.000

PYMES

OPENCANDY 29.000

DEALPLY 23.000

MYPCBACKUP 8.000

Particulares

OPENCANDY 346.000

MYPCBACKUP 156.000

DEALPLY 135.000

El primer adware de la lista, OPENCANDY, encabezó repetidamente la lista de infectores de dispositivos de diferentes segmentos de usuarios.

Nombre de detección Volumen

OPENCANDY 454.000

DEALPLY 224.000

MYPCBACKUP 183.000

MYPCBaACKUP 142.000

PULSOFT 122.000

TOMOS 113.000

MULTIPLUG 109.000

INSTALLCORE 102.000

ELEX 90.000

SPROTECT 67.000



Danpay

Inoco

Youm

Agent

AdultPlayer

Jxt

Gexin

Guidead

AppInst

FakeApp

Otros

14%

12%

6%

6%

4%

4%

2%

2%

1%

1%

48%

AdLeak

Igexin

AdFeiwo

Noiconads

FeiwoDown

Appquanta

Arpush

RevMob

SnailCut

GoYear

Otros

8%

7%

6%

5%

5%

4%

4%

4%

3%

3%

51%

Principales familias de malware Android en el primer trimestre de 2015

Danpay fue la familia de malware Android más destacada del último trimestre. Sus rutinas incluyen el acceso a servidores C&C y esperar comandos maliciosos mientras descarga

silenciosamente otras aplicaciones en dispositivos previamente infectados.

Principales familias de adware Android en el primer trimestre de 2015

AdLeak, un nombre de detección genérico de Trend Micro para aplicaciones que podrían comprometer la privacidad de los usuarios, encabezó la lista de adware móvil este último trimestre.



50%

25%

0

ADWARE LADRONESDE DATOS

PAYWARE ABUSO DESERVICIOSPREMIUM

DESCARGASMALICIOSAS

OTROS

14%

2%4%

14%

18%

48%

6 millones

3 millones

0

OCT. NOV. DIC. ENE. FEB. MAR.2014 2015

4,6 millones4,3 millones

4,1 millones3,8 millones

4,9 millones

5,4 millones

Principales tipos de amenazas Android detectadas


El adware siguió siendo el principal tipo de amenaza para dispositivos Android. El payware o software de pago hace referencia a aplicaciones posiblemente no deseadas (PUA) que manipulan a los usuarios para que acepten pagar

cuotas o tasas fraudulentas. Las PUA no son necesariamente maliciosas, pero incluyen funciones que ponen en riesgo la seguridad de los datos de los usuarios o dificultan su experiencia móvil.

Crecimiento acumulado de amenazas Android desde el primer trimestre de 2015

La gran mayoría de amenazas Android detectadas durante el último trimestre fueron PUA.



Estados Unidos

Ucrania

Alemania

Rusia

Francia

Reino Unido

Países Bajos

China

Corea del Sur

Portugal

Otros

29%

9%

7%

7%

4%

4%

4%

3%

3%

2%

28%

Estados Unidos

Japón

Australia

Taiwán

Alemania

India

Canadá

Francia

Malasia

Italia

Otros

51%

9%

5%

4%

4%

4%

2%

2%

2%

1%

16%

Países que alojaron el mayor número de servidores C&C


Los servidores C&C estaban ampliamente distribuidos en países como Estados Unidos, Ucrania y Alemania. No es necesario que los atacantes residan en dichos países para acceder a sus

servidores C&C, ya que pueden gestionarlos de forma remota. La mayoría de los países de la lista también figuraban en la de principales países que alojan URL maliciosas. Esto podría indicar la existencia de usos indebidos de los servicios de alojamiento e infraestructuras de dichos países.

Países con mayor número de conexiones a servidores C&C


Estados Unidos registró el mayor número de conexiones C&C. También encabezó la lista de países con más usuarios que hicieron clic en URL maliciosas. Estas cifras indicarían que la mayoría de los intentos de acceso registrados podrían estar relacionados con redes robot.



1.500

750

0

CRILOCK DUNIHI TROJAN GOZEUS ZEUS

348379385

745

1.316

350.000

175.000

0

POWELIKS PUSHDO/WIGON

CLACK BADUR

18.000

379

36.000 31.000

349.000

Familias de malware con el mayor número de servidores C&C relacionados


Las variantes del ransomware CRILOCK fueron las que más veces accedieron a servidores C&C durante el último trimestre.

Familias de malware con el mayor número de víctimas


POWELIKS fue el malware que causó un mayor número de víctimas el último trimestre, probablemente por su mecanismo de ocultación, que le permite permanecer invisible en los sistemas infectados.



Referencias

1. U.S. Senate Committee on Homeland Security & Governmental Affairs. (14 de mayo de 2014). U.S. Senate Committee on Homeland Security & Governmental Affairs. "Permanent Subcommittee on Investigations Releases Report: 'Online Advertising and Hidden Hazards to Consumer Security and Data Privacy.'" Último acceso: 7 de mayo de 2015, http://www.hsgac.senate.gov/media/permanent

subcommitteeoninvestigationsreleasesreportonlineadvertisingandhiddenhazardstoconsumersecurityanddataprivacy.

2. Brooks Li y Joseph C. Chen. (16 de marzo de 2015). TrendLabs Security Intelligence Blog. "Exploit Kits and Malvertsing: A Troublesome Combination." Último acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/exploitkits

andmalvertisingatroublesomecombination/.

3. Peter Pi. (2 de febrero de 2015). TrendLabs Security Intelligence Blog. "Trend Micro Discovers New Adobe Flash Zero‑Day Exploit Used in Malvertisements." Último acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/trendmicro

discovers‑new‑adobe‑flash‑zero‑day‑exploit‑used‑in‑malvertisements/.

4. Alvin Bacani. (5 de febrero de 2015). TrendLabs Security Intelligence Blog. "BEDEP Malware Tied to Adobe Zero Days." Último acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/bedepmalwaretiedtoadobezerodays/.

5. Trend Micro Incorporated. (20 de febrero de 2015). TrendLabs Security Intelligence Blog. "Superfish Adware in Lenovo Consumer Laptops Violates SSL, Affects Companies via BYOD." Último acceso: 16 de abril de 2015, http://www.trendmicro.com/vinfo/us/security/

news/cybercrime‑and‑digital‑threats/superfish‑adware‑in‑lenovo‑consumer‑laptops‑violates‑ssl.

6. Lenovo. (19 de febrero de 2015). Lenovo. "Lenovo Statement on Superfish." Último acceso: 16 de abril de 2015, http://news.lenovo.com/article_display.cfm?article_id=1929.

7. Vangie Beal. (2015). Webopedia. "Bloatware." Último acceso: 20 de abril de 2015, http://www.webopedia.com/TERM/B/bloatware.html.

8. Seven Shen. (2 de abril de 2015). TrendLabs Security Intelligence Blog. "The Fine Line Between Ad and Adware: A Closer Look at the MDash SDK." Último acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabs‑security‑intelligence/the‑fine‑line‑between‑ad‑

andadwareacloserlookatthemdashsdk/.

9. Trend Micro Incorporated. (13 de febrero de 2013). TrendLabs Security Intelligence Blog. "Key Figure in Police Ransomware Activity Nabbed." Último acceso: 23 de abril de 2015, http://blog.trendmicro.com/trendlabs‑security‑intelligence/key‑figure‑in‑police‑

ransomwareactivitynabbed2/.

10. David John Agni. (2015). Enciclopedia de amenazas. "TROJ_CRYPFORT.A." Último acceso: 16 de abril de 2015, http://www.trendmicro.com/vinfo/us/threat‑encyclopedia/malware/TROJ_CRYPFORT.A.

11. Francis Xavier Antazo. (2015). Enciclopedia de amenazas. "PHP_CRYPWEB.A." Último acceso: 16 de abril de 2015, http://www.trendmicro.com/vinfo/us/threat‑encyclopedia/malware/PHP_CRYPWEB.A.

12. Anthony Joe Melgarejo. (1 de abril de 2015). TrendLabs Security Intelligence Blog. "CryptoRansomware Sightings and Trends for 1Q 2015." Último acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/cryptoransomwaresightingsand

trendsfor1q2015/.

13. David John Agni. (2015). Enciclopedia de amenazas. "TROJ_CRYPTESLA.A." Último acceso: 16 de abril de 2015, http://www.trendmicro.com/vinfo/us/threat‑encyclopedia/malware/TROJ_CRYPTESLA.A.

14. Shirley Siluk. (13 de abril de 2015). CIO Today. "Ransomware Hackers Hitting Police Departments." Último acceso: 16 de abril de 2015, http://www.cio‑today.com/article/index.php?story_id=033001297WKR.

15. Maydalene Salvador. (24 de marzo de 2015). TrendLabs Security Intelligence Blog. "Macro‑Based Malware Increases Along with Spam Volume, Now Drops BARTALEX." Último acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/

macrobasedmalwareincreasesalongwithspamvolumenowdropsbartalex/.

16. Trend Micro Incorporated. (16 de febrero de 2015). TrendLabs Security Intelligence Blog. "Banking Malware VAWTRAK Now Uses Malicious Macros, Abuses Windows PowerShell." Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabs

securityintelligence/bankingmalwarevawtraknowusesmaliciousmacrosabuseswindowspowershell/.

17. Rhena Inocencio. (5 de noviembre de 2014). TrendLabs Security Intelligence Blog. "Banking Trojan DRIDEX Uses Macros for Infection." Último acceso: 6 de mayo de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/bankingtrojandridexuses

macrosforinfection/.



18. Joie Salvio. (19 de noviembre de 2014). TrendLabs Security Intelligence Blog. "ROVNIX Infects Systems with Password‑Protected Macros." Último acceso: 6 de mayo de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/rovnixinfectssystemswith

passwordprotectedmacros/.

19. Trend Micro Incorporated. (4 de marzo de 2015). TrendLabs Security Intelligence Blog. "FREAK Vulnerability Forces Weaker Encryption." Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/freakvulnerabilityforces

weakerencryption/.

20. Karthikeyan Bhargavan, Antoine Delignat‑Lavaud, Cédric Fournet, Markulf Kohlweiss, Alfredo Pironti, Pierre‑Yves Strub, Santiago Zanella‑Béguelin, Jean‑Karim Zinzindohoué y Benjamin Beurdouche. (2015). MiTLS. "SMACK: State Machine AttaCKs." Último acceso: 17 de abril de 2015, https://www.smacktls.com/#freak.

21. Tracking the FREAK Attack. (2015). Último acceso: 30 de abril de 2015, https://freakattack.com/.

22. Pawan Kinger. (28 de enero de 2015). TrendLabs Security Intelligence Blog. "Not So Spooky: Linux ‘GHOST’ Vulnerability." Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/notsospookylinuxghostvulnerability/.

23. Trend Micro Incorporated. (20 de marzo de 2015). Trend Micro Security News. "Premera Blue Cross Admits to Data Breach, Exposes Records of 11 Million Patients." Último acceso: 17 de abril de 2015, http://www.trendmicro.com/vinfo/us/security/news/cyber

attacks/premerabluecrossdatabreachexposes11mpatientrecords.

24. Christopher Budd. (5 de febrero de 2015). Trend Micro Simply Security. "The Anthem Data Breach: What You Need to Know." Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/whatyouneedtoknowabouttheanthemhack/.

25. Jack Clark. (15 de junio de 2011). ZDNet. "NHS Laptop Loss Could Put Millions of Records at Risk." Último acceso: 30 de abril de 2015, http:// www.zdnet.com/article/nhslaptoplosscouldputmillionsofrecordsatrisk/.

26. Trend Micro Incorporated. (10 de febrero de 2015). Trend Micro Security News. "Millions Affected in Anthem Breach, Healthcare Companies Prime Attack Targets." Último acceso: 17 de abril de 2015, http://www.trendmicro.com/vinfo/us/security/news/cyberattacks/

millionsaffectedinanthembreachhealthcarecompaniesprimeattacktargets.

27. Miriam Quick, Ella Hollowood, Christian Miles, y Dan Hampson. (30 de marzo de 2015). Information Is Beautiful. "World’s Biggest Data Breaches." Último acceso: 23 de abril de 2015, http://www.informationisbeautiful.net/visualizations/worldsbiggestdata

breacheshacks/.

28. Identity Theft Resource Center. (2015). ITRC. "2008 Data Breaches." Último acceso: 23 de abril de 2015, http://www.idtheftcenter.

org/ITRC‑Surveys‑Studies/2008‑data‑breaches.html.

29. Jay Yaneza. (3 de marzo de 2015). TrendLabs Security Intelligence Blog. "PwnPOS: Old Undetected PoS Malware Still Causing Havoc." Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/pwnposoldundetectedposmalware

stillcausinghavoc/.

30. Rhena Inocencio. (29 de agosto de 2014). TrendLabs Security Intelligence Blog. "New BlackPOS Malware Emerges in the Wild, Targets Retail Accounts." Último acceso: 23 de abril de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/newblackpos

malwareemergesinthewildtargetsretailaccounts/.

31. American Consumer Credit Counseling. (2015). ConsumerCredit.com. "Infographic: Cash Vs. Card." Último acceso: 23 de abril de 2015, http://www.consumercredit.com/financial‑education/infographics/infographic‑cash‑vs‑card.aspx.

32. Trend Micro Incorporated. (2014). Trend Micro Security Intelligence. “La ciberdelincuencia ataca objetivos impensables: Informe sobre seguridad del primer trimestre de 2014 de TrendLabs" Último acceso: 23 de abril de 2015, http://www.trendmicro.co.uk/media/

misc/cybercrimehitstheunexpecteden.pdf.

33. Lambert Sun, Brooks Hong y Feike Hacquebord. (4 de febrero de 2015). TrendLabs Security Intelligence Blog. "Pawn Storm Update: iOS Espionage App Found." Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/pawn

stormupdateiosespionageappfound/.

34. Cedric Pernet. (18 de marzo de 2015). TrendLabs Security Intelligence Blog. "Operación 'Woolen Goldfish': phishing en las garras de un gatito" Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabs‑security‑intelligence/operation‑woolen‑goldfish‑

whenkittensgophishing/.



35. Trend Micro Incorporated. (27 de febrero de 2015). Trend Micro Security News. "Pawn Storm in iOS Apps and Other Cases of Mobile Links in Targeted Attacks." Último acceso: 23 de abril de 2015, http://www.trendmicro.com/vinfo/us/security/news/mobile

safety/pawnstorminiosappsandothercasesofmobilelinksintargetedattacks.

36. Trend Micro Incorporated. (16 de marzo de 2015). Trend Micro Security News. "Exploit Kits: Past, Present and Future." Último acceso: 17 de abril de 2015, http://www.trendmicro.com/vinfo/us/security/news/vulnerabilitiesandexploits/exploitkitspastpresentand

future.

37. Peter Pi. (20 de marzo de 2015). TrendLabs Security Intelligence Blog. "Freshly Patched Adobe Exploit Added to Nuclear Exploit Kit." Último acceso: 23 de abril de 2015, http://blog.trendmicro.com/trendlabs‑security‑intelligence/freshly‑patched‑flash‑exploit‑added‑to‑

nuclearexploitkit/.

38. Trend Micro Incorporated. (2015). Enciclopedia de amenazas. "Potentially Unwanted Application." Último acceso: 30 de abril de 2015, http://www.trendmicro.com/vinfo/us/security/definition/potentially‑unwanted‑app.

TREND MICRO TM

Trend Micro Incorporated, líder global de seguridad en la nube, crea un mundo seguro para intercambiar información digital con sus soluciones de seguridad de contenidos de Internet y de gestión de amenazas para empresas y particulares. Trend Micro es una empresa pionera en seguridad de servidores con más de 20 años de experiencia que ofrece seguridad del más alto nivel adaptada a las necesidades de sus clientes, detiene las amenazas más rápidamente y protege la información en entornos físicos, virtualizados y basados en la nube. Con el respaldo de la infraestructura de Trend Micro™ Smart Protection Network™, nuestra tecnología, productos y servicios de seguridad basados en la nube líderes del sector consiguen detener las amenazas allá donde surgen, en Internet. Además, nuestros clientes cuentan con la asistencia de un equipo de más 1.000 expertos en amenazas en todo el mundo. Si desea

más obtener más información, visite www.trendmicro.com.

©2015 por Trend Micro, Incorporated. Reservados todos los derechos. Trend Micro y el logotipo en forma de pelota de Trend Micro son marcas registradas o marcas comerciales de Trend Micro Incorporated. El resto de los nombres de productos o empresas pueden ser marcas comerciales o registradas de sus respectivos propietarios.

Redactado por:

Asistencia técnica global y Centro de I+D de TREND MICRO

anuncios maliciosos y días cero: el resurgimiento de las ... · como asesoramiento jurídico y es...

Documents