anuncios maliciosos y días cero: el resurgimiento de las ... · como asesoramiento jurídico y es...
TRANSCRIPT
Informe sobre seguridad del primer trimestre de 2015 de TrendLabsSM
Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
RENUNCIA DE RESPONSABILIDAD DE TREND MICROLa información proporcionada en este documento es de carácter general y se ofrece con fines educativos únicamente. En ningún caso debe interpretarse como asesoramiento jurídico y es posible que no pueda aplicarse en todos los casos o no refleje la situación más actual. La información proporcionada no debe considerarse como base de actuación sin el debido asesoramiento jurídico de los hechos y las circunstancias concretos de cada caso y nada de lo estipulado en este documento debe interpretarse de otro modo. Trend Micro se reserva el derecho de modificar el contenido del presente documento en cualquier momento sin previo aviso.
La traducción de este material a otros idiomas se ha realizado únicamente para la comodidad de los lectores no angloparlantes. En ningún caso se garantiza la precisión de las traducciones. Si tiene alguna pregunta relacionada con la precisión de una traducción, consulte la versión original del documento en el idioma oficial. Las posibles discrepancias o diferencias con respecto al original no son vinculantes y carecen de efecto jurídico para el cumplimiento o la aplicación de normativas.
A pesar de todos los esfuerzos razonables realizados por Trend Micro para incluir información actualizada y precisa, Trend Micro no asume ninguna responsabilidad ni representación por su precisión, vigencia o integridad. Es responsabilidad propia del usuario el acceso a este documento y a la información que contiene, así como su utilización y la confianza en el mismo. Trend Micro renuncia a todas las garantías de cualquier tipo, explícitas o implícitas. Ni Trend Micro ni ninguna otra parte implicada en la creación, producción o presentación de este documento asume responsabilidad alguna por posibles consecuencias, pérdidas o daños, ya sean directos, indirectos, especiales, consecuenciales, así como tampoco por la pérdida de beneficios o daños especiales causados por el acceso al documento o por su uso o imposibilidad de uso, o relacionados con el uso de este documento, así como por errores u omisiones de cualquier tipo en su contenido. El uso de esta información constituye la aceptación de la condición de utilización “tal cual”.
Contenido
Los fallos del modelo empresarial de la publicidad Web ponen en peligro la seguridad de los usuarios
4
Se dispara el volumen de infecciones del ransomware de cifrado: las empresas bajo amenaza
11
Malware de macros: una técnica antigua pero igualmente eficaz
17
El fallo de seguridad FREAK, con una década de antigüedad, expone los problemas existentes en la gestión de parches
21
Filtraciones de datos masivas en el sector sanitario y debilitación de otros sectores debido a los ataques de malware de TPV
26
Resurgimiento de antiguos atacantes con nuevas herramientas, tácticas y procedimientos para campañas de ataques dirigidos
30
Los kits de explotación siguen incrementando su nivel de sofisticación
32
Revisión del panorama de las amenazas
36
La experiencia de las amenazas observadas este último trimestre demuestra que toda precaución es poca para proteger a los usuarios. Los ciberdelincuentes y atacantes ya no necesitan crear nuevos canales para alcanzar sus objetivos y atrapar a sus víctimas. Gran parte de las tareas preliminares ya están hechas y solo les queda finalizar el trabajo.
Los mayores déficits de seguridad suelen pasar inadvertidos. Los anuncios maliciosos, por ejemplo, no suponen ninguna novedad. Muchos usuarios están habituados a ellos. Sin embargo, aunque los usuarios se abastezcan de las soluciones de seguridad más avanzadas y dispongan de los conocimientos adecuados, nada puede prepararles para hacer frente a los anuncios maliciosos infectados con vulnerabilidades de día cero. El incidente de Adobe® Flash® que tuvo lugar en febrero demostró la eficiencia de este tipo de ataques.
Los usuarios de dispositivos móviles tampoco pudieron escapar. El adware continuó representando una amenaza significativa, tal como se desprende del desmantelamiento de aplicaciones de Google Play™ que se realizó ese mismo mes. A pesar de la intervención, los dispositivos de millones de usuarios que descargaron aplicaciones de alto riesgo aparentemente seguras ya se habían infectado. No cabe duda de que las redes de anuncios deben reforzar su seguridad.
Muchos usuarios también cometen el error de pensar que la tecnología obsoleta no supone un problema grave. El considerable aumento en el número de infecciones de malware de macros (integrado en archivos de Microsoft™ Word®) y la persistencia de las vulnerabilidades OpenSSL puso de manifiesto la facilidad con la que los ciberdelincuentes pueden afianzarse aprovechando las vulnerabilidades antiguas y conocidas.
No obstante, el sector más importante que se ha visto sorprendido durante estos últimos meses ha sido el minorista, algo interesante teniendo en cuenta la notoriedad de los ataques de malware para terminales de punto de venta (TPV). Como ha ocurrido con el ransomware, todo parece indicar que el malware de TPV ha venido para quedarse, con el consiguiente peligro que supone para los datos de las empresas y sus clientes.
¿Realmente estamos haciendo todo lo necesario para protegernos frente a las amenazas de seguridad? Como se ha demostrado a partir de los mayores incidentes ocurridos durante los tres primeros meses de 2015, ni siquiera los usuarios y las empresas más avezados en seguridad son inmunes a estos peligros. Al fin y al cabo, los agentes responsables de las amenazas no dudarán en sacar provecho incluso de la más mínima brecha de seguridad para obtener lo que desean. En el entorno informático actual no cabe margen de error.
NOTA: todas las referencias del texto a las “detecciones” hacen referencia a casos en los que se detectaron amenazas en dispositivos de usuarios que posteriormente se bloquearon con un software de seguridad de Trend Micro. A menos que se indique lo contrario, las cifras incluidas en este informe provienen de datos recopilados por la infraestructura de seguridad en la nube Trend Micro™ Smart Protection Network™, que combina tecnologías en la nube y técnicas basadas en clientes para ofrecer asistencia para productos in situ y servicios alojados.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
4 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
Los fallos del modelo empresarial de la publicidad Web ponen en peligro la seguridad de los usuarios
Los anuncios online se convirtieron en un medio privilegiado de propagación de vulnerabilidades, probablemente debido a la falta de control que tenían los usuarios sobre los anuncios que visualizaban. Los propietarios de sitios Web, al igual que los visitantes, también se vieron afectados por esta situación, ya que no poseían ningún control sobre los anuncios que realmente se mostraban en sus páginas.
Las vulnerabilidades de día cero dirigidas a software
de Adobe se actualizaron recientemente cuando se
utilizaron para llevar a cabo ataques de publicidad
maliciosa. A principios de febrero, se descubrió
un ejemplo de este tipo de vulnerabilidades, la
CVE‑2015‑0313, que actualmente forma parte
del kit de explotación Angler. Utilizaba anuncios
maliciosos, por lo que ya no era necesario que las
víctimas visitaran páginas maliciosas o se toparan
con ellas por casualidad para que sus equipos se
infectaran.
Debido al uso de las vulnerabilidades de día cero,
los recientes ataques de publicidad maliciosa
se han convertido en amenazas más serias. La
combinación de anuncios maliciosos y días cero
debilita dos de las prácticas recomendadas de
seguridad más habituales hoy en día: visitar
únicamente sitios Web de confianza y mantener
actualizadas las aplicaciones con los parches más
recientes.
Según un informe del Comité del Senado de
EE.UU. sobre seguridad nacional y asuntos guber
na mentales, no es fácil abrirse camino en el sector
de la publicidad online. “La complejidad del sector
de la publicidad online dificulta la identificación de
las entidades responsables de los daños derivados
de ataques de malware”1, 2. La publicidad maliciosa
supone un problema no solo para los usuarios
finales, sino también para los propietarios de los
sitios Web. Este tipo de publicidad también puede
infectar sitios Web sin el consentimiento o el
conocimiento de sus propietarios.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
5 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
ID de la lista CVE (vulnerabilidades y exposiciones más comunes)
Revelación de la vulnerabilidad
Descubri-miento del ataque
Aplicación de parches para la vulnerabilidad
Publicación de la regla de Trend Micro Deep Security
22 ENE 22 ENE 24 ENE 27 ENE
Todas las versiones de Adobe Flash hasta la 16.0.0.257
Explotada mediante SWF_ANGZIA.A (vector no revelado)
CVE-2015-0310
22 ENE 22 ENE 24 ENE 2 FEB
Todas las versiones de Adobe Flash hasta la 16.0.0.287
Explotada mediante SWF_ANGZIA.B, SWF_ANGZIA.C o SWF_ANGZIA.F a través de anuncios maliciosos
CVE-2015-0311
2 FEB 2 FEB 4 FEB 10 FEB
Todas las versiones de Adobe Flash hasta la 16.0.0.296
Explotada mediante puertas traseras de BEDEP a través de anuncios maliciosos
CVE-2015-0313
5 FEB 5 FEB 10 MAR 3 FEB
Versiones 9 a 11 de Microsoft™ Internet Explorer®
Explotada mediante inyección Web con ayuda de enlaces maliciosos
CVE-2015-0072
Vulnerabilidades destacadas en el primer trimestre de 2015
De las cuatro vulnerabilidades de día cero detectadas este último trimestre, dos utilizaban anuncios maliciosos como vector de infección.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
6 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
Funcionamiento de la publicidad online
Funcionamiento de la publicidad maliciosa online
Las redes de anuncios conectan a los anunciantes con sitios Web que desean alojar anuncios online y recopilan y añaden diversos anuncios para distribuirlos por sitios diferentes.
Los editores de los anuncios (los propietarios de los sitios Web) integran los anuncios en el contenido online de los sitios. Pueden mostrar varios anuncios en diferentes formatos.
Los usuarios visualizan los anuncios cuando visitan los sitios que los alojan.
Los anuncios maliciosos y legítimos se muestran indistintamente, posiblemente debido a la falta de mecanismos de control adecuados para su distribución mediante las redes de anuncios.
Los anunciantes quieren promover productos o servicios.
Los ciberdelincuentes se hacen pasar por anunciantes y envían anuncios maliciosos.
Los anuncios maliciosos se muestran en sitios que alojan anuncios.
Los anuncios maliciosos explotan las vulnerabi- lidades de los equipos de los visitantes del sitio para infectarlos con malware.
Funcionamiento de la publicidad maliciosa
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
7 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
El malware BEDEP se propagó mediante una
explotación de Adobe Flash de día cero distribuida
a través de anuncios maliciosos3. Los usuarios
que, sin saberlo, descargaron dicho malware se
expusieron involuntariamente a participar en las
operaciones de redes robot de los atacantes y a
convertirse en víctimas y descargar otros tipos de
malware4.
Las amenazas relacionadas con publicidad de
este trimestre también incluían Superfish, un
complemento del explorador preinstalado en
al menos 52 modelos de portátiles Lenovo®
distribuidos entre septiembre y diciembre de
20145, 6. Clasificado como inflaware o software
innecesario que consume mucho espacio en
el disco y viene preinstalado en los equipos,
Superfish es capaz de alterar los resultados de
búsqueda (mostrados como imágenes) según el
historial de navegación de los usuarios7. No solo se
comporta como adware, sino que también permite
que los ciberdelincuentes espíen comunicaciones
supuestamente seguras.
Los anuncios maliciosos redirigieron a las víctimas a sitios Web que infectaron sus equipos automáticamente con varios tipos de malware.
Número de infecciones de BEDEP y ROZENA distribuidas a través de anuncios
maliciosos entre el cuarto trimestre de 2014 y el primer trimestre de 2015
4.000
2.000
0
OCT. NOV. DIC.
TOTALBEDEP: 7.719
ENE. FEB. MAR.2014 2015
01 106
5 6
2.385
1.858
2.480
313 152
3.568
1.660
TOTALROZENA: 4.815
1.er trim. 2015TOTAL: 10.031
4.o trim. 2014TOTAL: 2.503
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
8 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
Superfish viene preinstalado
en determinados modelos de
portátiles Lenovo, por lo que
es posible que los usuarios no
tengan pleno conocimiento de
qué es ni en qué consiste, ni
hayan dado su consentimiento
para utilizarlo.
Superfish instala su propio
certificado raíz para activar el
complemento incluso en HTTPS,
lo que le permite interceptar
comunicaciones seguras sin
generar advertencias.
Los certificados de Superfish
utilizan la misma clave privada
que se ha filtrado públicamente
en todos los portátiles, lo que
implica una seguridad y un
cifrado débil frente a posibles
abusos.
La búsqueda visual de Superfish es un complemento del explorador que muestra imágenes de anuncios relacionadas con los resultados de búsqueda.
Funcionamiento de Superfish
Además de venir preinstalado en los equipos y comportarse como adware, Superfish supuso una seria amenaza. La escasa seguridad de su certificado puso en peligro hasta las comunicaciones seguras.
El adware no va dirigido solo a los usuarios, ya que
varias aplicaciones de Google Play que utilizaban el
kit de desarrollo de software (SDK) MDash también
mostraban anuncios maliciosos de forma agresiva
en todos los dispositivos móviles afectados8. Se
cree que MDash (ANDROIDOS_ADMDASH. HRX)
llegó a infectar millones de dispositivos antes de que
las aplicaciones que lo contenían se eliminaran de
Google Play. En la tienda también se encontraron
más de 2.000 aplicaciones con un comportamiento
similar.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
9 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
MAR.
FEB.
ABR.
MAY.
3 DE FEBRERO
Google informó de la
eliminación de tres
aplicaciones de su tienda
tras detectar que se trataba
de adware camuflado.
11 DE MARZO
En el momento de realizar
el análisis, nuestros
investigadores identificaron
2.377 aplicaciones con
funciones hash SHA-256
en Google Play.
26 DE MARZO
Se informó del problema
a Google, que afirmó
que llevaría a cabo
una investigación
más exhaustiva.
31 DE MARZO
Después de que nuestros
investigadores realizaran
una comprobación, todavía
quedaban 682 aplicaciones
en la tienda.
2 DE ABRIL
Se publicó la entrada
del blog sobre MDash.
15 DE ABRIL
Cuando nuestros investigadores
volvieron a realizar una comprobación,
todavía quedaban 85 aplicaciones
en Google Play.
Número de aplicaciones infectadas con MDash encontradas
en Google Play antes y después del desmantelamiento
A principios de marzo se detectaron 2.000 aplicaciones infectadas con MDash en Google Play, la mayoría de las cuales se retiraron en el periodo de un mes tras la notificación.
Las amenazas de este último trimestre atacaron
la plataforma de publicidad online para vulnerar
la seguridad de los datos de los usuarios y los
propietarios de los sitios Web. Se ha demostrado
que los anuncios maliciosos son medios eficaces
para explotar vulnerabilidades de día cero, tal como
se ha observado en los recientes ataques de día
cero de Adobe. Superfish puso en peligro incluso
las comunicaciones supuestamente seguras, que
quedaron a merced de los ciberdelincuentes.
Asimismo, volvió a quedar de manifiesto que
ningún dispositivo está a salvo de amenazas cuando
los atacantes utilizaron MDash y aplicaciones
similares para robar información valiosa de sus
víctimas.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
10 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
“Para el usuario normal, los anuncios maliciosos representan
una de las peores amenazas. Este tipo de anuncios puede hacer
mucho más daño que otras amenazas, incluso cuando se actúa
correctamente. La publicidad maliciosa puede perjudicar incluso
a usuarios que no hagan clic en enlaces, tengan totalmente
actualizadas las soluciones de seguridad o solo visiten sitios
Web de confianza. En resumen, por muchas precauciones que
tome, nunca estará protegido de los anuncios maliciosos: todo
es cuestión de suerte.”
—Christopher Budd, director de comunicaciones para amenazas
“Los usuarios han intentado evitar por todos los medios
exponerse a materiales publicitarios tanto en soportes online
como tradicionales. Si se mantiene la tendencia de hacer un mal
uso de la publicidad, cabe esperar que los desarrolladores de
exploradores incorporen funciones que bloqueen directamente
los anuncios en sus productos, algo que hoy en día solo se
puede conseguir con complementos de terceros. La única
forma de impedir esta marea de cambios pasa por que las redes
publicitarias mejoren la verificación del contenido que ofrecen
a través de, por ejemplo, el aislamiento de procesos previo a la
publicación y una autenticación eficaz de sus sitios Web.”
—Rik Ferguson, vicepresidente de investigación para seguridad
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
11 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
GulCryptTROJ_GULCRYPT.A
Utiliza .RAR para proteger con contraseña los archivos almacenados; la contraseña está cifrada con el protocolo PGP.
Descargada por TROJ_CRYPTOP.KLS junto con otros componentes.
Utiliza técnicas antiguas, aunque se publican nuevas variantes con frecuencia (dirigida a más tipos de archivos; alterna notas de rescate en ruso y en inglés).
Distribuida mediante spam y explotación de vulnerabilidades.
Imita la interfaz de usuario (IU) de TorrentLocker; utiliza comodines de forma masiva para buscar extensiones de nombres de archivos; cifra archivos en recursos de red compartidos.
Incluida en el kit de explotación Nuclear.
Utiliza una IU similar a la de CryptoLocker; cifra los archivos de juegos independientemente de los documentos.
Incluida en el kit de explotación Angler.
Utiliza GnuPG para cifrar archivos; descarga herramientas de pirateo para robar credenciales de inicio de sesión de la caché del explorador; utiliza sDelete 16 veces para dificultar a las víctimas la recuperación de copias de seguridad; dirigida principalmente a rusos.
Distribuida mediante spam con una aplicación de descarga de JavaScript™.
Renombra archivos como {nombre del archivo codificado}.xtbl; roba direcciones IP.
Incluida en el kit de explotación Nuclear.
1 (Bandarchor)TROJ_CRYPAURA.F
2 CryptoFortressTROJ_CRYPFORT.A3
TeslaCryptTROJ_CRYPAURA.F4 VaultCrypt
BAT_CRYPVAULT.A5 TroideshTROJ_CRYPSHED.A6
Se dispara el volumen de infecciones del ransomware de cifrado: las empresas bajo amenaza
El ransomware de cifrado amplió su lista de objetivos y dejó de dirigirse exclusivamente a particulares para incluir también empresas y otros tipos de usuarios específicos.
Casi la mitad de los infectores de ransomware
detectados durante el primer trimestre de 2015 se
clasifican en la categoría más letal: el ransomware
de cifrado. El ransomware actual, más potente que
sus predecesores, no se limita a bloquear el acceso de
Comparación de las variantes conocidas de ransomware de cifrado
las víctimas a sus equipos como hacían los troyanos
policiales. Su letal descendiente, el ransomware
de cifrado, cifraba archivos secuestrados para
asegurarse de obtener un rescate, con lo que los
usuarios se exponían a un riesgo mayor.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
12 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
FUNCIONES 1 2 3 4 5 6
¿Nueva familia? Sí No Sí Sí Sí Sí
Datos robados No aplicable Nombre del ordenador e identificador único global (GUID) de la máquina
No aplicable Dirección IP Credenciales de inicio de sesión de la caché del explorador mediante una herramienta de pirateo conocida como “Browser Password Dump by Security Xploded” (HKTL_BROWPASS)
Dirección IP
Comunicación C&C
No Sí (con un servidor de comando y control [C&C] codificado)
No Sí (a través de Tor2web)
Sí (a través de Onion City - Tor2web)
Sí (a través de Tor)
Nombre del archivo de nota de rescate
{nombre de usuario}_archivos
fud.bmp (como fondo de pantalla)
LEER PARA RECUPERAR LOS ARCHIVOS.html
SALVE_SUS_ARCHIVOS.txt; SALVE_SUS_ARCHIVOS.bmp (como fondo de pantalla)
VAULT.txt LÉAME{1 de 10}.txt
Nombre de la extensión anexada a los archivos cifrados
.rar .id-{id#}[email protected]*
.frtrss .ecc .VAULT Renombra archivos como {nombre del archivo codificado}.xtbl
¿Elimina las instantáneas?
No No Sí Sí Sí No
Número de archivos atacados
11 102 (de los 39 de variantes anteriores)
132+ 185 15 342
Importe del rescate
300 € Bitcoins (BTC) por valor de 500 dólares estadounidenses
1 BTC 1,5 BTC (1.000 dólares estadounidenses si se paga con PayPal)
BTC por valor de 247 dólares estadounidenses (aumenta cada siete días)
Desconocido (en primer lugar, las víctimas deben ponerse en contacto con los atacantes y todavía no se conocen casos de pagos por rescate)
Utiliza la Internet profunda para los sitios Web de pago
Mail2Tor (servicio de correo electrónico Tor)
No (a través de correo electrónico)
Tor Tor Tor No (a través de correo electrónico)
¿Funciones de servicios básicos gratuitos?
Sí (a través de correo electrónico)
No Sí Sí Sí No
(* id#: número que identifica a las víctimas durante las transacciones de descifrado)
Se añadieron seis familias a la creciente lista de ransomware de cifrado principal. La lista se clasifica por diferentes niveles de gravedad de peticiones y sofisticación.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
13 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
Estados Unidos
Australia
Japón
Turquía
Italia
Francia
Alemania
India
Canadá
Filipinas
Otros
34%
6%
6%
5%
5%
4%
3%
3%
2%
2%
30%
20.000
10.000
0
4.o trim. 2013
1.er trim. 2014
2.o trim. 2014
3.er trim. 2014
4.o trim. 2014
1.er trim. 2015
12.000
9.000
6.000 6.000
8.000
13.000
3.000
2.000
3.000 3.000
8.000
3.000
Ransomware de cifrado
Ransomware
Número de infecciones por ransomware
Tras descender el número de ataques entre el primer y tercer trimestre de 2014, probablemente debido a la detención del autor del kit de explotación Blackhole (Paunch) a finales de 2013, el volumen de ransomware recuperó fuelle
antes de que finalizara el 2014. (El kit de explotación Blackhole era conocido por distribuir ransomware).
Países con el mayor número de infecciones de ransomware
en el primer trimestre de 2015
El grueso de las infecciones por ransomware correspondía a Estados Unidos, seguramente a causa de la adición durante ese año de nuevas variantes de ransomware de cifrado como CTB-Locker,
que iba dirigido a residentes estadounidenses.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
14 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
CRYPCTB
REVETON
KOVTER
CRYPWALL
RANSOM
CRILOCK
CRYPTOPHP
VIRLOCK
MATSNU
CRYPTWALL
Otros
25%
20%
17%
11%
10%
6%
5%
1%
1%
1%
3%
Principales familias de ransomware
CRYPCTB, que representa el 25% del total de ransomware, es el nombre de detección de Trend Micro para las variantes de CTB-Locker, que atormentaron a los usuarios durante los dos primeros meses de este año.
Aunque la detención de Paunch en 2013 se tradujo
en un descenso en el número de infecciones de
ransomware, el incidente no disuadió a otros
ciberdelincuentes de distribuir variantes de la
amenaza más nocivas9. De hecho, los usuarios
actuales se enfrentan a una plaga de variantes de
ransomware incluso más letales.
Pero lo más preocupante es el hecho de que
ransomware ha dejado de amenazar a clientes
exclusivamente y ha ampliado sus miras a las
empresas. CryptoFortress, una imitación de
CryptoLocker (TROJ_CRYPFORT.A), es capaz
de cifrar archivos de carpetas compartidas10.
CRYPWEB, por su parte, cifra bases de datos
de servidores Web11. Es importante que las
empresas tomen consciencia de la amenaza que el
ransomware constituye para sus infraestructuras
y negocios.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
15 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
Particulares
Grandes empresas
Pequeñas y medianas empresas (PYMES)
Otros
72%
16%
6%s
6%
4.o trim. 2014
15.53216.433
52%
28%
14%s
6%
1.er trim. 2015
Número de infecciones de ransomware por segmentos durante
el cuarto trimestre de 2014 y el primer trimestre de 2015
El número de infecciones de ransomware en empresas casi se ha duplicado durante el último trimestre. Este aumento podría deberse al incremento del volumen de ransomware dirigido a empresas
en lugar de a usuarios normales.
Además de las empresas, los jugadores online
también pasaron a formar parte de la lista de
objetivos del ransomware de cifrado. Teslacrypt
(TROJ_CRYPTESLA.A) fue capaz de cifrar
datos de software y el juego Steam®, así como
documentos y archivos de copias de seguridad y
soportes de los usuarios12, 13. Incluso la policía de
Massachusetts se vio obligada a pagar hasta 500
dólares estadounidenses de rescate simplemente
para recuperar el acceso a sus archivos cifrados14.
Los usuarios de Australia y Nueva Zelanda
también experimentaron ataques de ransomware.
Los ataques de TorrentLocker, según se ha
podido comprobar este enero, se abrieron camino
en todos los mercados. Paralelamente, otras
variantes de ransomware de cifrado ejecutadas
este último trimestre también mostraron mejoras.
CRYPAURA, por ejemplo, logró secuestrar un total
de 102 tipos de archivos para obtener un rescate,
frente a los 39 habituales.
El ransomware se asemeja a FAKEAV en el sentido
de que prácticamente consigue asustar a todos
los usuarios para que paguen el precio exigido
para recuperar el acceso a los equipos y archivos.
El tiempo dirá si el ransomware suscitará tantos
problemas como lo ha hecho FAKEAV. Sin
embargo, en el caso de FAKEAV la sensibilización
de los usuarios desempeñó un papel decisivo,
puesto que bastaba con ignorar los molestos
mensajes emergentes para mantenerse a salvo.
Con el ransomware, en cambio, los usuarios no
tienen opción. Su única esperanza se reduce a
poder recuperar los archivos secuestrados de las
ubicaciones seguras de las copias de seguridad.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
16 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
“El ransomware de cifrado se ha revelado como un medio
excepcional para que los ciberdelincuentes rentabilicen sus
ataques. Los cerebros que urdieron las primeras variantes
ganaron millones de dólares en pocos meses. La facilidad con
la que el ransomware se puede transformar en ransomware de
cifrado mediante la adición de bibliotecas de cifrado explicaría
muy bien el crecimiento de la amenaza. Los algoritmos de
cifrado son irreversibles. Las víctimas que no guardan copias
de seguridad no tendrán más remedio que pagar si desean
recuperar sus archivos importantes.”
—Anthony Melgarejo,ingeniero de respuestas frente a amenazas
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
17 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
Los mensajes solicitan a los destinatarios que habiliten macros para mostrar un contenido determinado y proporcionan las instrucciones correspondientes.
El spam insta a los usuarios a descargar y abrir archivos adjuntos, que normalmente están en blanco o solo presentan contenido ilegible.
La rutina se ejecuta una vez habilitada la macro.
Malware de macros: una técnica antigua pero igualmente eficaz
Hacia finales de 2014 se observó un resurgimiento del malware de macros, respaldado por el incremento del spam con archivos adjuntos maliciosos cargados de macros y la aparición de nuevas variantes. El malware de macros solía utilizar frases clave y términos de búsqueda populares para persuadir a los objetivos para descargar y ejecutar las macros15. Incluso el infame malware bancario, VAWTRAK, ha utilizado macros maliciosas para infectar equipos, un método que dista mucho de los vectores de infección conocidos. Este malware recurrió al spam para convencer a los destinatarios de que habilitasen macros con el objetivo de ver correctamente archivos Word adjuntos especialmente diseñados. Al hacerlo, se ejecutaba el malware de macro (W2KM_VLOAD.A), que descarga variantes de VAWTRAK16. Entre las amenazas que anteriormente utilizaban malware de macros como vector de infección figuran ladrones de datos como DRIDEX y ROVNIX17, 18.
Los ciberdelincuentes confían en coger desprevenidos a los usuarios, lo que podría explicar el éxito de los ataques de malware de macros. Se aprovechan del hecho de que los usuarios no saben qué son las macros ni cómo funcionan. Por ello, cuando se les solicita que habiliten macros para ver correctamente archivos adjuntos mediante spam muy convincente, lo hacen.
Las macros se están convirtiendo en los vectores de ataque preferidos debido a su facilidad para burlar las soluciones antimalware tradicionales. La ejecución de malware de macros requiere de intervención manual, lo que hace que las tecnologías de aislamiento de procesos no consigan impedir eficazmente la amenaza. Es posible que los usuarios de soluciones para la
El resurgir del malware de macros podría deberse perfectamente a la voluntad de los ciberdelincuentes para aprovechar la falta de conocimientos de los usuarios. Después de todo, son muy pocos los usuarios que realmente comprenden las macros y saben cómo funcionan.
exploración del correo electrónico sean menos proclives a las infecciones por malware de macros, ya que dichas soluciones detectan ejecutables en lugar de buscar macros maliciosas integradas que podrían ocultarse con facilidad y que las soluciones antimalware podrían obviar fácilmente.
La ingeniería social tuvo mucho que ver en los recientes ataques de malware de macros.
Se engañaba a los usuarios para que habilitaran macros con el objetivo de ver archivos adjuntos
sin saber que en realidad estaban ejecutando rutinas maliciosas en segundo plano.
Funcionamiento del malware de macros
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
18 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
2011 2012 2013 2014 2015
500
250
0
1929
79
180
436
1.er trim.2014
2.o trim. 3.er trim. 4.o trim. 1.er trim.2015
100.000
50.000
0
32.000
22.00020.000
48.000
93.000
Nuevo malware de macros detectado en el primer trimestre de 2015
Se ha detectado un resurgimiento del malware de macros desde 2014. Incluso el troyano bancario VAWTRAK ha empezado a utilizarlo.
Número de infecciones de malware de macros en el primer trimestre de 2015
El número de infecciones de malware de macros no ha dejado de aumentar desde el primer trimestre de 2014. Esto podría deberse al lanzamiento de nuevas variantes y al incremento del número de spam con archivos adjuntos maliciosos cargados de macros.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
19 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
China
Estados Unidos
Reino Unido
Japón
Australia
Francia
Italia
Taiwán
Alemania
India
Otros
22%
14%
12%
7%
5%
5%
4%
3%
3%
2%
23%
W97M_MARKER.BO
X97M_OLEMAL.A
W2KM_DLOADR.JS
X2KM_DLOADR.C
W97M_SATELLITE
W97M_DLOADR.XTRZ
W2KM_DLOAD.NB
W97M_DLOADER.GHV
X2KM_DLOAD.A
X97M_LAROUX.CO
Otros
8%
5%
3%
2%
2%
2%
2%
2%
2%
2%
70%
Países con el mayor número de infecciones de malware
de macros durante el primer trimestre de 2015
China encabezó la lista de países con el mayor número de equipos infectados por malware de macros durante los tres primeros meses de 2015. Pese a que Microsoft ha inhabilitado las macros
predeterminadas de Office, los usuarios de versiones anteriores siguen estando expuestos.
Principales variantes de malware de macros en el primer trimestre de 2015
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
20 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
DLOADR
DLOAD
MARKER
BARTALEX
DLOADER
DLOADE
OLEMAL
LAROUX
BURSTED
MDROP
Otros
30%
10%
8%
8%
6%
5%
4%
4%
3%
2%
20%
Word
Excel®
PowerPoint®
Otros
75%
21%
1%
3%
Principales familias de malware de macros en el primer trimestre de 2015
El malware de macros ha pasado a ser el vector de ataque favorito, ya que puede eludir fácilmente las soluciones antimalware independientes instaladas en la mayoría de equipos. Las principales
familias de malware de macros eran aplicaciones de descarga, lo que podría indicar que otro malware los utiliza como medio para infectar sistemas.
Los documentos de Microsoft Word y las hojas de datos de Excel fueron los portadores de macros maliciosas preferidos por los ciberdelincuentes.
Aplicaciones más utilizadas para incorporar macros maliciosas
en el primer trimestre de 2015
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
21 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
“El reciente éxito del malware de macros podría atribuirse al uso
de eficaces tácticas de ingeniería social y a la facilidad con que
se puede ocultar. Normalmente se integra en archivos de Office,
con los que las soluciones de exploración de malware suelen ser
más benevolentes. Lo peor de todo es que las macros se pueden
habilitar a través de archivos de lotes y secuencias de comandos,
que también esquivan la detección antimalware.”
—Anthony Melgarejo, ingeniero de respuestas frente a amenazas
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
22 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
FREAK (acrónimo de “Factoring RSA Export
Keys”), una vulnerabilidad que obliga a las
aplicaciones y los sitios Web seguros afectados a
utilizar un cifrado más débil, se descubrió el pasado
mes de marzo. Se detectó que todas las versiones de
OpenSSL anteriores a 1.0.1k y los clientes de Apple
El fallo de seguridad FREAK, con una década de antigüedad, expone los problemas existentes en la gestión de parches
FREAK y GHOST asustaron a los usuarios de equipos y aplicaciones vulnerables. Pusieron en evidencia los problemas de la anticuada gestión de parches para los administradores de TI, derivados de la variedad de plataformas y dispositivos que necesitaban protección. Cabe esperar que surjan más fallos explotables en plataformas y dispositivos a medida que avance el año.
Transport Layer Security (TLS)/Secure Sockets
Layer (SSL) eran vulnerables a los ataques manin
the‑middle (MiTM)19. Los usuarios de Windows®
afectados estuvieron expuestos al robo de datos
confidenciales20.
Actualmente vulnerables
Cambio desde el 3 de marzo
Servidores HTTPS de la lista de principales nombres de dominio de Alexa (compuesta por 1 millón)
8,5%Ha disminuido desde el 9,6%
Servidores HTTPS con certificados de confianza para el explorador 6,5%Ha disminuido desde el 36,7%
Todos los servidores HTTPS 11,8%Ha disminuido desde el 26,3%
El número de servidores que se han visto afectados por la vulnerabilidad FREAK ha disminuido desde el descubrimiento del fallo este mes de marzo21.
GHOST, una vulnerabilidad de desbordamiento
de búfer de Linux™ (glibc o las versiones de GNU
C Library anteriores a la 2.2), también se dio a
conocer el pasado enero. El fallo se activa al utilizar
determinadas funciones en glibc que permiten la
ejecución de código arbitrario. Afortunadamente,
la vulnerabilidad no es fácil de explotar y puede
afectar solamente a un reducido número de
sistemas22.
Al igual que sucede con las vulnerabilidades de
clientes y servidores, es necesario crear parches
para los fallos de las aplicaciones Web antes de
que se conviertan en objeto de ataque. Al fin y al
cabo, estos fallos pueden poner en peligro datos
empresariales importantes almacenados en bases
de datos de servidores vulnerables.
Los datos de Trend Micro Deep Security revelaron
que los ataques de secuencias de sitios cruzados
(XSS) y de SQL injection se utilizaban básicamente
contra aplicaciones Web de servidores corporativos.
Los datos de Open Web Application Security
Project (OWASP) respaldan esta conclusión.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
23 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
Principales vulnerabilidades de aplicaciones Web detectadas
en el primer trimestre de 2015
SQL injection
Plantea graves amenazas para cualquier aplicación Web que utilice una base de datos; el problema surge de entradas no validadas o insuficientes que los usuarios transfieren mediante aplicaciones Web afectadas a servidores de bases de datos en forma de comandos SQL; permite que los atacantes lean o modifiquen datos de las bases de datos, así como añadir o eliminar datos, lo que puede tener efectos devastadores.
XSS no persistente
Permite a los atacantes inyectar secuencias de comandos maliciosas (normalmente en el cliente) en aplicaciones Web; XSS se aprovecha de las aplicaciones que no validan, filtran ni cifran los datos suministrados por los usuarios; el objetivo suele ser intentar engañar a las víctimas para que hagan clic en enlaces aparentemente legítimos que en realidad proporcionan datos adicionales para lanzar ataques.
Path traversal
Aprovecha las validaciones de seguridad insuficientes de las aplicaciones Web para facilitar el acceso de los atacantes a archivos de rutas de sistemas restringidos mediante navegación por los sistemas de archivos de los servidores; también conocidos como ataques “punto punto barra” o “directory traversal”.
Detección de posible recurso confidencial
Permite a los atacantes obtener información sobre recursos que podrían estar enlazados con la estructura de aplicaciones (antiguas copias de seguridad, configuraciones de servidores, registros de bases de datos o servidores, configuraciones de bases de datos, vuelcos de bases de datos o archivos de aplicaciones confidenciales) con la finalidad de ejecutar ataques más sofisticados.
Indexación de directorios
Afecta a servidores Web que muestran la página de índice de su directorio o subdirectorio virtual cuando acceden agentes de usuario; permite que los atacantes organicen más ataques a partir del análisis del contenido y la estructura del directorio de aplicaciones Web vulnerables y obtengan acceso no autorizado a archivos de directorio.
Mensajes detallados de error de aplicaciones
Permite a los atacantes obtener acceso a información confidencial, incluida la lógica interna de las aplicaciones Web, que incorpora códigos HTML que los usuarios visualizan cuando se producen excepciones o errores en las aplicaciones Web.
Datos de formularios confidenciales transmitidos sin SSL
Permite a los atacantes obtener datos confidenciales transmitidos a través de aplicaciones que no utilizan SSL.
Revelación de código fuente de archivos de inclusión
Permite que los atacantes obtengan acceso a información confidencial sobre la lógica de las aplicaciones existente en códigos fuente y la aprovechen en su beneficio.
Revelación de ruta local
Provocada por la generación de resultados inesperados; las aplicaciones Web que divulgan rutas locales pueden guiar a los atacantes hasta las carpetas raíz y, de este modo, ayudarles a diseñar ataques personalizados con los que acceder a los archivos internos del sistema.
Filtración de dirección IP interna
Puede revelar información sobre el esquema de direcciones IP de las redes internas que luego se puede utilizar para diseñar ataques personalizados.
CR
ÍTIC
AM
ED
IAA
LTA
XXS no persistente es la vulnerabilidad de aplicaciones Web más común. Según OWASP, “los errores de XSS se producen cuando una aplicación recibe datos que no son de confianza y los envía a un explorador Web sin la validación adecuada”. De esta forma, los atacantes pueden ejecutar secuencias de comandos maliciosas cuando
engañan a los usuarios para que hagan clic en enlaces especialmente diseñados.
BA
JA
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
24 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
Los datos de Deep Security también desvelaron que
las vulnerabilidades de los servidores PHP eran
las más predominantes entre las organizaciones.
De hecho, las 10 principales vulnerabilidades de
servidores estaban relacionadas con el lenguaje de
secuencia de comandos del servidor PHP diseñado
para el desarrollo Web y, en ocasiones, como
lenguaje de programación general. La mayor parte
de estas vulnerabilidades, clasificadas con una
gravedad “alta” o “crítica”, ya están parcheadas en
las últimas versiones de PHP.
Principales vulnerabilidades de plataformas detectadas durante
el primer trimestre de 2015
ID de CVE
GravedadSoftware afectado
Descripción Solución
CVE-2012-2688
Crítica PHP No especificada. Actualice a PHP 5.3.15, 5.4.5 o superior.
CVE-2012-2376
Crítica PHP Permite a los atacantes ejecutar código arbitrario.
Todavía se tienen que publicar los parches o las actualizaciones para solucionar el problema.
CVE-2011-3268
Crítica PHP Permite a los atacantes ejecutar código arbitrario o bloquear las aplicaciones afectadas.
Actualice a PHP 5.3.7 o superior.
CVE-2014-9427
Alta PHP Permite a los atacantes bloquear aplicaciones infectadas, obtener información confidencial de la memoria de proceso de php-cgi o activar la ejecución inesperada de código.
Póngase en contacto con los proveedores de la aplicación para obtener información acerca de cómo arreglar este fallo.
CVE-2013-1635
Alta PHP Permite a los atacantes eludir restricciones de acceso planificadas.
Actualice a PHP 5.3.22, 5.4.13 o superior.
CVE-2011-1092
Alta PHP Permite a los atacantes bloquear aplicaciones infectadas.
Actualice a PHP 5.3.6 o superior.
CVE-2012-1823
Alta PHP Permite a los atacantes ejecutar código arbitrario.
Actualice a PHP 5.4.2 o superior.
CVE-2012-2311
Alta PHP Permite a los atacantes ejecutar código arbitrario.
Actualice a PHP 5.3.13, 5.4.3 o superior.
CVE-2012-2386
Alta PHP Permite a los atacantes bloquear aplicaciones infectadas.
Actualice a PHP 5.3.14, 5.4.4 o superior.
CVE-2011-1153
Alta PHP Permite a los atacantes obtener información confidencial y diseñar ataques de denegación de servicio (DoS).
Actualice a PHP 5.3.6 o superior.
PHP fue la plataforma más vulnerable de este pasado trimestre al detectarse fallos en diferentes versiones del lenguaje de secuencia de comandos. Tanto los usuarios como los administradores de TI deben mantener
actualizadas sus aplicaciones con los parches o las versiones más recientes. Deep Security dispone de soluciones para gestionar estas vulnerabilidades.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
25 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
A medida que aumenta el número de vulnera
bilidades detectadas en aplicaciones y sistemas
operativos de código abierto, los administradores
de TI tienen más dificultades para mitigar los
riesgos relacionados. Uno de los principales
problemas subyacentes podría ser la falta de
responsabilidad directa a la hora de revelar o
parchear fallos, que se suma a la dificultad de
proteger todas las aplicaciones y los sistemas
operativos potencialmente vulnerables.
“El ataque FREAK volvió a recordar que, independientemente de
lo protegidos que pensemos que están nuestros sistemas y redes,
siempre es posible descubrir una amenaza nueva. Los sistemas
heredados deberían estar tan actualizados como sea posible.
Las empresas, por su parte, deberían conservar los códigos
fuente de las aplicaciones personalizadas que les diseñan los
proveedores. Como ocurrió con Heartbleed, FREAK reproduce
la fragilidad de OpenSSL. Se trata de una tecnología obsoleta
que es preciso sustituir por bibliotecas de cifrado optimizadas.
Las organizaciones que utilizan bibliotecas y software de código
abierto deben revisar e intensificar sus políticas de seguridad.
Entre otras medidas, deben aplicar soluciones de seguridad para
la reputación de dominios e IP y la supervisión del tráfico de
redes mediante sistemas de detección de filtraciones, además de
recurrir a la prevención de intrusiones para bloquear amenazas
conocidas y desconocidas.”
—Pawan Kinger, director de Deep Security Labs
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
26 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
2013
2012
2011
2010
2009
2015
2014
Virginia Department of Health | EE.UU.
Registros de pacientes, prescripciones
Registros perdidos: 8,3 millones
National Health Services | R. Unido
Registros de pacientes no cifrados
Registros perdidos: 8,6 millones
Advocate Medical Group | EE.UU.
Nombres, direcciones, fechas de naci-miento, números de la seguridad social
Registros perdidos: 4 millones
Community Health Systems | EE.UU.
Cinco años de datos de pacientes, nombres, direcciones y números de la seguridad social
Registros perdidos: 4,5 millones
Premera Blue | EE.UU.
Nombres, fechas de nacimiento, direcciones de correo electrónico, direcciones, números de teléfono, números de la seguridad social, números de ID de miembros, información de cuentas bancarias, información sobre reclamaciones, información clínica
Registros perdidos: 11 millones
Anthem | EE.UU.
Nombres, fechas de nacimiento, números de ID de miembros, números de la seguridad social, direcciones, números de teléfono, direcciones de correo electrónico, información sobre empleos
Registros perdidos: 80 millones
Filtraciones de datos masivas en el sector sanitario y debilitación de otros sectores debido a los ataques de malware de TPV
Una seguridad laxa y la falta de implementación de las soluciones más exigentes pese a la gran cantidad de datos confidenciales que se almacenan en las redes de proveedores de servicios sanitarios podrían ser la causa de que dichas redes se hayan convertido en el objetivo preferido de los ataques.
Dos grandes proveedores de servicios de atención sanitaria, Premera Blue Cross y Anthem, sufrieron filtraciones de datos que expusieron millones de registros médicos y financieros de sus clientes durante el mes de marzo23. Según los datos facilitados, la filtración de Anthem afectó a 80 millones de clientes y empleados24. El ataque a Premera Blue Cross, descubierto en enero, dejó expuestos los registros de 11 millones de clientes.
Ambas filtraciones de datos desbancaron a NHS, que logró dejar al descubierto más de 8,6 millones de sus registros, como el peor ataque a un proveedor de servicios sanitarios desde 201125.Los proveedores de servicios sanitarios poseen más información sobre los usuarios que cualquier otro tipo de organización, aunque no por ello utilizan necesariamente los medios más eficaces para proteger sus datos26.
Ataques más destacados de filtraciones de datos dirigidos
a proveedores de servicios sanitarios entre 2009 y 2015
Las filtraciones de datos de Anthem y Premera, ambas descubiertas durante el primer trimestre del año, se consideran las peores hasta la fecha27. La última filtración de este tipo tuvo lugar en 2011, cuando se robaron portátiles que podían contener registros de pacientes sin cifrar del NHS.
(Nota: únicamente se han considerado las organizaciones que perdieron un mínimo de 4 millones de registros).
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
27 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
2005 2006 2007 2008
2013
2009 2010 2011 2012
2014
Filtraciones de datos relacionadas con los servicios sanitarios
10% 14% 14% 15%
14% 25%
44% 43%
24% 36%
Número de filtraciones de datos observadas entre 2005 y 2014
relacionadas con los servicios sanitarios
El número de víctimas por filtraciones de datos de proveedores de servicios sanitarios ha ido en aumento desde 2005 hasta prácticamente cuadruplicarse en 2014. El sector sanitario ha sufrido
más filtraciones incluso que las empresas y los sectores militar y gubernamental entre 2012 y 201428.
En el sector minorista y de servicios, los raspadores
de RAM para TPV no han dejado de aumentar. La
debilidad de la seguridad de los sistemas de TPV
ha permitido que los raspadores de RAM se hayan
convertido en un método viable para infiltrarse
en las redes, aunque no necesariamente para
organizar ataques dirigidos. El malware de TPV
permitía a los atacantes obtener gratificaciones
instantáneas en forma de pingües beneficios.
Los usuarios se han visto cercados por diferentes
variantes de raspadores de RAM de TPV nuevos
y antiguos. Así, FighterPoS se sumó a la creciente
lista de malware de TPV conocido este febrero,
mientras que el viejo pero eficaz BlackPOS siguió
acosando a empresas y fue responsable de una parte
considerable del número total de infecciones29.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
28 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
300
150
0
1.er trim.2014 2015
2.o trim. 3.er trim. 4.o trim. 1.er trim.
73
156
124 123
259 120
60
0
ENE. FEB. MAR.
65
86
116
Estados Unidos
Australia
Taiwán
Austria
Italia
Brasil
Canadá
Filipinas
Francia
Japón
Otros
23%
10%
8%
7%
5%
4%
4%
4%
3%
2%
30%
Número de sistemas infectados por raspadores de RAM de TPV
El número de detecciones de raspadores de RAM de TPV aumentó más del doble desde que empezó su rastreo el año pasado, lo que podría atribuirse a la aplicación
de mejoras en el malware de TPV existente, como sucede con BlackPOS30.
Países con el mayor número de infecciones de raspadores
de RAM para TPV durante el primer trimestre de 2015
Estados Unidos fue el país al que se dirigieron más ataques de malware de TPV, debido a su gran número de posibles víctimas. De hecho, el 80% de la población del país paga regularmente con tarjeta y no en efectivo31.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
29 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
Principales familias de raspadores de RAM de TPV en el primer trimestre de 2015
POCARDL
DEXTR
POSLOGR
POSNEWT
JACKPOS
POCARDLER
POSLUSY
ALINAOS
POSHOOK
ALINA
Otros
20%
14%
11%
7%
7%
6%
6%
5%
5%
5%
14%
POCARDL, que robaba credenciales de tarjetas de pago y cuya presencia se observó por primera vez en octubre de 2012, fue la familia de raspadores de RAM de TPV predominante durante los tres primeros meses de 201532.
“El malware de TPV se convertirá en uno de los pilares del sector
de la seguridad, como el scareware FAKEAV y el ransomware.
Así ocurrirá especialmente en países como Estados Unidos,
donde la mayor parte de la población prefiere el pago con tarjeta
al dinero en efectivo.”
—Jay Yaneza, investigador de amenazas
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
30 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
Resurgimiento de antiguos atacantes con nuevas herramientas, tácticas y procedimientos para campañas de ataques dirigidos
El grupo Rocket Kitten y todos aquellos responsables de la operación Pawn Storm se fijaron nuevos objetivos, lo que demuestra que los ataques dirigidos resisten y, además, evolucionan.
La operación Pawn Storm, una operación de
ciberespionaje económico y político todavía en
marcha, utilizó los dispositivos iOS™ vulnerables
para infiltrarse en las redes deseadas33. No fue la
primera campaña en utilizar malware móvil para
diseñar ataques dirigidos, pero sí la primera que
fijó su interés en iOS. Los responsables recurrieron
a dos aplicaciones maliciosas de iOS: XAgent
(IOS_ XAGENT.A) y una versión falsa de MadCap
(IOS_ XAGENT.B), ambas parecidas a las variantes
de SEDNIT de equipos Windows.
En su empeño por conseguir una mejora constante
en el campo de los ataques dirigidos, Rocket Kitten
mejoró sus herramientas, tácticas y procedimientos
(TTPs)34. Los cerebros de la operación hicieron un
mal uso de OneDrive® para alojar aplicaciones de
registro de pulsaciones como WOOLERG.
Ataques dirigidos relacionados con los móviles más destacados desde 2011
Pawn StormAtaques de espionaje económico y político instigados por un grupo cuyos objetivos principales son personal militar, de embajadas y contratistas de defensa de Estados Unidos y sus aliados. Fue el primer ataque en utilizar malware de iOS específicamente para infiltrarse en las redes objetivo.
LuckycatRelacionado con 90 ataques dirigidos contra sectores y/o comunidades de Japón e India. Utilizó malware de Android™ de tipo RAT (herramienta de acceso remoto) para recopilar información y cargar archivos a dispositivos infectados, o descargarlos.
ChuliAtaque dirigido a activistas del Tíbet y Uyghur. Utilizó trucos de ingeniería social para aprovechar las vulnerabilidades de los sistemas Windows y Mac OS X. Propagó ANDROIDOS_CHULI.A mediante cuentas de correo electrónico pirateadas pertenecientes a los activistas.
Xsser mRATConsiderado una campaña iniciada por atacantes de habla china contra manifestantes chinos. El malware multiplataforma Xsser mRAT (ANDROIDOS_Code4HK.A) afectó tanto a dispositivos Android como iOS; ANDROIDOS_Code4HK.A expuso textos, correos electrónicos y mensajes instantáneos de las víctimas, así como datos de su ubicación, nombres de usuario y contraseñas, registros de llamadas y listas de contactos.
ReginDirigido contra gobiernos, instituciones financieras, operadores de telecomunicaciones, organizaciones de investigación y otras entidades de diferentes países. Hizo un mal uso de los controladores de estación base del sistema global para las comunicaciones móviles (GSM) para hacerse con las credenciales necesarias para manipular la red GSM de un país de Oriente Medio.
20
112
013
20
14
Los atacantes apuestan por los dispositivos móviles porque todo el mundo los usa. Los hábitos móviles poco seguros que todos aplican en su tiempo libre facilitan enormemente la infiltración en el lugar de trabajo,
sobre todo gracias a la tendencia de uso de dispositivos propiedad de los empleados (BYOD)35.
20
12
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
31 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
Los atacantes crean malware
firmado con un certificado
de empresa.
Los atacantes alojan el malware
en un servidor y utilizan
itms-services para generar
un enlace de instalación.
El enlace se envía a cada uno de
los usuarios objetivo del ataque
para que hagan clic en el mismo
mediante ingeniosas técnicas de
ingeniería social.
El malware se instala cuando
se hace clic en el enlace.
Técnica utilizada por los creadores de la operación Pawn Storm para burlar
las medidas de seguridad empresariales de las tiendas de aplicaciones
Aunque se desconocen los métodos exactos de instalación del malware XAgent, sí que se sabe que pueden llegar a afectar incluso a dispositivos sin jailbreak si las aplicaciones
portadoras están firmadas con un certificado de la empresa Apple. Los cebos de la ingeniería social también aumentan las posibilidades de infección de los dispositivos.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
32 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
Los kits de explotación siguen incrementando su nivel de sofisticación
Los kits de explotación llenan constantemente su arsenal de técnicas de explotación de cada vez más vulnerabilidades, lo que incrementa su atractivo para todo aquel tipo de atacante que siempre busca la mejor rentabilidad para su dinero. Su implicación en los ataques de publicidad maliciosa del último trimestre se postula como un medio viable para su ejecución.
Más de 70 kits de explotación detectados son capaces de aprovechar más de 100 vulnerabilidades36. Desde la detención de Paunch en 2013, el número de kits de explotación en circulación ha disminuido considerablemente. No obstante, la reducción en volumen se ha visto compensada por una mayor sofisticación. Al fin y al cabo, los kits de explotación se actualizan constantemente para poder aprovechar un mayor número de vulnerabilidades.
El kit de explotación Hanjuan, por ejemplo, fue uno de los utilizados en el ataque de día cero
Adobe Flash mencionado anteriormente. El kit de explotación Nuclear, en cambio, fue el más utilizado durante los tres primeros meses de 2015.
Japón fue el país preferido de los atacantes, como prueban los múltiples ataques de publicidad maliciosa dirigidos sobre todo a los usuarios japoneses 37.
Como viene siendo habitual, los kits más populares incluían explotaciones para Adobe Flash e Internet Explorer, seguramente por la ingente base de usuarios de este tipo de software.
Vulnerabilidades utilizadas en los kits de explotación
Nuclear Sweet Orange FlashPack Rig Angler Magnitude Fiesta Styx Hanjuan
Internet Explorer
CVE-2013-2551CVE-2013-2551CVE-2014-0322CVE-2014-6332
CVE-2013-2551CVE-2013-3918CVE-2014-0322
CVE-2013-2551 CVE-2013-2551 CVE-2013-2551 CVE-2013-2551 CVE-2013-2551
Microsoft Silverlight®
CVE-2013-0074 CVE-2013-0074 CVE-2013-0074 CVE-2013-0074 CVE-2013-0074
Adobe Flash
CVE-2014-0515CVE-2014-0569CVE-2014-8439CVE-2015-0311
CVE-2014-0515CVE-2014-0569
CVE-2013-0634CVE-2014-0497CVE-2014-0515CVE-2014-0569
CVE-2014-0569CVE-2015-0311
CVE-2014-0515CVE-2014-0569CVE-2015-0311
CVE-2014-0515CVE-2014-0497CVE-2014-0569CVE-2015-0311
CVE-2014-0515 CVE-2015-0313
Adobe Acrobat® Reader
CVE-2010-0188 CVE-2010-0188
Oracle JavaTM
CVE-2012-0507CVE-2013-2460CVE-2013-5471
CVE-2013-2465CVE-2012-0507CVE-2014-2465
XMLDOM ActiveX
CVE-2013-7331 CVE-2013-7331 CVE-2013-7331 CVE-2013-7331
Las explotaciones de Adobe Flash se encuentran en todos los kits utilizados en los ataques más destacados del primer trimestre de 2015.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
33 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
Nuclear
Angler
Neutrino
Sweet Orange
Magnitude
Hanjuan
Fiesta
Rig
31%
25%
13%
11%
11%
4%
3%
2%
Número de accesos a los servidores de kits de explotación durante el cuarto
trimestre de 2014 y el primer trimestre de 2015
Sweet Orange Angler Magnitude Rig Nuclear Neutrino Fiesta Hanjuan Total
4.° trim. 2014
1.077.223 363.982 155.816 140.604 14.671 26.943 25.133 Sin datos 1.804.372
1.er trim. 2015
264.897 590.063 255.593 42.424 740.037 321.712 61.952 103.924 2.380.602
Creci-miento
-75,4% 62,1% 64% -69,8% 4.944,2% 1.094% 146,5% Sin datos 31,9%
Kits de explotación con mayor número de accesos de usuario
durante el primer trimestre de 2015
Durante el primer trimestre de 2015 se registró un aumento del 30% de las actividades relacionadas con los kits de explotación. El kit de explotación Nuclear fue el que recibió un mayor número de visitas,
relacionadas probablemente con los ataques de publicidad maliciosa detectados. Por su parte, la reducción en las visitas al kit de explotación Sweet Orange podría atribuirse a la limpieza de anuncios maliciosos que determinadas redes publicitarias realizaron en sus plataformas.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
34 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
Japón
Estados Unidos
Australia
Canadá
Dinamarca
Francia
Reino Unido
Italia
Brasil
España
Otros
52%
31%
5%
1%
1%
1%
1%
1%
1%
1%
5%
Nuclear
Angler
Neutrino
Sweet Orange
Magnitude
Hanjuan
Fiesta
Rig
100.000
50.000
0
ENE. FEB. MAR.
1
2
3
4
5
Países más afectados por ataques relacionados con kits de explotación
Japón fue el país más afectado, probablemente por la avalancha de ataques de publicidad maliciosa relacionados con los kits de explotación dirigidos específicamente a usuarios japoneses registrados
a principios de este año.
A pesar de haberse reducido el volumen de kits de explotación de nueva creación, un número considerable
permanecieron activos durante el último trimestre. ¿Podríamos decir que es la calma previa a la tormenta?
¿Quizás los desarrolladores de kits de explotación prefieren no hacer demasiado ruido mientras mejoran sus
ofertas para lanzar al mercado?
Actividad diaria de los kits de explotación conocidos
durante el primer trimestre de 2015
(Nota: los picos del gráfico corresponden a los números que se detallan más abajo.)
Las acciones adoptadas por AOL para retirar la publicidad maliciosa de su plataforma provocaron un descenso de la actividad del kit de explotación Sweet Orange (1). Los kits Angler (2 y 4) y Hanjuan (2) se utilizaron para
introducir el malware de día cero BEDEP en ordenadores desde finales de enero hasta principios de febrero, contribuyendo así al aumento de visitas a sus servidores. El kit de explotación Nuclear (3 y 5), en cambio,
se utilizó en un ataque de publicidad maliciosa a través de sitios de pornografía.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
35 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
“Cada vez son más los ataques de explotación que utilizan la
publicidad maliciosa en detrimento de la exposición de los sitios
o el spam. Al fin y al cabo, el mal uso de las redes de publicidad
legítimas permite a los atacantes enmascarar sus intenciones.
Mejoran continuamente sus herramientas y tácticas con el
objetivo de diseñar campañas más eficaces y multiplicar su
negocio. Vamos a ser testigos de muchos más ataques de este
tipo a lo largo de 2015.”
—Joseph C. Chen, ingeniero
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
36 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
6.000millones
3.000millones
0
ENE. FEB. MAR.
5.200millones 5.000
millones
3.900millones
2.000/s
1.000/s
0
ENE. FEB. MAR.
1.9311.858
1.595
Revisión del panorama de las amenazas
El volumen general de amenazas ha disminuido en
comparación con los datos registrados en el cuarto
trimestre de 2014. Si bien hubo menos bloqueos
de acceso de usuarios a dominios maliciosos y se
redujo el malware capaz de infectar dispositivos,
el volumen de spam alcanzó niveles nunca vistos.
Esto podría ser indicativo del resurgir del correo
electrónico como vector de infección preferido
para ejecutar amenazas antiguas como el malware
de macros en equipos vulnerables.
Número total de amenazas bloqueadas
durante el primer trimestre de 2015
Durante el pasado trimestre, se bloqueó un promedio de 4.700 millones de amenazas al mes, lo que supone un incremento de 1.500 millones respecto a la cifra
del último trimestre de 2014.
Tasa de detección de Trend Micro:
amenazas bloqueadas por segundo
durante el 1.er trimestre de 2015
Durante el pasado trimestre, se bloqueó un promedio de 1.800 amenazas por segundo.
Esta cifra supone un aumento de 600 amenazas respecto a las 1.200 amenazas por segundo
registradas anteriormente.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
37 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
5.000millones
2.500millones
0
ENE. FEB. MAR.
4.600millones
4.100millones
3.300millones
350 millones
175 millones
0
ENE. FEB. MAR.
236millones
315millones
252millones
600 millones
300 millones
0
ENE. FEB. MAR.
361millones
522millones
351millones
Número de consultas de reputación de
correo electrónico bloqueadas como
spam durante el primer trimestre de 2015
Se evitó que un total de 12.000 millones de correos electrónicos enviados desde direcciones IP remitentes
de spam llegaran a los buzones de entrada de los usuarios.
Número de visitas de usuario a sitios
maliciosos bloqueadas durante
el primer trimestre de 2015
Se registraron más de 800 millones de visitas de usuario a sitios maliciosos durante el pasado
trimestre, cifra que aumenta cada mes.
Número de archivos maliciosos bloqueados durante el primer trimestre de 2015
Se impidió que más de mil millones de archivos maliciosos infectaran dispositivos durante el último trimestre. El número de malware
prácticamente se duplicó de febrero a marzo.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
38 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
La familia KRYPTIK de troyanos que afectaba
principalmente a clientes ha entrado este último
trimestre en la lista de malware más habitual.
Estos troyanos, conocidos hasta ahora por asustar
a los usuarios con mensajes de advertencia que
aparecían en sus pantallas, intentaron descargar
otros archivos maliciosos en equipos previamente
infectados. Sin embargo, no consiguieron
desbancar ni a SALITY ni a DOWNAD de las
2 principales posiciones.
Muchos de los dominios principales cuyo acceso
se bloqueó a los usuarios este último trimestre
estaban relacionados con el adware. Todo ello
podría estar ligado con el repunte observado
del número de ataques de publicidad maliciosa.
Además, el adware también hizo acto de presencia
en las principales posiciones de la lista de tipos de
amenazas móviles. En total se han registrado más
de 5 millones de amenazas Android hasta la fecha,
una cifra muy cercana a nuestra previsión global de
8 millones para finales de 2015.
Principales dominios maliciosos a los que se impidió el acceso durante el primer
trimestre de 2015
Dominio Motivo para bloquear el acceso
files-download-131.com Descarga de archivos posiblemente no deseados (PUA)38
enhizlitakip.com Relacionado con un scam de un seguidor de Twitter turco
cnfg.toolbarservices.com Relacionado con adware presentado como una barra de herramientas del explorador
s.trk-u.com Relacionado con adware presentado como una barra de herramientas del explorador
s.ad120m.com Sitio con el que se comunica una variante de TROJ_GEN
sso.anbtr.com Sitio con el que se comunica PE_SALITY.RL
f0fff0.com Abre páginas emergentes que descargan adware
fa8072.com Abre páginas emergentes que descargan adware
creative.ad120m.com Sitio con el que se comunica una variante de TROJ_GEN
lovek.info Vinculado con fraudes por clics de ratón
La mayoría de los dominios maliciosos a los que se bloqueó el acceso durante el último trimestre estaban relacionados con la propagación de adware
y vinculados con otros fraudes.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
39 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
Estados Unidos
Países Bajos
China
Rusia
Costa Rica
Alemania
Reino Unido
Portugal
Japón
Corea del Sur
Otros
29%
7%
6%
3%
2%
1%
1%
1%
1%
1%
48%
Estados Unidos
Japón
Australia
Taiwán
India
China
Francia
Alemania
Canadá
Italia
Otros
33%
24%
5%
4%
3%
3%
3%
2%
2%
2%
19%
Países con el mayor número de URL maliciosas
durante el primer trimestre de 2015
Estados Unidos se mantuvo en la primera posición de la lista de países con mayor número de URL. Francia y Hungría salieron de la lista y en su lugar entraron Costa Rica y Portugal.
Países con el mayor número de usuarios que hicieron clic en URL maliciosas
durante el primer trimestre de 2015
Al ser el país que más URL maliciosas aloja, Estados Unidos también resulta ser el país con el mayor número de usuarios que hicieron clic en enlaces maliciosos.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
40 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
Inglés
Chino
Alemán
Japonés
Ruso
Portugués
Español
Polaco
Francés
Italiano
Otros
84.49%
1.86%
1.27%
1.15%
0.70%
0.61%
0.54%
0.43%
0.38%
0.09%
8.48%
Estados Unidos
Rusia
China
Japón
Vietnam
Italia
España
Argentina
Irán
Alemania
Otros
16%
5%
5%
5%
5%
4%
4%
4%
3%
3%
46%
Idiomas con más spam durante el primer trimestre de 2015
El inglés sigue siendo el idioma más utilizado para el spam.
Principales países emisores de spam en el primer trimestre de 2015
En línea con el idioma más usado con el spam, Estados Unidos encabezó la lista de países emisores de spam. Irán también entró a formar parte de lista; Ucrania, en cambio, desapareció.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
41 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
Principales familias de malware en el primer trimestre de 2015
Principales familias de malware por segmento en el primer trimestre de 2015
Segmento Nombre de detección Volumen
Grandes empresas
DOWNAD 62.000
SALITY 35.000
DUNIHI 29.000
PYMES
DOWNAD 12.000
DLOADR 11.000
UPATRE 10.000
Particulares
KRYPTIK 61.000
GAMARUE 38.000
SALITY 36.000
Aunque KRYPTIK presenta un rápido crecimiento que le permite entrar en la lista de malware principal del último trimestre, no consigue desbancar a los líderes SALITY y DOWNAD, asentados en las primeras posiciones desde hace tiempo.
Nombre de detección Volumen
SALITY 86.000
DOWNAD 83.000
KRYPTIK 71.000
BROWSEVIEW 69.000
GAMARUE 65.000
DUNIHI 49.000
VIRUX 42.000
UPATRE 41.000
FORUCON 39.000
RAMNIT 29.000
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
42 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
Principales familias de adware en el primer trimestre de 2015
Principales familias de adware por segmento en el primer trimestre de 2015
Segmento Nombre de detección Volumen
Grandes empresas
OPENCANDY 68.000
DEALPLY 46.000
TOMOS 18.000
PYMES
OPENCANDY 29.000
DEALPLY 23.000
MYPCBACKUP 8.000
Particulares
OPENCANDY 346.000
MYPCBACKUP 156.000
DEALPLY 135.000
El primer adware de la lista, OPENCANDY, encabezó repetidamente la lista de infectores de dispositivos de diferentes segmentos de usuarios.
Nombre de detección Volumen
OPENCANDY 454.000
DEALPLY 224.000
MYPCBACKUP 183.000
MYPCBaACKUP 142.000
PULSOFT 122.000
TOMOS 113.000
MULTIPLUG 109.000
INSTALLCORE 102.000
ELEX 90.000
SPROTECT 67.000
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
43 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
Danpay
Inoco
Youm
Agent
AdultPlayer
Jxt
Gexin
Guidead
AppInst
FakeApp
Otros
14%
12%
6%
6%
4%
4%
2%
2%
1%
1%
48%
AdLeak
Igexin
AdFeiwo
Noiconads
FeiwoDown
Appquanta
Arpush
RevMob
SnailCut
GoYear
Otros
8%
7%
6%
5%
5%
4%
4%
4%
3%
3%
51%
Principales familias de malware Android en el primer trimestre de 2015
Danpay fue la familia de malware Android más destacada del último trimestre. Sus rutinas incluyen el acceso a servidores C&C y esperar comandos maliciosos mientras descarga
silenciosamente otras aplicaciones en dispositivos previamente infectados.
Principales familias de adware Android en el primer trimestre de 2015
AdLeak, un nombre de detección genérico de Trend Micro para aplicaciones que podrían comprometer la privacidad de los usuarios, encabezó la lista de adware móvil este último trimestre.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
44 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
50%
25%
0
ADWARE LADRONESDE DATOS
PAYWARE ABUSO DESERVICIOSPREMIUM
DESCARGASMALICIOSAS
OTROS
14%
2%4%
14%
18%
48%
6 millones
3 millones
0
OCT. NOV. DIC. ENE. FEB. MAR.2014 2015
4,6 millones4,3 millones
4,1 millones3,8 millones
4,9 millones
5,4 millones
Principales tipos de amenazas Android detectadas
durante el primer trimestre de 2015
El adware siguió siendo el principal tipo de amenaza para dispositivos Android. El payware o software de pago hace referencia a aplicaciones posiblemente no deseadas (PUA) que manipulan a los usuarios para que acepten pagar
cuotas o tasas fraudulentas. Las PUA no son necesariamente maliciosas, pero incluyen funciones que ponen en riesgo la seguridad de los datos de los usuarios o dificultan su experiencia móvil.
Crecimiento acumulado de amenazas Android desde el primer trimestre de 2015
La gran mayoría de amenazas Android detectadas durante el último trimestre fueron PUA.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
45 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
Estados Unidos
Ucrania
Alemania
Rusia
Francia
Reino Unido
Países Bajos
China
Corea del Sur
Portugal
Otros
29%
9%
7%
7%
4%
4%
4%
3%
3%
2%
28%
Estados Unidos
Japón
Australia
Taiwán
Alemania
India
Canadá
Francia
Malasia
Italia
Otros
51%
9%
5%
4%
4%
4%
2%
2%
2%
1%
16%
Países que alojaron el mayor número de servidores C&C
en el primer trimestre de 2015
Los servidores C&C estaban ampliamente distribuidos en países como Estados Unidos, Ucrania y Alemania. No es necesario que los atacantes residan en dichos países para acceder a sus
servidores C&C, ya que pueden gestionarlos de forma remota. La mayoría de los países de la lista también figuraban en la de principales países que alojan URL maliciosas. Esto podría indicar la existencia de usos indebidos de los servicios de alojamiento e infraestructuras de dichos países.
Países con mayor número de conexiones a servidores C&C
en el primer trimestre de 2015
Estados Unidos registró el mayor número de conexiones C&C. También encabezó la lista de países con más usuarios que hicieron clic en URL maliciosas. Estas cifras indicarían que la mayoría de los intentos de acceso registrados podrían estar relacionados con redes robot.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
46 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
1.500
750
0
CRILOCK DUNIHI TROJAN GOZEUS ZEUS
348379385
745
1.316
350.000
175.000
0
POWELIKS PUSHDO/WIGON
CLACK BADUR
18.000
379
36.000 31.000
349.000
Familias de malware con el mayor número de servidores C&C relacionados
en el primer trimestre de 2015
Las variantes del ransomware CRILOCK fueron las que más veces accedieron a servidores C&C durante el último trimestre.
Familias de malware con el mayor número de víctimas
en el primer trimestre de 2015
POWELIKS fue el malware que causó un mayor número de víctimas el último trimestre, probablemente por su mecanismo de ocultación, que le permite permanecer invisible en los sistemas infectados.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
47 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
Referencias
1. U.S. Senate Committee on Homeland Security & Governmental Affairs. (14 de mayo de 2014). U.S. Senate Committee on Homeland Security & Governmental Affairs. "Permanent Subcommittee on Investigations Releases Report: 'Online Advertising and Hidden Hazards to Consumer Security and Data Privacy.'" Último acceso: 7 de mayo de 2015, http://www.hsgac.senate.gov/media/permanent
subcommitteeoninvestigationsreleasesreportonlineadvertisingandhiddenhazardstoconsumersecurityanddataprivacy.
2. Brooks Li y Joseph C. Chen. (16 de marzo de 2015). TrendLabs Security Intelligence Blog. "Exploit Kits and Malvertsing: A Troublesome Combination." Último acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/exploitkits
andmalvertisingatroublesomecombination/.
3. Peter Pi. (2 de febrero de 2015). TrendLabs Security Intelligence Blog. "Trend Micro Discovers New Adobe Flash Zero‑Day Exploit Used in Malvertisements." Último acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/trendmicro
discovers‑new‑adobe‑flash‑zero‑day‑exploit‑used‑in‑malvertisements/.
4. Alvin Bacani. (5 de febrero de 2015). TrendLabs Security Intelligence Blog. "BEDEP Malware Tied to Adobe Zero Days." Último acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/bedepmalwaretiedtoadobezerodays/.
5. Trend Micro Incorporated. (20 de febrero de 2015). TrendLabs Security Intelligence Blog. "Superfish Adware in Lenovo Consumer Laptops Violates SSL, Affects Companies via BYOD." Último acceso: 16 de abril de 2015, http://www.trendmicro.com/vinfo/us/security/
news/cybercrime‑and‑digital‑threats/superfish‑adware‑in‑lenovo‑consumer‑laptops‑violates‑ssl.
6. Lenovo. (19 de febrero de 2015). Lenovo. "Lenovo Statement on Superfish." Último acceso: 16 de abril de 2015, http://news.lenovo.com/article_display.cfm?article_id=1929.
7. Vangie Beal. (2015). Webopedia. "Bloatware." Último acceso: 20 de abril de 2015, http://www.webopedia.com/TERM/B/bloatware.html.
8. Seven Shen. (2 de abril de 2015). TrendLabs Security Intelligence Blog. "The Fine Line Between Ad and Adware: A Closer Look at the MDash SDK." Último acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabs‑security‑intelligence/the‑fine‑line‑between‑ad‑
andadwareacloserlookatthemdashsdk/.
9. Trend Micro Incorporated. (13 de febrero de 2013). TrendLabs Security Intelligence Blog. "Key Figure in Police Ransomware Activity Nabbed." Último acceso: 23 de abril de 2015, http://blog.trendmicro.com/trendlabs‑security‑intelligence/key‑figure‑in‑police‑
ransomwareactivitynabbed2/.
10. David John Agni. (2015). Enciclopedia de amenazas. "TROJ_CRYPFORT.A." Último acceso: 16 de abril de 2015, http://www.trendmicro.com/vinfo/us/threat‑encyclopedia/malware/TROJ_CRYPFORT.A.
11. Francis Xavier Antazo. (2015). Enciclopedia de amenazas. "PHP_CRYPWEB.A." Último acceso: 16 de abril de 2015, http://www.trendmicro.com/vinfo/us/threat‑encyclopedia/malware/PHP_CRYPWEB.A.
12. Anthony Joe Melgarejo. (1 de abril de 2015). TrendLabs Security Intelligence Blog. "CryptoRansomware Sightings and Trends for 1Q 2015." Último acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/cryptoransomwaresightingsand
trendsfor1q2015/.
13. David John Agni. (2015). Enciclopedia de amenazas. "TROJ_CRYPTESLA.A." Último acceso: 16 de abril de 2015, http://www.trendmicro.com/vinfo/us/threat‑encyclopedia/malware/TROJ_CRYPTESLA.A.
14. Shirley Siluk. (13 de abril de 2015). CIO Today. "Ransomware Hackers Hitting Police Departments." Último acceso: 16 de abril de 2015, http://www.cio‑today.com/article/index.php?story_id=033001297WKR.
15. Maydalene Salvador. (24 de marzo de 2015). TrendLabs Security Intelligence Blog. "Macro‑Based Malware Increases Along with Spam Volume, Now Drops BARTALEX." Último acceso: 16 de abril de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/
macrobasedmalwareincreasesalongwithspamvolumenowdropsbartalex/.
16. Trend Micro Incorporated. (16 de febrero de 2015). TrendLabs Security Intelligence Blog. "Banking Malware VAWTRAK Now Uses Malicious Macros, Abuses Windows PowerShell." Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabs
securityintelligence/bankingmalwarevawtraknowusesmaliciousmacrosabuseswindowspowershell/.
17. Rhena Inocencio. (5 de noviembre de 2014). TrendLabs Security Intelligence Blog. "Banking Trojan DRIDEX Uses Macros for Infection." Último acceso: 6 de mayo de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/bankingtrojandridexuses
macrosforinfection/.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
48 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
18. Joie Salvio. (19 de noviembre de 2014). TrendLabs Security Intelligence Blog. "ROVNIX Infects Systems with Password‑Protected Macros." Último acceso: 6 de mayo de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/rovnixinfectssystemswith
passwordprotectedmacros/.
19. Trend Micro Incorporated. (4 de marzo de 2015). TrendLabs Security Intelligence Blog. "FREAK Vulnerability Forces Weaker Encryption." Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/freakvulnerabilityforces
weakerencryption/.
20. Karthikeyan Bhargavan, Antoine Delignat‑Lavaud, Cédric Fournet, Markulf Kohlweiss, Alfredo Pironti, Pierre‑Yves Strub, Santiago Zanella‑Béguelin, Jean‑Karim Zinzindohoué y Benjamin Beurdouche. (2015). MiTLS. "SMACK: State Machine AttaCKs." Último acceso: 17 de abril de 2015, https://www.smacktls.com/#freak.
21. Tracking the FREAK Attack. (2015). Último acceso: 30 de abril de 2015, https://freakattack.com/.
22. Pawan Kinger. (28 de enero de 2015). TrendLabs Security Intelligence Blog. "Not So Spooky: Linux ‘GHOST’ Vulnerability." Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/notsospookylinuxghostvulnerability/.
23. Trend Micro Incorporated. (20 de marzo de 2015). Trend Micro Security News. "Premera Blue Cross Admits to Data Breach, Exposes Records of 11 Million Patients." Último acceso: 17 de abril de 2015, http://www.trendmicro.com/vinfo/us/security/news/cyber
attacks/premerabluecrossdatabreachexposes11mpatientrecords.
24. Christopher Budd. (5 de febrero de 2015). Trend Micro Simply Security. "The Anthem Data Breach: What You Need to Know." Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/whatyouneedtoknowabouttheanthemhack/.
25. Jack Clark. (15 de junio de 2011). ZDNet. "NHS Laptop Loss Could Put Millions of Records at Risk." Último acceso: 30 de abril de 2015, http:// www.zdnet.com/article/nhslaptoplosscouldputmillionsofrecordsatrisk/.
26. Trend Micro Incorporated. (10 de febrero de 2015). Trend Micro Security News. "Millions Affected in Anthem Breach, Healthcare Companies Prime Attack Targets." Último acceso: 17 de abril de 2015, http://www.trendmicro.com/vinfo/us/security/news/cyberattacks/
millionsaffectedinanthembreachhealthcarecompaniesprimeattacktargets.
27. Miriam Quick, Ella Hollowood, Christian Miles, y Dan Hampson. (30 de marzo de 2015). Information Is Beautiful. "World’s Biggest Data Breaches." Último acceso: 23 de abril de 2015, http://www.informationisbeautiful.net/visualizations/worldsbiggestdata
breacheshacks/.
28. Identity Theft Resource Center. (2015). ITRC. "2008 Data Breaches." Último acceso: 23 de abril de 2015, http://www.idtheftcenter.
org/ITRC‑Surveys‑Studies/2008‑data‑breaches.html.
29. Jay Yaneza. (3 de marzo de 2015). TrendLabs Security Intelligence Blog. "PwnPOS: Old Undetected PoS Malware Still Causing Havoc." Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/pwnposoldundetectedposmalware
stillcausinghavoc/.
30. Rhena Inocencio. (29 de agosto de 2014). TrendLabs Security Intelligence Blog. "New BlackPOS Malware Emerges in the Wild, Targets Retail Accounts." Último acceso: 23 de abril de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/newblackpos
malwareemergesinthewildtargetsretailaccounts/.
31. American Consumer Credit Counseling. (2015). ConsumerCredit.com. "Infographic: Cash Vs. Card." Último acceso: 23 de abril de 2015, http://www.consumercredit.com/financial‑education/infographics/infographic‑cash‑vs‑card.aspx.
32. Trend Micro Incorporated. (2014). Trend Micro Security Intelligence. “La ciberdelincuencia ataca objetivos impensables: Informe sobre seguridad del primer trimestre de 2014 de TrendLabs" Último acceso: 23 de abril de 2015, http://www.trendmicro.co.uk/media/
misc/cybercrimehitstheunexpecteden.pdf.
33. Lambert Sun, Brooks Hong y Feike Hacquebord. (4 de febrero de 2015). TrendLabs Security Intelligence Blog. "Pawn Storm Update: iOS Espionage App Found." Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabssecurityintelligence/pawn
stormupdateiosespionageappfound/.
34. Cedric Pernet. (18 de marzo de 2015). TrendLabs Security Intelligence Blog. "Operación 'Woolen Goldfish': phishing en las garras de un gatito" Último acceso: 17 de abril de 2015, http://blog.trendmicro.com/trendlabs‑security‑intelligence/operation‑woolen‑goldfish‑
whenkittensgophishing/.
TREND MICRO | Informe sobre seguridad del primer trimestre de 2015 de TrendLabs
49 | Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas
35. Trend Micro Incorporated. (27 de febrero de 2015). Trend Micro Security News. "Pawn Storm in iOS Apps and Other Cases of Mobile Links in Targeted Attacks." Último acceso: 23 de abril de 2015, http://www.trendmicro.com/vinfo/us/security/news/mobile
safety/pawnstorminiosappsandothercasesofmobilelinksintargetedattacks.
36. Trend Micro Incorporated. (16 de marzo de 2015). Trend Micro Security News. "Exploit Kits: Past, Present and Future." Último acceso: 17 de abril de 2015, http://www.trendmicro.com/vinfo/us/security/news/vulnerabilitiesandexploits/exploitkitspastpresentand
future.
37. Peter Pi. (20 de marzo de 2015). TrendLabs Security Intelligence Blog. "Freshly Patched Adobe Exploit Added to Nuclear Exploit Kit." Último acceso: 23 de abril de 2015, http://blog.trendmicro.com/trendlabs‑security‑intelligence/freshly‑patched‑flash‑exploit‑added‑to‑
nuclearexploitkit/.
38. Trend Micro Incorporated. (2015). Enciclopedia de amenazas. "Potentially Unwanted Application." Último acceso: 30 de abril de 2015, http://www.trendmicro.com/vinfo/us/security/definition/potentially‑unwanted‑app.
TREND MICRO TM
Trend Micro Incorporated, líder global de seguridad en la nube, crea un mundo seguro para intercambiar información digital con sus soluciones de seguridad de contenidos de Internet y de gestión de amenazas para empresas y particulares. Trend Micro es una empresa pionera en seguridad de servidores con más de 20 años de experiencia que ofrece seguridad del más alto nivel adaptada a las necesidades de sus clientes, detiene las amenazas más rápidamente y protege la información en entornos físicos, virtualizados y basados en la nube. Con el respaldo de la infraestructura de Trend Micro™ Smart Protection Network™, nuestra tecnología, productos y servicios de seguridad basados en la nube líderes del sector consiguen detener las amenazas allá donde surgen, en Internet. Además, nuestros clientes cuentan con la asistencia de un equipo de más 1.000 expertos en amenazas en todo el mundo. Si desea
más obtener más información, visite www.trendmicro.com.
©2015 por Trend Micro, Incorporated. Reservados todos los derechos. Trend Micro y el logotipo en forma de pelota de Trend Micro son marcas registradas o marcas comerciales de Trend Micro Incorporated. El resto de los nombres de productos o empresas pueden ser marcas comerciales o registradas de sus respectivos propietarios.
Redactado por:
Asistencia técnica global y Centro de I+D de TREND MICRO