Story Transcript
G Data Informe sobre software malicioso Informe semestral enero-junio 2009 Ralf Benzmüller & Werner Klier G Data Security Labs
Go safe. Go safer. G Data.
G Data Informe enero-junio de 2009 sobre software malicioso
Informe G Data sobre software malicioso Enero-junio 2009
Ralf Benzmüller & Werner Klier G Data Security Labs
Copyright © 2009 G Data Software AG
1
Resumen Cifras y datos • En el primer semestre de 2009, G Data identificó 663.952 nuevos programas maliciosos. Esto significa más del doble de los detectados durante el mismo período del año anterior. En comparación con el segundo semestre de 2008 sólo se obtuvo un ligero incremento del 15%. No obstante, el número de familias activas de programas maliciosos descendió en un 7%. • Las categorías más frecuentes de programas maliciosos son los troyanos, descargadores y backdoors. Mientras que los troyanos y descargadores escalaron posiciones, la proporción de backdoors retrocedió. Los rootkits siguieron consolidándose. Su número se octuplicó con creces frente al mismo período del año anterior. • Los programas maliciosos con rutinas de propagación propias tan sólo constituyen un 4,0% del total de los programas informáticos maliciosos. • Entre los tipos de programa malicioso más activos se encuentran los troyanos, los backdoors y los ladrones de cuentas de juegos online. Igualmente han aumentado notablemente la familia de gusanos "Autorun". Su número prácticamente se ha quintuplicado en comparación al primer semestre de 2008 y su parte en el total aumentó hasta alcanzar un 1,6%. • En el 99,3% de los casos, todos los programas maliciosos del segundo semestre funcionaron en el entorno de Windows. La concentración en el sistema operativo líder en el mercado continúa. • El código malicioso para plataformas móviles ha conseguido entrar esta vez en el Top 5 de las plataformas. Pero, con tan solo 106 elementos dañinos, su proporción sigue siendo mínima. • También los usuarios de MacOS X reciben ataques de programas maliciosos. El número de nuevos programas maliciosos para MacOSX es de 15. En abril se descubrió una primera botnet procedente de los ordenadores Apple.
Eventos y tendencias • Las redes sociales se utilizan cada vez con más frecuencia para la distribución de spam y programas maliciosos. • Conficker se convierte en el eterno caballo de batalla. Infecta varios millones de PC y el 1 de abril da que hablar por su nueva rutina de actualización. A partir de ahí desaparece.
Pronósticos • Internet alberga cada vez un mayor número de códigos maliciosos. Los métodos de infección se hacen cada vez más sofisticados. • La ola de programas maliciosos seguirá creciendo en los próximos meses, aunque en menor medida y a través de un menor número de familias de programas maliciosos. • Los usuarios de MacOSX y Smartphones pasarán a estar con mayor frecuencia en la mira de los autores de programas maliciosos.
2
Copyright © 2009 G Data Software AG
G Data Informe enero-junio de 2009 sobre software malicioso
Contenido Resumen.......................................................................................................................................................................2 Cifras y datos...............................................................................................................................................................2 Eventos y tendencias................................................................................................................................................2 Pronósticos...................................................................................................................................................................2 Programas maliciosos: Cifras y datos......................................................................................4 La ola de programas maliciosos crece, aunque con menor intensidad..................................................4 Categorías de malware............................................................................................................................................4 Familias..........................................................................................................................................................................6 Plataformas..................................................................................................................................................................8 Perspectiva 2009......................................................................................................................9 Pronósticos...................................................................................................................................................................9 Eventos y tendencias durante el primer semestre de 2009................................................10 Enero de 2009.......................................................................................................................................................... 10 Febrero de 2009.......................................................................................................................................................11 Marzo de 2009..........................................................................................................................................................13 Abril de 2009.............................................................................................................................................................14 Mayo de 2009............................................................................................................................................................15 Junio de 2009............................................................................................................................................................15
Copyright © 2009 G Data Software AG
3
Programas maliciosos: Cifras y datos La ola de programas maliciosos crece, aunque con menor intensidad En los últimos años el número de nuevos programas maliciosos ha ido creciendo de forma constante. Cada día se batían nuevos récords de tasas de crecimiento. También en el primer semestre de 2009 el número de programas informáticos maliciosos vuelve a aumentar. En comparación con el mismo período del año anterior, el número se ha duplicado con creces hasta los 663.952 programas maliciosos. Aunque, como ya anunciaba el último informe de G Data sobre programas maliciosos, el ritmo de crecimiento ha remitido. En comparación con el segundo semestre de 2008, el número de programas maliciosos ha aumentado en tan sólo un 15%. 㘀 㐀 ㈀ 㠀 㘀 㐀 ㈀
䨀愀渀 01
02 䘀攀戀
03 䴀爀稀
04 䄀瀀爀椀氀
05 䴀愀椀
06 䨀甀渀椀
07 䨀甀氀椀
08 䄀甀最
09 匀攀瀀
10 伀欀琀
11 一漀瘀
12 䐀攀稀
Diagrama 1: Número de nuevos programas maliciosos por mes durante 2008 (gris) y 2009 (rojo).
Categorías de malware Un vistazo a los cambios en cada una de las categorías de programas maliciosos puede aportarnos una explicación de este retroceso. Mientras que los backdoors, adware y programas espía permanecen por debajo de la media, la cantidad de rootkits y troyanos sobrepasa el crecimiento medio considerablemente. También el número de descargadores y droppers sobrepasa la media. Los backdoors se necesitan para integrar ordenadores zombi en una red de bots y poder asumir el control remoto. El retroceso en este área es un indicio de que la ampliación de las botnets ha perdido importancia. El gran aumento de rootkits es señal de que cada vez un mayor número de programas maliciosos (también backdoors) permanecen ocultos a los antivirus y a las miradas curiosas. A todas luces parece que la capacidad disponible ya basta para cubrir la demanda de actividades botnet, como el envío de correo basura y los ataques de sobrecarga. También el mercado de adware parece haberse estancado en un alto nivel. Posiblemente tienen que ver en esto las campañas de sensibilización. Aunque también ha contribuido a ello el parón causado por la crisis, con unos presupuestos publicitarios limitados, lo que hace que 4
Copyright © 2009 G Data Software AG
G Data Informe enero-junio de 2009 sobre software malicioso
también la economía del crimen electrónico se vea obligada a actuar en menor escala. La cantidad de spyware ha descendido ligeramente. Si observamos el fenómeno más de cerca podremos detectar que los "keylogger" o registradores de órdenes de teclado, se han duplicado, mientras que los troyanos bancarios y los ladrones de datos de contraseñas o juegos online han retrocedido en un 30%. El empleo de medidas de seguridad más estrictas por los bancos y las empresas de juegos online ya no permiten soslayar la protección por medios sencillos. En el área del robo de datos, la tendencia se inclina hacia programas maliciosos cada vez más universales y potentes. Categoría
Caballos troyanos Puertas traseras Descargadores/Droppers Spyware o programas espía Adware Gusanos Herramientas Rootkits Exploits Dialer Virus Otros Total
#2009 H1
Propor- # 2008 ProporDif. # 2008 ProporDif. ción H2 ción 2008H1 H1 ción 2008H1 2008H2 2009H1 221.610 33,6% 155.167 26,9% 143% 52.087 16,4% 425%
104.224
15,7% 125.086
21,7%
83%
75.027
23,6%
139%
147.942
22,1%
115.358
20,0%
128%
64.482
20,3%
229%
97.011
14,6%
96.081
16,7%
101%
58.872
18,5%
165%
5,3% 40.680 4,0% 17.504 1,6% 7.727 1,9% 6.959 0,3% 1.841 0,2% 1013 0,0% 167 0,7% 8.419 100,0% 576.002
7,1% 3,0% 1,3% 1,2% 0,3% 0,2% 0,0% 1,5% 100,0%
86% 152% 148% 176% 124% 114% 86% 55% 115%
32.068 10.227 12.203 1.425 1.613 4.760 327 5.170 318248
10,1% 3,2% 3,8% 0,4% 0,5% 1,5% 0,1% 1,6% 100,0%
109% 260% 94% 858% 141% 24% 44% 89% 209%
34.813 26.542 11.413 12.229 2.279 1.153 143 4.593 663.952
Tabla 1: Cantidad y porcentaje de nuevas categorías de programas maliciosos en el primer semestre de 2008 y 2009 incluyendo cambios
La tabla 1 indica asimismo que la cantidad de programas dialer ha descendido hasta apenas un cuarto del volumen del año anterior. El modelo de negocio del dialer se está extinguiendo, por lo que se ve. También el número de virus clásicos (p.ej. infectadores de archivos) ha decrecido notablemente en comparación con el mismo período del año anterior. Esta vía de expansión constituye más bien la excepción. Los gusanos, entre los que se encuentra también el gran grupo de infectadores Autorun, vio aumentar su porcentaje hasta un 4.0%. Su número se ha multiplicado por 2,6 frente al primer semestre de 2008 y por 1,5 frente al segundo semestre de 2008.
Copyright © 2009 G Data Software AG
5
Familias Dependiendo de las funciones y de las características del código que utilizan, los programas informáticos maliciosos se subdividen en familias. Desde hace años, el número de familias de virus ha descendido. En el primer semestre de 2008 había aún 2395 y en el segundo 2094. En el primer semestre de 2009 se contaron 1948 distintos representantes de familias de virus. En otras palabras, el nuevo aumento de programas maliciosos se basa en un menor número de familias. Este dato indica una concentración del mercado. # 2009 H1 Familia de virus 1 2 3 4 5 6 7 8 9 10
34.829 26.879 18.576 16.719 16.675 13.889 13.104 11.106 10.322 10.312
Monder Hupigon Genome OnlineGames Buzus Fraudload Bifrose Inject Poison Magania
# 2008 H2 Familia de virus 45.407 35.361 20.708 18.718 15.937 13.133 13.104 12.805 11.530 10.412
Hupigon OnlineGames Monder MonderB Cinmus Buzus Magania PcClient Zlob Virtumonde
# 2008 H1 Familia de virus 32.383 19.415 13.922 11.933 7.370 7.151 6.779 6.247 6.194 5.433
Hupigon OnLineGames Virtumonde Magania FenomenGame Buzus Zlob Cinmus Banload Bifrose
Tabla 2: Top 10 de las familias de virus más activas durante el primer semestre de 2009 y 2008
Mientras algunas familias aportan solo unas pocas variantes, otras son especialmente prolíficas. Algunas de ellas llevan en el Top 10 desde hace años. Entre ellas se encuentran los backdoor de la familia Hupigon y Bifrose, que han perdido el primer puesto, los ladrones de datos de juegos online de las familias OnlineGames y Magania, así como los troyanos de la familia Buzus. Los nuevos líderes son los troyanos adware/scareware de Monder, que van pisando los talones de Virtumonde. Junto con el recién incorporado Fraudload indican la popularidad que ha ganado el scareware entre los ciberdelincuentes, con soluciones imitadas de los antivirus. También ingresan recientemente en el Top 10 las familias Genome, Poison e Inject.
6
Copyright © 2009 G Data Software AG
G Data Informe enero-junio de 2009 sobre software malicioso
Primer puesto: Monder Las innumerables variantes Monder son troyanos que manipulan la configuración de seguridad del sistema infectado, haciéndolo así susceptible de ser atacado posteriormente. Además, puede tener lugar una infección de adware, que muestra molestas ventanas publicitarias en el sistema infectado, en particular con anuncios de software de seguridad falsificado. Se sugiere a la víctima que el sistema está siendo examinado en busca de infecciones. Para eliminar estas supuestas infecciones, se urge a la víctima a que adquiera la "versión completa" y a que pague mediante tarjeta de crédito (!!). Algunas variantes descargan otros paquetes de software malicioso y envían al atacante información sobre las páginas visitadas por la víctima, sin informar de ello al usuario. Segundo puesto: Hupigon La puerta trasera Hupigon permite al atacante, entre otras cosas, controlar el ordenador de forma remota, obtener la información ingresada a través del teclado, acceder al sistema de archivos y encender la cámara web. Tercer puesto: Genome Los troyanos de la familia Genome aúnan funciones tales como descargador, keylogger o cifrado de archivos. Cuarto puesto: Buzus Los troyanos de la familia Buzus examinan los sistemas infectados de sus víctimas en busca de datos personales (tarjetas de crédito, banca online, accesos a correo electrónico y a servidores FTP, etc.), que son enviados al atacante. También se intenta desactivar la configuración de seguridad del ordenador, con lo que se hace el sistema de la víctima aún más vulnerable. Quinto puesto: OnlineGames Los miembros de la familia OnlineGames roban principalmente los datos de acceso a juegos online. Para ello, algunos archivos y entradas de registro son registrados y/o se instala un keylogger. En el último caso no sólo se roban los datos de juegos. Los ataques apuntan principalmente a los juegos populares en Asia.
Sexto puesto: Fraudload La familia Fraudload abarca numerosas variantes de los llamados programas scareware, que se presentan al usuario bajo la apariencia software de seguridad o de herramienta del sistema. Se sugiere a la víctima que el sistema está siendo examinado en busca de infecciones. Para eliminar estas supuestas infecciones se le recomienda urgentemente a la víctima que adquiera la "versión completa" y para ello revele la información de su tarjeta de crédito en una página web especial. La infección tiene lugar generalmente a través de agujeros de seguridad no cerrados del sistema operativo o a través de software de aplicación vulnerable de la víctima. No obstante, también existen métodos de ataque en los que la víctima es atraída a páginas en las que supuestamente se muestran vídeos de contenido erótico o de noticias de actualidad. Para poder visualizar estos supuestos vídeos, la víctima debe instalar un códec especial de vídeo en el que viene oculto el software malicioso. Séptimo puesto: Bifrose El backdoor Bifrose permite a los atacantes el acceso a ordenadores infectados y se conecta a un servidor IRC. Desde allí, el programa malicioso ejecuta las órdenes del atacante. Octavo puesto: Poison El backdoor Poison permite a los atacantes el acceso remoto no autorizado al sistema de la víctima, que posteriormente puede ser utilizado de forma indebida, p.ej. para ataques de sobrecarga distribuidos (DDoS). Noveno puesto: Magania Los troyanos de la familia china Magania están especializados en el robo de datos de cuentas de juego del experto en software taiwanés Gamania. Generalmente, los ejemplares de Magania se distribuyen por correo electrónico que integra un archivo RAR incrustado y varias veces comprimido. Al ejecutar el software malicioso se muestra primeramente una imagen a modo de distracción, mientras que en segundo plano se guardan otros archivos en el sistema. Además, Magania penetra en el Explorador de Internet vía DLL, con lo que puede obtener información de las páginas visitadas en Internet. Décimo puesto: Inject La familia Inject abarca una gran cantidad de troyanos que se incrustan en procesos en ejecución y toman así el control de ese proceso determinado. Esto permite al atacante manipular los procesos incautados como desee, con objetivos maliciosos.
Copyright © 2009 G Data Software AG
7
La familia de gusanos más activa es "Autorun“, con 9.689 variantes y un porcentaje del 1,6%. Los representantes de esa familia utilizan el mecanismo que ejecuta archivos automáticamente al insertar unidades de CD/DVD o al conectar soportes de datos USB. Para ello se copia en el soporte de datos y genera un archivo adecuado llamado autorun.inf. A la vista de la amplia propagación de este programa malicioso conviene desactivar el mecanismo Autorun de Windows. Para que esto funcione realmente, Microsoft ha creado su propio "patch" o parche. Los exploits más comunes aprovechaban la brecha de seguridad WMF y puntos débiles en documentos PDF. La cantidad de archivos PDF maliciosos ha aumentado notablemente en los últimos meses. En este sentido no sólo se utilizan las brechas de seguridad. Los autores de programas maliciosos aprovechan con fruición la posibilidad de ejecutar en los PDF sus productos en código JavaScript.
Plataformas También en el primer semestre de 2009 los autores de programas maliciosos se concentran en ordenadores con SO Windows como primera diana de sus ataques. Con un 99,3% del total, vuelve a aumentar la proporción de programas maliciosos para Windows. Es muy raro encontrar software malicioso para otros sistemas operativos. En los sistemas basados en Unix aparecen 66 programas maliciosos (en comparación con 16 en el segundo semestre de 2009) y para el sistema operativo Apple OSX se encontraron 15 nuevos programas dañinos. En el segundo semestre de 2008 eran 6. Incluso al observarse una tendencia en aumento de los programas maliciosos para otros sistemas operativos, esta cantidad, en comparación con la oleada de programas maliciosos para Windows, es insignificante.
1 2 3 4 5
Plataforma #2009 H1 Win32 659.009 WebScripts 3.301 Scripts 924 MSIL 365 Móvil 106
% 2009 H1 # 2008 H2 % 2008 H2 #2008 H1 99,3% 571.568 99,2% 312.656 0,5% 2.961 0,5% 3.849 0,1% 1.062 0,2% 1.155 0,1% 318 0,1% 252 0,0% 70 0,0% 41
Proporción 98,2% 1,4% 0,3% 0,1% 0,0%
Tabla 3: La 5 plataformas principales durante 2008 y el primer semestre de 2009. Los WebScripts agrupan los programas maliciosos basados en JavaScript, HTML, Flash/Shockwave, PHP o ASP y generalmente puntos débiles a través de navegador de Internet. Los "scripts" son scripts de tipo batch o shell o programas escritos en los lenguajes de programación script VBS, Perl, Python o Ruby. MSIL es un programa malicioso escrito en el código temporal de los programas NET. El concepto "móvil" abarca los programas maliciosos para J2ME, Symbian y Windows CE.
La cantidad de nuevos programas maliciosos para smartphones y ordenadores móviles ha aumentado aprox. la mitad y los elementos maliciosos para terminales móviles han vuelto a conseguir encontrarse en el Top 5. En total han aparecido 106 nuevos elementos maliciosos. Aprox. 90 de estos no tienen su propia rutina de propagación y son utilizados para el envío de SMS a clientes telefónicos que, en su mayoría, residen en Rusia y China. Sólo la familia Yxe se propaga automáticamente vía SMS con enlace a una página web. El archivo que se ofrece allí para su descarga viene firmado por Symbian. Así, la actuación del usuario (que sigue siendo imprescindible) se reduce a un clic.
8
Copyright © 2009 G Data Software AG
G Data Informe enero-junio de 2009 sobre software malicioso
Perspectiva 2009 Los programas maliciosos seguirán constituyendo en los próximos meses una fuente de elevados ingresos. La economía cibercriminal está firmemente afianzada y los modelos de negocio acreditados para spam, spyware y adware siguen llenando las arcas de los creadores, los propagadores y los usuarios de programas maliciosos. Los éxitos ocasionales de las autoridades de control no serán capaces de cambiar esta situación. Los usuarios de Windows seguirán estando en la mira de los ciberdelincuentes. La oleada de programas maliciosos sigue creciendo. Pero también es previsible que un número cada vez menor de familias sea responsable de este aumento. Las tasas de crecimiento no seguirán un desarrollo tan abrupto como el de los últimos años. Vista la profesionalidad de la economía en la sombra, no es sorprendente que las brechas de seguridad en el sistema operativo y en conocidas aplicaciones ya sean utilizadas por programas maliciosos a los pocos días de su publicación. En un intervalo muy breve estarán disponibles para usuarios inexpertos unas herramientas de fácil operación para crear programas maliciosos. El elemento más débil de la cadena es, actualmente, el navegador y sus componentes. Aquí se encuentra y se utiliza la mayoría de los agujeros de seguridad. Los que no mantengan su ordenador actualizado ofrecerán un amplio frente inerme a los ataques de los programas maliciosos. No obstante, también se sigue experimentando en otras plataformas. Aumentará el número de programas maliciosos para Appel, Unix y los ordenadores portátiles. Pero no se espera un uso desmesurado de estos programas. Como muchas puertas de entrada de programas maliciosos están protegidas mediante tecnologías de seguridad, los atacantes prefieren actuar en los lugares más desprotegidos. Las páginas web con sus numerosas aplicaciones ofrecen en la actualidad las mejores perspectivas de éxito. Por tanto, es de esperar que este área sea utilizada también durante los próximos meses con escenarios de ataque cada vez más novedosos y sofisticados. Aquí podrían utilizarse en mayor medida medios subestimados hasta el momento, como flash o PDF. También aumentará seguramente el abanico de trucos que los estafadores usan para engañar a los usuarios de Internet al visitar una página web o ejecutar archivos. Sobre todo en las redes sociales prevemos nuevas maniobras de engaño. Twitter ofrece aquí en la actualidad la mayoría de las posibilidades.
Pronósticos Categoría Caballos troyanos Backdoors Descargadores/Droppers Spyware o programas espía Adware Virus/gusanos Herramientas
Copyright © 2009 G Data Software AG
Tendencia
Categoría Rootkits Exploits Win32 WebScripts Scripts MSIL Móvil
Tendencia
9
Eventos y tendencias durante el primer semestre de 2009 A continuación exponemos cronológicamente los principales acontecimientos en torno a los programas maliciosos. Destaca sobre todo Confi cker, que en los primeros meses del año gozó de una gran notoriedad. También son notables las numerosas incidencias en las redes sociales más populares entre los usuarios, como Twitter, Linkedln, MySpace y Facebook. Los diseñadores de programas maliciosos se percatan al instante de estas tendencias y aprovechan las oportunidades. Aparte de los incidentes aislados, también otras tendencias indican que las redes sociales ganan atractivo. Antes, el fraude informático (phishing) prácticamente se dedicaba en exclusividad a bancos y a eBay, pero en el último semestre Google y las redes sociales Facebook, Sulake y MySpace han accedido de forma constante a la lista de las 10 primeras dianas del phishing. Desde hace algún tiempo, las redes sociales sirven de fuente de información a los cibercriminales para preparar sus ataques específi cos y spam personalizado. Las redes sociales son un medio cada vez más popular, también para los creadores de programas maliciosos. Este hecho es avalado, en particular, por la creación del gusano koobface. Este gusano, como su nombre indica, estaba concentrado como plataforma de distribución para Facebook y poco más tarde, se trasladó a MySpace y, de este modo, la lista se ha ampliado en los últimos años a las redes sociales como hi5.com, friendster.com, myyearbook.com, bebo.com, tagged.com, netlog.com, fubar.com y livejournal.com. Los enlaces confi gurados allí remiten a páginas web en las que, según una rutina de engaño sobradamente conocida, pueden probarse las demos de programas "antivirus de pega" o la "descarga de codec/fl ash". Koobface, no obstante, se expande también en términos cuantitativos, como indica la siguiente tabla. En junio se ha multiplicado por 10 el número de variantes. Mes Enero 09 # Variantes de Koobface 18
Feb 09 14
Mar 09 23
Abr 09 50
May 09 56
Jun 09 541
Tabla 4: Número de variantes de koobface durante el primer semestre de 2009
En los próximos meses contamos con que el número de programas maliciosos en redes sociales va a crecer. Con el aumento de usuarios aumenta también el atractivo para los difusores de programas maliciosos.
Enero de 2009 05.01. Los usuarios del microblog Twitter son atraídos mediante mensajes cortos específi cos a una página de registro fraudulenta de ese servicio para robarles allí los datos de acceso para futuras campañas de spam. 06.01. Twitter advierte: "Numerosas cuentas hackeadas. Situación estable”. Los afectados han sido, entre otros, las cuentas de Britney Spears y Barack Obama. En algunos casos, se enviaron mensajes picantes en nombre de las víctimas.
10
Copyright © 2009 G Data Software AG
G Data Informe enero-junio de 2009 sobre software malicioso
07.01. En la página de red social LinkedIn se colgaron falsos perfiles de famosos. Estos perfiles contenían enlaces que remitían a antivirus fraudulentos o a una versión de Windows Media Player infectada con un troyano. Personajes famosos víctimas de estos actos: Victoria Beckham, Beyoncé Knowles, Salma Hayek y un largo etcetera. 08.01. En el Gobierno Federal del Land Austriaco de Carintia 3000 ordenadores fueron infectados con el virus Conficker. Esto se debió a que la actualización de seguridad publicada por Microsoft en octubre de 2008, creada con el fin de cerrar una brecha de seguridad utilizada por Conficker, no se había ejecutado hasta el momento. 12.01. Conficker ataca en Carintia una vez más, esta vez en los hospitales de la Sociedad de Sanidad Pública de Carintia, KABEG. De nuevo hay unos 3000 ordenadores afectados. 14.01. Las estimaciones parten de 2,5 millones de infecciones con Conficker. Por primera vez se conoce que Conficker genera permanentemente nombres de dominio mediante un algoritmo especial, con los que se establece contacto conforme al principio aleatorio. El objetivo: Los atacantes han registrado previamente muchos de los dominios aleatorios y pueden utilizarlos para cargar posteriormente otro código malicioso o para proporcionar más instrucciones a los ordenadores infectados. 21.01. La epidemia Conficker sigue su ofensiva contra todos: Una gran parte de las autoridades militares británicas resulta afectada. 23.01. Una copia con troyano incluido del software de diseño y presentación de Apple, iWork 09, circula por la red BitTorrent. Se calcula que unos 20.000 usuarios habrán descargado la copia distribuida desde comienzos de mes. 25.01. La plataforma de búsqueda de empleo monster.com declara haber sido víctima de un robo de datos. Los "ataques no autorizados" a la base de datos de la empresa han tenido como consecuencia el robo de los datos de acceso, los nombres, los números de teléfono y las direcciones de correo electrónico, así como algunos datos demográficos de los usuarios.
Febrero de 2009 01.02. Un agujero de seguridad permite poner fuera de servicio el control de cuentas del usuario (UAC en inglés) de la versión beta de Windows 7 mediante un sencillo script. De este modo, los atacantes están en disposición de insertar otros programas de software malicioso en el sistema operativo sin que nadie se percate de ello. 02.02. Los atacantes manipulan la presencia en Internet del periódico Hamburger Abendblatt para infectar con software malicioso a los lectores de las noticias online. 04.02. Una página de registro fraudulenta de la red social wer-kennt-wen.de perteneciente a la cadena alemana RTL captura los datos de acceso de sus usuarios. 08.02. Mediante un ataque Denial-of-Service distribuido a destinatarios específicos se paralizan temporalmente diversas páginas web de seguridad, como Metasploit, Milw0rm o Packetstorm. 10.02. Tan sólo dos días tras el primer ataque, la presencia en Internet del proyecto Metasploit vuelve a situarse en el punto de mira de un ataque de tipo DDoS. Los atacantes varían la estrategia ofensiva varias veces.
Copyright © 2009 G Data Software AG
11
11.02. A través de un agujero de seguridad en el Sistema de Administración de Contenidos Typo 3 algunos días antes se manipulan varias páginas web alemanas que aún no habían ejecutado la actualización de seguridad correspondiente. Resultaron afectadas, por ejemplo, las páginas web del club de fútbol FC Schalke 04, en las que se informa sobre el despido de Kevin Kuranyi o la página web del político alemán Wolfgang Schäuble en la que se coloca un enlace relativo al archivado de datos reservados.
12.02. Microsoft publica una recompensa de 250.000 dólares por la captura y penalización del autor del gusano Conficker. Al mismo tiempo, el fabricante de software anuncia la colaboración estrecha con el ICANN y las empresas de los principales servidores DNS para atajar esta infección en plena fase de expansión. 14.02. Varios cientos de ordenadores del Ministerio de Defensa alemán caen presa del Conficker. 17.02. Debido a una confi guración errónea del router en un proveedor de Internet checo se pone gravemente en peligro la estabilidad de la transferencia de datos en algunas partes de la Internet mundial. 23.02. Los investigadores de programas maliciosos analizan las variantes B y B++ del gusano Confi cker y determinan que éstas, por su estructura modular, son capaces de actuar con mucha mayor fl exibilidad que la variante A original. 25.02. Con ayuda de banners fl ash preparados, los atacantes distribuyen a través de la página web de la revista online eWeek y de otras páginas de Internet de la red Ziff -Davis, documentos PDF que instalan un software antivirus fraudulento en los ordenadores de las víctimas.
12
Copyright © 2009 G Data Software AG
G Data Informe enero-junio de 2009 sobre software malicioso
Marzo de 2009 01.03. Los investigadores de programas maliciosos descifran el algoritmo utilizado por Conficker para generar nombres de dominio de un servidor de control. Este genera también nombres ya utilizados. Durante el mes de marzo, los dominios legítimos jogli.com (buscador especializado en música), wnsux.com (compañía aérea Southwest-Airlines), qhfl h.com (red de mujeres china) y praat.org (análisis de audio) son atacados mediante intentos de conexión desde ordenadores Confi cker. 04.03. Un equipo de especialistas del LKA Baden-Württemberg paraliza las actividades de la plataforma de venta ilegal codesoft.cc, en la que se ponen a la venta troyanos e información ilegal sobre el robo de datos y la falsifi cación de tarjetas de crédito.
09.03. Conficker utiliza un nuevo algoritmo, que en lugar de 250 dominios, ahora calcula 50.000 dominios al día. Además, en los ordenadores infectados fi nalizan procesos que contienen determinadas cadenas de caracteres relacionadas con las herramientas de análisis especializadas para combatir el gusano. Este elemento malicioso se defi ende así activamente contra las medidas para atajar la epidemia. 12.03. Las investigaciones realizadas por la BBC británica permiten la toma el control de una botnet que posee aprox. 22.000 ordenadores. Como surgen críticas a la BBC a raíz de este suceso, ésta declara que las investigaciones van en interés público y, por lo tanto, cumplen las Directivas de las Autoridades de Vigilancia de Medios británicas OFCOM. La cuestión de si para tomar la botnet fue necesario pagar un rescate permanece sin respuesta por Copyright © 2009 G Data Software AG
13
parte de la BBC. 17.03. Utilizando el dominio verosímil dhl-packstation.info, los criminales de Internet remiten a los usuarios de Packstation, durante una campaña de phishing, a una página web de registro fraudulenta, para robarles sus datos de acceso. 23.03. Los router DSL del tipo Netcomm NB5 son manipulables sin contraseña a través de la interfaz de Internet y al acceso SSH, debido a su firmware anticuado y constituyen una botnet llamada Psybot, cuyo tamaño se estima de 80.000 a 100.000 routers infectados. 30.03. Según información de expertos, Conficker comenzará el 1 de abril a buscar actualizaciones de los innumerables dominios generados por su algoritmo. Nadie puede afirmar en ese momento lo que vaya a pasar durante la toma de contacto. 31.03. El gran interés mediático en Conficker pone en movimiento a otros oportunistas, que, con métodos manipuladores, posicionan en las listas de aciertos del buscador Google determinadas páginas web con supuestas herramientas de desinfección. Estas herramientas presentadas como útiles y valiosas, son, en realidad, puro scareware, es decir, software antivirus falso, que sugiere a la víctima que su ordenador está infectado para, posteriormente, sustraerle la información de su tarjeta de crédito.
Abril de 2009 01.04. Los intentos de actualización esperados de Conficker caen en saco roto. Parece que los sistemas infectados establecen realmente el contacto esperado con determinados dominios, pero, en ese momento, aún no hay allí actualizaciones disponibles. 09.04. Contra lo que se esperaba en un principio,Conficker no carga las actualizaciones a través de los nombres de dominio generados por un algoritmo. En lugar de ello, recurre a un mecanismo alternativo P2P y se comunica directamente con otros sistemas infectados. La nueva variante bloquea el acceso a determinadas páginas web de empresas de antivirus, para dificultar el acceso a herramientas de eliminación especializadas. 12.04. Conficker carga el scareware "SpywareProtect2009“ desde un servidor ucraniano, que lanza advertencias de virus falsos supuestamente existentes en el ordenador de la víctima. Para eliminar los programas maliciosos de los que se advierte (e inexistentes, en realidad) el usuario infectado debe abonar 49,95 dólares USA. 18.04. Los expertos en seguridad descubren indicios de una primera red de bots compuesta de ordenadores Apple. Por lo que parece, existe una relación entre las versiones infectadas por troyanos del iWork 09 de Apple, aparecidas a comienzos de año en la plataforma de intercambio BitTorent. Además se afirma que circula igualmente una versión con troyano incluido de Adobe Photoshop CS4. 22.04. Se detecta la mayor botnet jamás descubierta en el mundo. Contiene casi dos millones de PCs zombi infectados. Se sospecha que es operada por una banda de tan sólo seis personas que gestionan en Ucrania el correspondiente servidor Command & Control. 23.04. En la Internet rusa aparece un troyano que bloquea el acceso del usuario a su PC con Windows y le exige el pago de un rescate para desbloquearlo. Los usuarios afectados deben enviar un SMS a un número privado sumamente caro y reciben a continuación un código de desbloqueo. 14
Copyright © 2009 G Data Software AG
G Data Informe enero-junio de 2009 sobre software malicioso
Mayo de 2009 07.05. Un estudio de la multinacional de telecomunicaciones BT descubre que los discos duros de ocasión, a menudo no se borran totalmente antes de su venta a terceros y que, a veces, pueden contener datos sumamente confi denciales. Al realizar una prueba de compra de 300 discos duros usados se encontró, entre otros datos, información confi dencial sobre pruebas de un sistema de defensa de cohetes norteamericano, así como fotocalco azul de la empresa de equipamiento norteamericana Lockheed Martin. 08.05. Según un informe de la autoridad de vigilancia aérea de los Estados Unidos, la FAA, en los últimos años ha ocurrido varias veces la penetración de hackers en sistemas de vigilancia aérea. Esta plaga abarca desde el acceso ilegal a casi 50.000 registros de datos personales de empleados de la FAA hasta la posibilidad de desconectar la alimentación eléctrica de importantes servidores. 09.05. Paquetes de instalación falsos de una supuesta versión de Windows 7 contienen un troyano que se activa durante la confi guración. 24.05. La Policía Criminal Alemana advierte del envío de correos electrónicos falsifi cados en su nombre que requieren al destinatario el pago de una multa debido a una supuesta denuncia policial por descarga ilegal de películas, software y archivos MP3.
30.05. Mediante un informe de la revista InformationWeek se conoce que activistas turcos han capturado varios servidores de Internet del Ejército de los Estados Unidos. Los accesos a las páginas web en cuestión se desviaban a otras páginas web en las que se encontraban consignas políticas.
Junio de 2009 03.06. Más de diez mil páginas web legítimas son víctimas de un ataque de hackers en masa. Los visitantes de las páginas web manipuladas son reenviados a un servidor ucraniano que distribuye exploits para Internet Explorer, Firefox y Quicktime. Copyright © 2009 G Data Software AG
15
05.06. El proveedor de servicios de Internet californiano Pricewert LLC, que también actúa bajo los alias de 3FN y APS Telecom es retirado de la red por presiones de las autoridades de vigilancia comercial FTC. Además de alojar servidores de tipo Command & Control para controlar más de 4500 programas espía, la empresa reclutaba presuntamente de forma activa a criminales y obstruía de forma selectiva la prosecución de contenidos ilegales. A diferencia del importante cierre de McColo en noviembre de 2008, esta campaña sólo tendrá una repercusión mínima en el envío de spam y programas maliciosos. 09.06. Unos desconocidos se infiltran en los sistemas del servidor web británico VAserv y manipulan o borran datos de más de 100.000 páginas web alojadas allí. 17.06. Aprox. 2,2 millones de URL del Servicio de Abreviaturas de URL cli.gs son manipuladas y reenviadas a otro destino. 24.06. El pentágono crea un comando de ciberguerra por orden del Ministro de Defensa de los Estados Unidos, capaz de hacer frente a ofensivas bélicas contra el entorno de seguridad global. 25.06. La Fiscalía de Hannover abre sumario a la empresa que gestiona la página web megadownloads.net por fraude en masa a usuarios informáticos y congela durante el proceso de investigación, entre otros, cuentas de empresa por valor de casi un millón de euros. Según estimaciones de agencias del consumidor, al mes se estafaba a casi 20.000 usuarios mediante abonos fraudulentos.
16
Copyright © 2009 G Data Software AG
Go safe. Go safer. G Data.