Panorama de la situación
Programas maliciosos para dispositivos móviles
En comparación con el trimestre anterior, en el segundo trimestre de 2012 prácticamente se ha triplicado la cantidad de troyanos para Android. En estos tres meses hemos agregado a nuestra colección más de 14.900 programas maliciosos.Cantidad de modificaciones de malware detectadas para Android OS
Casi la mitad (49%) de los ficheros maliciosos procesados por Kaspersky Lab en el segundo trimestre de 2012 son diversos troyanos multifuncionales, que roban datos del teléfono (nombres, contactos, direcciones, números telefónicos, etc.), y también pueden descargar módulos adicionales desde los servidores de los delincuentes.
Una cuarta parte de los programas maliciosos para Android detectados son troyanos SMS. Estos programas maliciosos vacían las cuentas de las víctimas, enviando SMS a números de pago sin que los dueños se den cuenta. Hace un par de años estos programas se podían encontrar sólo en las repúblicas de la ex URSS, en el Sureste Asiático y en China, pero ahora se han extendido por todo el mundo: en el segundo trimestre de 2012 hemos defendido contra SMS nocivos a los usuarios de 47 países.
El 18% de los programas maliciosos para Android detectados en el segundo trimestre son backdoors que les dan a los delincuentes el control total del dispositivo móvil. En estos programas se basan las botnets móviles.
Distribución por comportamiento de los programas maliciosos para Android descubiertos en el segundo trimestre
En junio los expertos de Kaspersky Lab detectaron una nueva versión de un programa malicioso móvil que roba los SMS entrantes. El programa se hacía pasar por Android Security Suite Premium. Sin embargo, este troyano se caracteriza por otra razón: todos los servidores de administración de este programa malicioso estaban registrados a nombre de una sola persona. Por supuesto, los datos de registro eran falsos, pero eran los mismos usados para registrar varios de los dominios de administración de Zbot (ZeuS). De esto se puede concluir que el robo de SMS se hace con la intención de recibir los códigos de autorización de transacciones bancarias y que el programa malicioso pertenece a la familia Trojan-Spy.AndroidOS.Zitmo.
Programas maliciosos para Mac
En comparación con el primer trimestre de 2012, ha disminuido la cantidad de programas maliciosos para Mac: en nuestra base antivirus se agregaron identikits que detectan 50 programas maliciosos para Mac OS X.Después de que el trimestre pasado descubriéramos la botnet FlashFake, conformada por más de 700.000 Mаcs, la compañía Apple puso más empeño en las cuestiones de seguridad de su sistema operativo. Por ejemplo, publicó los parches críticos para Oracle Java al mismo tiempo que las versiones para Windows y anunció las funciones de defensa de la siguiente versión de Mac OS X: sólo se podrán instalar de forma predeterminada programas de la tienda oficial, se usará una máquina virtual para los programas descargados de la tienda, la instalación de las actualizaciones será automática, etc.
Cantidad de nuevos identikits para Mac OS X agregados a las bases antivirus de Kaspersky Lab.
Segundo trimestre de 2012
El backdoor cumple varias funciones, y en particular, permite copiar ficheros desde el equipo infectado. Los datos de la configuración de los servidores de administración están cifrados con un método bastante sencillo, por lo que se pudo establecer que el servidor de administración se encuentra en China.
Los productos de la compañía Apple son populares entre muchos políticos influyentes y la información que guardan sus ordenadores representa interés para determinada categoría de delincuentes. Esto significa que continuarán los ataques APT dirigidos contra los usuarios de Mac. La evolución de los ataques con blanco específico puede seguir el camino de los programas maliciosos para varias plataformas, que tendrán un código parecido y funcionarán en los sistemas operativos más difundidos.
La fuga de datos de LinkedIn y las contraseñas
En el segundo trimestre, varios servicios online estuvieron en los titulares debido al robo de la base de contraseñas. Una de las más notorias fue la noticia de que parte de la base (6,5 millones de contraseñas) de la popular red social LinkedIn se había hecho pública. El 6 de junio, después de la publicación de esta información, la compañía confirmó el robo y declaró que gracias a las medidas tomadas de inmediato, las contraseñas publicadas habían sido anuladas y que los usuarios deberían crear nuevas contraseñas.Por desgracia, en el momento de publicación de esta declaración, más de la mitad de las contraseñas ya habían sido extraídas. ¿Por qué tan rápido? Es que LinkedIn, por algún motivo, almacenaba los hashs sin la línea de caracteres aleatorios (“sal”) que se agrega a la contraseña inicial antes de efectuar el hash. Como no se usaba esta tecnología, se descifraron los hashes SHA-1 con mucha rapidez, usando hashs previamente calculados de populares diccionarios de contraseñas. Tanta celeridad en el descifrado de las contraseñas también fue posible porque las contraseñas de la mitad de los usuarios eran muy simples y no hizo falta mucho esfuerzo para descifrarlas. Después del incidente, LinkedIn anunció que ahora se usa hash y “sal” para almacenar las contraseñas.
Para evitar convertirse en víctima de estos ataques, los usuarios deben en primer lugar usar contraseñas largas y complejas, que sean difíciles de averiguar usando diccionarios. Tampoco hay que olvidar que usar una sola contraseña en diferentes servicios aumenta notablemente los posibles daños en caso de que la roben.
A los administradores de sitios web les aconsejamos que para guardar contraseñas usen por lo menos hash y “sal”. No obstante, el uso de algoritmos rápidos de hashing (por ejemplo, SHA-1 ó MD5) y de “sal” puede no impedir su desciframiento, si se toma en cuenta la potencia que ofrecen los GPU modernos. Una solución más efectiva es el uso de algoritmos com PBKDF2 (Password-Based Key Derivation Function 2) o bcrypt, que no solo usan “sal” de forma predeterminada, sino que también hacen más lento el proceso de desciframiento.
Flame, la continuación de la historia de espionaje cibernético
El suceso más notable relacionado con el espionaje cibernético ha sido el descubrimiento del gusano Flame.Kaspersky Lab, por petición de Unión Internacional de Telecomunicaciones, ha llevado a cabo la investigación y búsqueda del programa malicioso desconocido que borraba datos confidenciales en los equipos ubicados en los países del Oriente Próximo. Durante la búsqueda, detectamos un nuevo ejemplar de malware, que bautizamos Worm.Win32.Flame.
A pesar de que Flame tiene funcionalidades diferentes a las de los tristemente conocidos ejemplares de armamento cibernético Duqu y Stuxnet, hay muchas semejanzas entre estos programas maliciosos: la geografía de los ataques, la orientación hacia blancos concretos y el uso de vulnerabilidades específicas de software. Todo esto pone a Flame en la misma categoría de otras armas cibernéticas desplegadas en el Oriente Próximo por delincuentes desconocidos.
Flame es mucho más complicado que Duqu y está compuesto de un complicadísimo conjunto de instrumentos para realizar ataques. El tamaño del programa malicioso es de casi 20 megabytes. Es un programa troyano-puerta trasera que también tiene rasgos propios de gusanos: puede propagarse por redes locales y mediante medios extraíbles cuando recibe la orden de su dueño. El método de propagación de Flame más peligroso es cuando se reproduce en una red local ya infectada, disfrazándose de actualizaciones de Windows. Además, el código venía firmado por un certificado originalmente expedido por la compañía Microsoft. Microsoft detectó el uso ilegítimo de la firma digital y anuló el certificado. La compañía publicó de inmediato una notificación sobre la amenaza (security advisory) y publicó la actualización KB2718704.
Flame roba diferentes tipos de información en los ordenadores ubicados en el Oriente Próximo (Irán, Sudán, Siria, etc), como ficheros de vídeo, audio y ficheros de AutoCAD.
Hoy en día Flame es una de las amenazas cibernéticas más complejas. El programa tiene un gran tamaño y una estructura increíblemente compleja, que muestra muy bien cómo se pueden realizar las operaciones de espionaje en el siglo XXI.
Estadística
Todos los datos estadísticos usados en el informe se han obtenido mediante la red antivirus distribuida Kaspersky Security Network (KSN), como resultado del funcionamiento de los diferentes componentes de protección contra los programas maliciosos. Los datos se obtuvieron en los equipos de los usuarios de KSN que confirmaron su consentimiento en enviarlos. En el intercambio global de información sobre las actividades maliciosas toman parte millones de usuarios de los productos de Kaspersky Lab de 213 países del mundo.Las amenazas en Internet
Los datos estadísticos citados en esta sección se han recibido del funcionamiento del antivirus web que protege a los usuarios cuando se descargan códigos maliciosos de páginas web infectadas. Pueden estar infectados sitios creados por los delincuentes con este fin, páginas web cuyo contenido lo crean los usuarios (por ejemplo, los foros) y páginas legítimas hackeadas.Objetos detectados en Internet
En el segundo trimestre de 2012 se rechazaron 434.143.004 ataques realizados desde recursos de Internet ubicados en diferentes países. En estos incidentes se pudo registrar 145.007 diferentes programas nocivos y potencialmente indeseables.TOP 20 de objetos detectados en Internet
Lugar | Nombre* | % del total de ataques* |
1 | URL maliciosas | 85,8% |
2 | Trojan.Script.Iframer | 3,9% |
3 | Trojan.Script.Generic | 2,7% |
4 | Exploit.Script.Blocker | 0,6% |
5 | Trojan.JS.Popupper.aw | 0,4% |
6 | Trojan.Win32.Generic | 0,4% |
7 | Trojan-Downloader.JS.Iframe.cxk | 0,3% |
8 | Trojan-Downloader.JS.Expack.sn | 0,2% |
9 | Exploit.Script.Generic | 0,2% |
10 | Trojan-Downloader.Script.Generic | 0,2% |
11 | Trojan-Downloader.JS.Agent.gqu | 0,2% |
12 | Trojan-Downloader.Win32.Generic | 0,2% |
13 | Hoax.HTML.FraudLoad.h | 0,1% |
14 | Trojan-Downloader.SWF.FameGake.a | 0,1% |
15 | Trojan.JS.Iframe.aaw | 0,1% |
16 | Trojan.JS.Agent.bxw | 0,1% |
17 | AdWare.Win32.IBryte.x | 0,1% |
18 | AdWare.Win32.ScreenSaver.i | 0,1% |
19 | Trojan-Downloader.JS.Agent.grd | 0,1% |
20 | Trojan-Downloader.JS.JScript.ag | 0,1% |
* Veredictos de detección del módulo antivirus para la web. Información prestada por los usuarios de productos de Kaspersky Lab que han dado su consentimiento para el envío de datos estadísticos.
** Porcentaje del total de ataques web registrados en los equipos de usuarios únicos
El primer lugar de la estadística siempre lo ocupan los enlaces maliciosos de la lista negra. En comparación con el trimestre anterior, su cantidad ha crecido en un 1,5% y constituyen el 85,8% del total de detecciones. En esta lista se enumeran en primer lugar los sitios a los que se remite a los usuarios. Recordamos que lo más frecuente es que los usuarios lleguen a los sitios maliciosos desde sitios legítimos que tienen incrustados scripts maliciosos (ataques drive-by). Además, los usuarios mismos siguen enlaces peligrosos, por ejemplo, al buscar contenidos piratas. Una importante cantidad de los URLs maliciosos detectados siguen perteneciendo a sitios que tienen paquetes de exploits.
13 posiciones de la estadística la ocupan programas maliciosos que explotan las brechas del software y que se usan para enviar programas maliciosos al ordenador del usuario. Dos de ellos se descubrieron mediante métodos heurísticos: Exploit.Script.Blocker y Exploit.Script.Generic.
Sigue disminuyendo en la estadística la cantidad de programas publicitarios detectados como AdWare: en el segundo trimestre había sólo dos. Estos programas funcionan como expansiones para navegadores: agregan un nuevo panel de búsqueda y modifican la página de inicio. En realidad, son programas legales que los creadores pagan dinero a los socios que los difunden por cada instalación. Pero hay distribuidores que quieren recibir dinero sin pedirle al usuario su consentimiento para instalarlos.
Aplicaciones en las que los delincuentes usan vulnerabilidades
La mayoría de los ataques mediante Internet se hacen mediante exploits que usan los errores del software para que la ejecución del programa malicioso pase inadvertida para el usuario.Pero ¿qué aplicaciones usan con más frecuencia los exploits? Vemos la respuesta en el siguiente diagrama: Adobe Flash Player, Java, Android Root y Adobe Flash Player. Lo primero que los usuarios deben hacer es actualizar estos programas y, aún mejor, organizar su actualización automática.
Aplicaciones cuyas vulnerabilidades fueron usadas por los exploits web
Segundo trimestre de 2012
Países en cuyos recursos se hospedan programas nocivos
Para determinar la fuente geográfica de los ataques se usó el método de yuxtaponer el nombre de dominio a la dirección IP real, en la cual se encuentra este dominio, y determinar la ubicación geográfica de esta dirección IP (GEOIP).En el segundo trimestre de 2012, el 85% de los recursos web (un 1% más que en el trimestre anterior) usados para propagar programas maliciosos se ubicó en diez países.
Distribución por países de recursos web que contienen programas maliciosos.
Segundo trimestre de 2011
Países en los cuales los usuarios estuvieron bajo mayor riesgo de infección mediante Internet
Para evaluar el grado de riesgo de infección mediante Internet al que están sometidos los ordenadores de los usuarios en diferentes países, hemos calculado para cada país la frecuencia de las reacciones del antivirus web durante el trimestre.20 países donde los usuarios están bajo mayor riesgo de infectarse mediante Internet*. Segundo trimestre de 2012
**Porcentaje de usuarios únicos que fueron víctimas de ataques web, de entre todos los usuarios únicos de los productos de Kaspersky Lab en el país.
En el TOP 20 prevalecen los países de la ex URSS, además de los de África y el Sureste Asiático.
Todos los países se pueden dividir en varios grupos.
- Grupo de riesgo alto. En este grupo, con un resultado del 41-60% ingresaron 18 países, como Rusia (59,5%), Kazajstán (54%), Ucrania (47,3%), India (48%), Indonesia (42,2%) y Malasia (41,8%).
- Grupo de riesgo. En este grupo ingresaron, con coeficientes del 21% al 40% ,103 países, entre ellos España (37,8%), Italia (34,8%), Canadá (36%), EE.UU. (35,7%) e Inglaterra (31,6%).
- Grupo de los países más seguros para navegar en Internet. En este grupo hay 16 países con índices del 12,3 al 20%.
Riesgo que corren los ordenadores de infectarse mediante Internet en diferentes países.
Segundo trimestre de 2012
Amenazas locales
Aquí analizaremos los datos estadísticos obtenidos gracias al funcionamiento del módulo antivirus, que analiza los ficheros en el disco duro durante su creación o cuando se los lee, y la estadística del análisis de diferentes memorias extraíbles.Objetos detectables encontrados en los ordenadores de los usuarios
En el segundo trimestre de 2012 nuestras soluciones antivirus bloquearon con éxito 1.041.194.194 intentos de infección local en los equipos de los usuarios participantes en Kaspersky Security Network.En total, durante los intentos de ejecutarse en los ordenadores de los usuarios el scanner online detectó 383.667 modificaciones únicas de programas maliciosos y potencialmente peligrosos.
Programas maliciosos detectados en los ordenadores de los usuarios: Top 20
Lugar | Nombre | % de usuarios atacados** |
1 | Trojan.Win32.AutoRun.gen | 17,8% |
2 | Trojan.Win32.Generic | 17,4% |
3 | DangerousObject.Multi.Generic | 16,1% |
4 | Trojan.Win32.Starter.yy | 7,4% |
5 | Virus.Win32.Sality.bh | 6,7% |
6 | Virus.Win32.Virut.ce | 5,4% |
7 | Net-Worm.Win32.Kido.ih | 5,1% |
8 | Virus.Win32.Sality.aa | 4,2% |
9 | HiddenObject.Multi.Generic | 3,6% |
10 | Virus.Win32.Nimnul.a | 3,1% |
11 | Trojan.WinLNK.Runner.bl | 2,2% |
12 | Worm.Win32.AutoRun.hxw | 2,0% |
13 | Trojan.Win32.Hosts2.gen | 1,4% |
14 | Virus.Win32.Sality.ag | 1,4% |
15 | Worm.Win32.Mabezat.b | 1,0% |
16 | AdWare.Win32.GoonSearch.b | 0,8% |
17 | AdWare.Win32.BHO.aqbp | 0,7% |
18 | Trojan-Dropper.Script.Generic | 0,5% |
19 | AdWare.Win32.HotBar.dh | 0,3% |
20 | Trojan-Downloader.WMA.Wimad.ag | 0,3% |
Esta estadística contiene los veredictos de detección los módulos OAS y ODS del antivirus, enviados por los usuarios de los productos de Kaspersky Lab que dieron su consentimiento para el envío de datos estadísticos.
*Porcentaje de usuarios únicos en cuyos equipos el antivirus detectó este objeto, de entre todos los usuarios únicos de los productos de Kaspersky Lab en cuyos equipos hubo reacciones del antivirus.
El primer lugar de la estadística, con un índice del 17,8%, lo ocupa la renovada detección de programas maliciosos propagados mediante memorias extraíbles, sobre todo memorias flash. La aparición de este veredicto en el primer puesto es un indicio de que la cantidad de memorias extraíbles en las que se han descubierto huellas de programas maliciosos es muy grande.
El segundo puesto de la estadística lo ocupa el veredicto del analizador heurístico cuando hace la detección proactiva de un grupo de programas maliciosos, Trojan.Win32.Generic (17,4%).
Los programas maliciosos detectados mediante tecnologías “en la nube” (16,1%) han bajado del primer al tercer puesto. Estas tecnologías funcionan cuando en las bases antivirus todavía no existen firmas ni heurísticas que detecten el programa malicioso, pero la compañía antivirus ya tiene información sobre el objeto "en la nube". En estos casos, se asigna al objeto detectado el nombre DangerousObject.Multi.Generic.
Los puestos 16, 17 y 20 los ocupan programas de publicidad. Aquí ha aparecido una novedad, la familia AdWare.Win32.GoonSearch (0,8%). Estos programas son plugins para Internet Explorer, pero se han dado casos de su aparición en los ordenadores de los usuarios sin el consentimiento de los usuarios, y en los que se han ofrecido resistencia a los antivirus.
Net-Worm.Win32.Kido (5,1%) sigue perdiendo posiciones en la estadística. Al mismo tiempo, ha aparecido otro representante de los infectores de ficheros: en el segundo trimestre, además de los virus Virus.Win32.Sality.bh, Virus.Win32.Sality.аа, Virus.Win32.Nimnul.a y Trojan.Win32.Starter.yy, ha aparecido en la estadística el famoso Virus.Win32.Virut.ce (5,4%), que usa los equipos infectados para crear una gran botnet que propaga otros programas maliciosos.
Países en los cuales los usuarios estuvieron bajo mayor riesgo de infección local
Las cifras obtenidas reflejan la media de equipos infectados en uno u otro país. En el 36,5% de los ordenadores de los usuarios de KSN que nos envían información, se ha encontrado un fichero malicioso (en el ordenador o en la memoria extraíble conectada al mismo) por lo menos una vez, un 5,7% menos que en el trimestre pasado.TOP 20: porcentaje de ordenadores de los usuarios en los que se detectaron programas maliciosos, del total de los usuarios de Kaspersky Lab en el país*. Segundo trimestre de 2012
**Porcentaje de usuarios únicos en cuyos ordenadores se detectaron amenazas locales, de entre la cantidad total de usuarios de productos de Kaspersky Lab en el país.
El primer TOP 20 lo conforman casi en su totalidad países de África y del Sureste Asiático. En Bangladesh nuestros productos se han topado con programas maliciosos en el 98% de los ordenadores en los cuales están instalados.
En lo que atañe a las infecciones locales, podemos agrupar todos los países según su nivel de infección:
- Nivel máximo de infección (más del 60%). Son 20 países, sobre todo de la región asiática (India, Vietnam, Mongolia y otros), del Próximo Oriente (Irak, Afganistán) y África (Sudán, Angola, Nigeria, Camerún y otros.).
- Nivel de infección alto 41-60%. 51 países, entre ellos Indonesia (58,3%), Kazajstán (46,1%), China (43,9%), Ecuador (43,8%), Rusia (42,6%) y los Emiratos Unidos (42,3%).
- Nivel de infección medio 21-40%. 43 países, entre ellos Turquía, México, Israel, Letonia, Portugal, Italia, EE.UU., Australia y Francia.
- Nivel de infección mínimo: 23 países, entre ellos Canadá, Nueva Zelanda, Puerto Rico; 13 países europeos (entre ellos Noruega, Finlandia, Holanda, Irlanda, Alemania, Estonia), además de Japón y Hong Kong.
Riesgo de infección local que corren los equipos en diferentes países.
Segundo trimestre de 2012
Lugar | País | % de usuarios únicos |
1 | Dinamarca | 12,0 |
2 | Reunión | 13,4 |
3 | República Checa | 13,6 |
4 | Japón | 14,6 |
5 | Luxemburgo | 15,0 |
6 | Suecia | 15,0 |
7 | Suiza | 16,2 |
8 | Finlandia | 16,3 |
9 | Alemania | 17,2 |
10 | Holanda | 17,7 |
Vulnerabilidades
En el segundo trimestre de 2012 hemos detectado en los ordenadores de los usuarios 31.687.277 aplicaciones y ficheros vulnerables. En término medio, en cada ordenador vulnerable hemos detectado cerca de 9 diferentes vulnerabilidades.El único novato de la estadística es la vulnerabilidad en el reproductor gratuito VLC.
Productos vulnerables en el TOP 10 de vulnerabilidades.
Segundo trimestre de 2012
Distribución de vulnerabilidades del TOP 10 según el tipo de influencia en el sistema.
Segundo trimestre de 2012
Conclusión
En el segundo trimestre de 2012 ha seguido creciendo impetuosamente la cantidad de malware para Android. En estos tres meses, hemos agregado a nuestra colección casi 15.000 ficheros maliciosos dex. También la calidad de los programas maliciosos para Andoid ha evolucionado: los escritores de virus han inventado diferentes métodos de complicar su análisis y detección. Esto indica que está creciendo la cantidad de escritores de virus que se están dedicando a desarrollar programas maliciosos para dispositivos móviles. Además, también se esta desarrollando el mercado negro de servicios de propagación de programas maliciosos móviles, lo que en el futuro cercano conducirá al aumento de los ataques contra los usuarios de dispositivos móviles, ataques que serán cada vez más refinados.El trimestre pasado, la fuga de datos de importantes servicios, que se ha convertido en algo regular gracias a las actividades de diferentes hacktivistas, ha puesto al descubierto las contraseñas de millones de usuarios. Por desgracia, una gran cantidad de personas usan la misma combinación de login y contraseña para muchos sitios, lo que aumenta el riesgo de pérdida de datos importantes. Pero también hacemos notar que los culpables del rápido descifrado de las contraseñas durante estos ataques son los usuarios que prefieren contraseñas simples y los administradores de sitios web que usan técnicas sencillas de cifrado. El problema no es nuevo y existen varias formas de resolverlo. Esperamos que, debido a las intrusiones regulares, los administradores se vean obligados a usar algoritmos más seguros de almacenamiento de contraseñas.
En el siguiente trimestre nos esperan dos importantes conferencias de hackers, BlackHat y Defcon, donde según ya es tradición, se mostrará una serie de nuevas técnicas de ataques que no tardarán mucho en encontrar aplicación práctica en el mundo de la delincuencia cibernética. Así que se puede esperar que los delincuentes usen las nuevas técnicas ya en el tercer trimestre.
El principal tema del segundo trimestre de 2012 fue el descubrimiento del programa de espionaje cibernético Flame. Aparte de su gran tamaño y gran espectro de instrumentos de extracción de información en los equipos infectados, Flame usa un interesante método para propagarse en las redes locales, creando un servidor falsificado de actualizaciones de Windows. Además, en el célebre gusano Stuxnet, que hizo estragos en 2009, parte del código es similar a la de Flame. Esto sugiere que los desarrolladores de estos programas tienen alguna relación.
La situación de las armas cibernéticas recuerda a la caja de Pandora, que una vez abierta es imposible de cerrar. Muchos países han hecho declaraciones oficiales de que elaborarán doctrinas sobre las acciones en el espacio cibernético y que crearán subdivisiones especializadas. Por consiguiente, la historia de las armas cibernéticas no se limitará a Duqu y Flame. En esta situación, la principal dificultad es la ausencia de factores de disuasión en forma de una regulación internacional en este ámbito.