Trend Micro - Securing Your Journey to the Cloud

one site fits all
Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas

Anuncios maliciosos y días cero: el resurgimiento de las amenazas debilita la confianza en las cadenas de suministro y las prácticas recomendadas

A principios de 2015 se produjo una situación paradójica: las amenazas principales no eran nuevas (los esquemas y ataques utilizados estaban basados en tácticas de ciberdelincuencia muy comunes) pero continuaban siendo muy efectivas. Independientemente de lo bien que particulares y empresas implementaran las medidas de seguridad básicas, el más elemental de los puntos débiles los dejaba expuestos frente a las amenazas. ¿Quién iba a pensar que los anuncios online y para dispositivos móviles, las transacciones extrabursátiles e incluso documentos básicos de Word todavía podían generar tantos problemas?


Los ataques publicitarios online minan la confianza en la cadena de suministro

Confiar plena y ciegamente en los proveedores externos o de servicios puede poner en riesgo a los usuarios. Los ciberdelincuentes utilizaron anuncios online infectados para introducir el malware BEDEP, que se descarga automáticamente cuando aparecen los anuncios. Lenovo® habilitó los ataques man-in-the-middle (MitM) de forma indirecta mediante la inclusión del paquete Superfish, una tecnología de búsqueda visual que muestra comportamientos de adware, en sus portátiles para particulares. Por su parte, los atacantes de dispositivos móviles camuflaron el adware “MobiDash” o “MDash” en Google Play™ y lo utilizaron para mostrar anuncios que ponían en riesgo la seguridad de los usuarios de dispositivos móviles.

Estos ataques aprovechan las vulnerabilidades de los sistemas de publicidad online y revelan brechas de seguridad en la cadena de suministro. Exponen a los visitantes de sitios Web a diversas amenazas y tienen la capacidad de dañar la reputación de los administradores de las páginas.

[Lea: Publicidad maliciosa: ataques de anuncios online (ingl.)]

Funcionamiento de la publicidad maliciosa


antes
después
después
Diagrama sobre el funcionamiento de la publicidad online

después
Diagrama sobre el funcionamiento de la publicidad maliciosa online

Para el usuario normal, los anuncios maliciosos representan una de las peores amenazas. Este tipo de anuncios puede hacer mucho más daño que otras amenazas, incluso cuando se actúa correctamente. La publicidad maliciosa puede perjudicar a usuarios que no hagan clic en enlaces, tengan totalmente actualizados todos los parches de seguridad o solo visiten sitios Web de confianza. En resumen, por muchas precauciones que tome, nunca estará protegido de los anuncios maliciosos: todo es cuestión de suerte. – Christopher Budd (director de comunicaciones para amenazas globales)

El ransomware de cifrado irrumpe en la empresa

Las cifras de ransomware de cifrado siguen su tendencia al alza. El número de infecciones se cuadruplicó: de 1.540 en el primer trimestre de 2014 a 7.844 en el primer trimestre de 2015. Las infecciones de ransomware de cifrado constituyen casi la mitad (49%) del volumen total de ransomware detectado el último trimestre.


Número de infecciones de ransomware

Es probable que se mantenga el incremento en las cifras de ransomware de cifrado. El ransomware es una magnífica forma de rentabilizar rápidamente una infección de malware. No se puede comparar conseguir 500 dólares estadounidenses (aprox.) de forma inmediata con tener que configurar y gestionar una red robot, robar las credenciales bancarias y retirar el dinero de las cuentas bancarias. Es evidente que las infecciones por ransomware generan resultados más inmediatos. En general, las infecciones por malware son muchísimo más rentables.
Jon Oliver (director jefe de arquitectura)

El secuestro de archivos de trabajo es bastante común. Determinadas variantes de ransomware de cifrado presentan rutinas orientadas directamente a las empresas. CryptoFortress, que imita el funcionamiento de TorrentLocker, puede cifrar archivos de recursos de red compartidos, una función de uso frecuente en las redes empresariales.

Tampoco hay que olvidar la variante Ransomweb (CRYPWEB), que puede cifrar sitios y servidores Web. Si bien el año pasado se observaron rutinas similares, la aparición de estas dos nuevas amenazas ha consolidado aún más las empresas como objetivo del ransomware de cifrado.

Una nueva variante de este tipo de ransomware, CRYPAURA, es capaz de cifrar más de cien tipos de archivos distintos. Teslacrypt, por su parte, está dirigida a jugadores online. A través del modelo de servicios básicos gratuitos, basado en una relación de buena voluntad, los ciberdelincuentes engañaron a jugadores antes derrotarlos en plena batalla.

[Lea: Observaciones del ransomware de cifrado y tendencias para el primer trimestre de 2015 (ingl.)]

El aumento de las cifras de ransomware de cifrado y su aparente expansión para alcanzar objetivos empresariales hacen más necesario que nunca que tanto particulares como empresas refuercen los sistemas de copias de seguridad y se aseguren de que sus archivos están protegidos.

[Participe en el cuestionario: ¿Cómo reaccionarías en caso producirse un desastre de datos real? (ingl.)]




Malware de macros: el modelo principal de antiguas amenazas utilizado contra nuevos usuarios

El conocimiento es fundamental en toda batalla. El continuo aumento del malware de macros enseña a las nuevas generaciones la importancia de revisar las antiguas amenazas: ignorarlas puede hacerles acabar expuesto a las mismas. Las macros automatizan las tareas repetitivas de Microsoft Office® para ahorrar tiempo, pero se han inhabilitado de forma predeterminada en Office 2003 para evitar que el malware las utilice.


Número de infecciones de malware de macros en el primer trimestre de 2015

Microsoft cambió la implementación de macros en los documentos de Office cuando actualizó su formato de.DOC a .DOCX, sin embargo, todavía es posible ejecutar las macros. En el pasado, los ciberdelincuentes utilizaban la ingeniería social para lograr que los usuarios ejecutaran macros maliciosas en documentos. En la actualidad, también aprovechan vulnerabilidades de Office para ejecutar las macros. – Numaan Huq (investigador jefe de amenazas)

Tenga en cuenta que los usuarios deben habilitar la función de macros para que el malware funcione. En el último trimestre, los ciberdelincuentes utilizaron archivos adjuntos de correo electrónico con malware y enseñaron a sus víctimas a habilitar las macros para leerlos. Esto permitía la descarga del malware bancario VAWTRAK. El troyano BARTALEX también utilizaba mensajes de spam y macros incrustadas para propagarse automáticamente por los sistemas de los usuarios.

El uso de macros también puede considerarse un intento de que las amenazas eludan las soluciones antimalware tradicionales. Las macros utilizadas en estas amenazas se suelen camuflar para facilitar su paso por los escáneres o filtros antispam, que detectan mucho mejor los programas ejecutables que las propias macros. Las macros que se pueden habilitar mediante archivos de lotes también resultan difíciles de detectar. Además, es posible que el aislamiento de procesos no funcione a causa de la ocultación o porque se haya preguntado explícitamente a los usuarios si desean abrir la macro, con lo que, sin saberlo, están permitiendo le ejecución del malware en el sistema.


El fallo FREAK ha puesto de manifiesto problemas sobre la ausencia de parches de vulnerabilidad

Tras los fallos Shellshock, Heartbleed y POODLE, de los que se informó ampliamente el año pasado, llega la vulnerabilidad FREAK. Se trata de un fallo que afecta al protocolo de autenticación Transport Layer Security/Secure Sockets Layer (TLS/SSL) utilizado en innumerables exploradores y sitios Web, incluidos aproximadamente el 10% de los principales dominios y los explores Web de Android y Safari. Se descubrió a través de la factorización de las claves RSA de exportación y de ahí proviene su nombre (FREAK, Factoring RSA Export Keys). El fallo fuerza la utilización de un cifrado más débil en las conexiones seguras que facilita a los atacantes descifrar la información confidencial.

El hecho de que el fallo FREAK haya existido durante décadas y aproveche un código escrito hace años reaviva la problemática sobre la revelación de vulnerabilidades. La ausencia de responsabilidad directa para aplicar parches para estos fallos dificulta la tarea de los administradores de IT a la hora de mitigar los riesgos que van apareciendo. Este tipo de problemas exigen soluciones de terceros que busquen de forma independiente y proactiva vulnerabilidades en los sistemas existentes para reducir la exposición y evitar ataques.

[Lea: Desarrollo de una protección continua: no solo para vulnerabilidades de día cero o heredadas (ingl.)]

El trimestre pasado también apareció Ghost, una vulnerabilidad de desbordamiento de búfer de los sistemas operativos Linux. Aunque al principio se creyó que podría provocar problemas graves, ya se ha creado un parche para el fallo, lo que ha limitado considerablemente el alcance del ataque.


Principales vulnerabilidades de aplicaciones Web detectadas en el primer trimestre de 2015



CLASIFICACIÓN DE LA GRAVEDAD:

  • Filtración de dirección IP interna
    Puede revelar información sobre el esquema de direcciones IP de la red interna.

    Gravedad:
    BAJA
  • Revelación de ruta local
    Puede guiar a los atacantes hacia las carpetas raíz, etc., que pueden utilizar para diseñar ataques personalizados.

    Gravedad:
    BAJA
  • Revelación de código fuente de archivos de inclusión
    Permite que los atacantes obtengan acceso a información confidencial sobre la lógica de las aplicaciones existente en códigos fuente y la aprovechen en su beneficio.

    Gravedad:
    BAJA
  • Indexación de directorios
    Afecta a los servidores Web que muestran la página de índice de su directorio/subdirectorio virtual cuando acceden agentes usuario.

    Gravedad:
    MEDIA
  • Mensajes detallados de error de aplicaciones
    Permite a los atacantes obtener acceso a información confidencial, incluida la lógica interna de aplicaciones Web.

    Gravedad:
    MEDIA
  • Datos de formularios confidenciales transmitidos sin Secure Sockets Layer (SSL)
    Permite a los atacantes obtener datos confidenciales transmitidos a través de aplicaciones que no utilizan SSL.

    Gravedad:
    MEDIA
  • Secuencias de sitios cruzados (XSS) no persistentes
    Permite a los atacantes introducir secuencias maliciosas (generalmente, en la parte del cliente) en aplicaciones Web.

    Gravedad:
    ALTA
  • Path traversal
    Aprovecha la falta de validaciones de seguridad suficientes de aplicaciones Web; también se conoce como ataque “punto punto barra” o “directory traversal”.

    Gravedad:
    ALTA
  • Detección de posible recurso confidencial
    Permite a los atacantes obtener información sobre recursos que podrían estar vinculados a la estructura de las aplicaciones (antigua copia de seguridad, configuración de servidor, registro de servidor/base de datos, configuración de base de datos, etc.).

    Gravedad:
    ALTA
  • SQL injection
    Representa una amenaza grave para cualquier aplicación Web que utilice una base de datos.

    Gravedad:
    CRÍTICA






Recientes ciberataques y filtraciones de datos dirigidos a iOS y al sector sanitario

En el último trimestre destacaron dos tendencias importantes relacionadas con los ataques dirigidos y las filtraciones de datos: las organizaciones sanitarias se perfilaron como objetivos y los dispositivos iOS™, como vectores de ataque.

Los responsables de las filtraciones de datos perpetradas contra las aseguradoras médicas Anthem y Premera Blue Cross eran plenamente conscientes del valor que tienen los datos sanitarios. Los atacantes robaron nombres, direcciones de correo electrónico y otra información personal de millones de pacientes y clientes de las aseguradoras.


Cronología de las filtraciones sanitarias más importantes

Ubicación

Anthem

País: Estados Unidos
Registros perdidos: 80 millones
Tipo de información en peligro: nombres, fechas de nacimiento, números de ID de miembros, números de la seguridad social, direcciones, números de teléfono, direcciones de correo electrónico, información sobre empleos


Premera Blue Cross

País: Estados Unidos
*Ataque detectado en enero de 2015, pero podría haber ocurrido incluso en mayo de 2014
Registros perdidos: 11 millones
Tipo de información en peligro: nombres, fechas de nacimiento, direcciones de correo electrónico, direcciones, números de teléfono, números de la seguridad social, números de ID de miembros, información de cuentas bancarias, información sobre reclamaciones, información clínica

2015
Ubicación

Community Health Systems

País: Estados Unidos
Registros perdidos: 4,5 millones
Tipo de información en peligro: cinco años de datos de pacientes, nombres, direcciones y números de la seguridad social

2014
Ubicación

Advocate Medical Group

País: Estados Unidos
Registros perdidos: 4 millones
Tipo de información en peligro: nombres, direcciones, fechas de nacimiento, números de la seguridad social

2013
Ubicación

Servicio Nacional de Salud (NHS)

País: Reino Unido
Registros perdidos: 8,3 millones
Tipo de información en peligro: registros de pacientes no cifrados

2011
Ubicación

Departamento de Salud de Virginia

País: Estados Unidos
Registros perdidos: 8,3 millones
Tipo de información en peligro: registros de pacientes, prescripciones

2009

Millones de dispositivos iOS que todavía utilizaban iOS 7 también se pusieron en peligro por causa de las aplicaciones utilizadas en Operation Pawn Storm. Los investigadores encontraron dos aplicaciones de spyware compatibles con iOS 7 que podían utilizar el dispositivo para el espionaje. Se vieron afectados tanto los dispositivos con jailbreak como los que no se habían sometido a este proceso, ya que estas aplicaciones se podían descargar a través del suministro de la empresa.

Entretanto, Operation Woolen Goldfish, una campaña con trasfondo político que continuó sus operaciones durante el trimestre pasado, atacó a diversas organizaciones públicas y privadas israelíes con un archivo malicioso alojado en Microsoft OneDrive®. Esta operación es una de las dos campañas que llevó a cabo el grupo de ciberamenazas Rocket Kitten, la otra es la campaña de malware GHOLE.

El aumento de las infecciones de malware en los terminales de punto de venta (TPV) demuestra que los minoristas siguen siendo objetivo de los ciberataques. La campaña de malware de TPV FighterPOS, llevada a cabo por una sola persona, consiguió robar más de 22.000 tarjetas de crédito entre finales de febrero y principios de abril de 2015.

Asimismo, el antiguo pero recién detectado malware PwnPOS (se cree que existe desde 2013), utilizaba un raspador de RAM para buscar datos y conectarse al protocolo SMTP con el objetivo de robar información valiosa.


Los datos sanitarios representan el Santo Grial del robo de datos. Cuando un delincuente roba los datos de una tarjeta de crédito o de débito, solo puede utilizarlos hasta que se cancela dicha tarjeta. Sin embargo, ¿cómo se “cancela” un número de la seguridad social? No se puede. Los datos sanitarios se pueden utilizar más de una vez en fraudes económicos si los delincuentes abren varias cuentas a su nombre. Pero no se trata únicamente de su nombre: los datos sanitarios pueden proporcionar información suficiente como para facilitar el robo no solo de su identidad, sino también la de su mujer y sus hijos. El chantaje es otro de los campos cuyas técnicas delictivas tradicionales también se aplican en el ámbito de la ciberdelincuencia. – Christopher Budd (director de comunicaciones para amenazas globales)

Los kits de explotación nuevos y en desarrollo dominan Internet

Los kits de explotación, medios reconocidos por su eficacia a la hora de llevar a cabo ataques Web, se utilizan desde 2006, año desde el que no han dejado de evolucionar para adaptar sus rutinas a las nuevas tecnologías. En el mercado negro, los kits de explotación se venden fácilmente como programas de amenazas Web para cualquier ámbito.

En comparación con el mismo trimestre del año anterior, se observa un aumento del 30% en los ataques que utilizan kits de explotación. De estos ataques, las aplicaciones más explotadas fueron Java™, Adobe®, e Internet Explorer.

Se ha registrado un descenso notable en el número de kits de explotación lanzados recientemente. Pese a ello, la prevalencia de uso de kits antiguos y desarrollados demuestra que los usuarios de Internet van a tener que convivir con las infecciones relacionadas con estos kits durante lo que queda de año e incluso más.

Los analistas de amenazas Brooks Li y Joseph Chen también destacan un patrón preocupante: “las vulnerabilidades de día cero se implantan directamente en anuncios maliciosos en detrimento de los ataques dirigidos contra empresas u otras grandes organizaciones”.

[Lea: Kits de explotación y publicidad maliciosa: una combinación problemática (ingl.)]


Países más afectados por ataques relacionados con kits de explotación


No es de extrañar que el número de ataque de kits de explotación siga aumentando tras el célebre desmantelamiento del kit de explotación Blackhole (BHEK) a finales de 2013. La combinación de la publicidad maliciosa y los kits de explotación es uno de los motivos principales de este crecimiento: los atacantes pueden “secuestrar” visitantes de sitios Web conocidos (como YouTube) y aprovechar las redes de anuncios para mantenerse ocultos. – Joseph Chen (analista de amenazas)

Fallos críticos de aplicaciones Web: principales puntos de entrada

Al igual que sucede con las vulnerabilidades de clientes y servidores, es necesario aplicar parches en las vulnerabilidades de las aplicaciones Web, ya que constituyen puntos de entrada para los atacantes. Estas aplicaciones pueden procesar datos empresariales relevantes y almacenarlos en una base de datos de servidores, que a su vez podría presentar brechas de seguridad.

Las organizaciones suelen enfrentarse a ataques que aprovechan las vulnerabilidades de la plataforma de uso general PHP, la mayoría de las cuales están relacionadas con servidores. Estos fallos están clasificados con una gravedad alta o crítica y han sido parcheados en las versiones más recientes del programa.

Muchas aplicaciones Web son vulnerables principalmente ante las secuencias de sitios cruzados (XSS) no persistentes (PDF/ingl.), un fallo grave que permite a los atacantes acceder a las cuentas personales de los usuarios solo con estos visiten las URL que sirven de señuelo. Otros fallos críticos de aplicaciones Web son SQL injection, que genera ataques a partir de sentencias SQL maliciosas con objeto de obtener acceso a sitios Web, y OS commanding, cuyos ataques ejecutan comandos en el nivel del sistema.


PANORAMA DE LAS AMENAZAS

Solo en el primer trimestre de 2015, Trend Micro Smart Protection Network™ bloqueó un total de 14.006.002.252 amenazas, es decir, más de 14.000 millones.

Número total de amenazas bloqueadas

T1 de 2015

Tasa de detección (número de amenazas bloqueadas por segundo)

T1 de 2015

Las tres principales familias de malware de estas amenazas contabilizadas el último trimestre eran SALITY (85.000), DOWNAD/CONFICKER (83.000) y KRYPTIK (71.000). Las variantes de SALITY son conocidas por dañar rutinas de forma crítica mediante la propagación de archivos .EXE y .SCR infectados. Las variantes de DOWNAD/CONFICKER deben su fama en el mundo de las amenazas a su persistencia a la hora de explotar vulnerabilidades y propagarlas rápidamente. Las variantes de KRYPTIK son troyanos utilizados recientemente para atacar a víctimas durante la temporada fiscal.

   

Principales familias de malware

*Basadas en detecciones de PC

Actualmente, el total de aplicaciones de Android maliciosas y de alto riesgo asciende a 5.395.718, es decir, alrededor de 5,4 millones, un aumento del 27% en comparación con el cuarto trimestre de 2014 (4,3 millones). De estas aplicaciones, aproximadamente la mitad son de adware y muestran contenido publicitario que no suele tener el consentimiento de los usuarios de los dispositivos móviles.


DESCARGAR EL INFORME COMPLETO (PDF)