Informe de McAfee sobre amenazas: Primer trimestre de 2012

Transcripción

1 Informe Informe de McAfee sobre amenazas: Primer trimestre de McAfee Labs

2 Índice Amenazas para los dispositivos móviles 4 Amenazas de malware 6 Malware firmado 9 Amenazas que se propagan a través de mensajería 11 Distribución de las redes de bots 13 Amenazas a través de la red 17 Amenazas web 2 Ciberdelincuencia 23 Herramientas de crimeware 23 Bots y redes de bots 24 Acciones contra los ciberdelincuentes 24 Hacktivismo 26 Acerca de los autores 27 Acerca de los laboratorios McAfee Labs 27 McAfee, Inc Informe de McAfee sobre amenazas: Primer trimestre de

3 El filósofo griego Heráclito, conocido por su doctrina del cambio incesante como fundamento del universo, escribió en una ocasión que "Todo fluye, nada permanece". El primer trimestre de plasma la doctrina de Heráclito en casi todas las áreas del panorama de las amenazas. Aunque a finales de observamos descensos en muchas áreas del malware y las amenazas, este trimestre la tendencia es casi opuesta. El malware para PC ha vivido su trimestre más agitado de la historia reciente y el malware para dispositivos móviles ha aumentado también de forma vertiginosa. Hemos asistido al crecimiento de los rootkits establecidos, así como al surgimiento de varias familias nuevas. Muchos de los ejemplares de malware conocidos que hemos analizado y combatido han resurgido este trimestre, pero ninguno como los troyanos ladrones de contraseñas. En esta edición del Informe sobre amenazas presentamos nuestro control de nuevas amenazas, como el rootkit ZeroAccess y el malware firmado. Asimismo, hemos preparado la presentación más detallada hasta el momento relativa a los ataques de red. Tras un repunte a principios del trimestre, el volumen de spam retomó su tendencia a la baja. Por contra, hemos observado un aumento del malware para Mac. Aunque la tendencia no es muy pronunciada, el incremento es real. A pesar de que las cifras de spam siguen siendo relativamente moderadas en todo el mundo, apreciamos diversidad y crecimiento en determinados países, como Alemania y China. Las nuevas infecciones de redes de bots se han estabilizado durante este trimestre, aunque en varios países, concretamente en España y Japón, han registrado un aumento. Una vez más, Estados Unidos termina un trimestre encabezando la lista de países que alberga la mayor cantidad de contenido web malicioso del mundo. Observará esta tendencia igualmente en nuestra sección ampliada de ataques de red, que incluye distribuciones geográficas detalladas, tanto desde el punto de vista de los agresores como de las víctimas. Las URL maliciosas activas continúan el crecimiento que ya mostraron claramente el trimestre anterior. La Web es un lugar peligroso para los internautas mal informados e insuficientemente protegidos. Los exploits de Java y Flash figuran entre las herramientas y toolkits más populares de este trimestre. Las fuerzas de seguridad han llevado a cabo importantes detenciones y han realizado progresos importantes en su lucha contra los ciberdelincuentes y hacktivistas. Los más famosos son probablemente el desmantelamiento de la red de bots kelihos/waledac y las detenciones "casi televisadas" de miembros de Anonymous y LulzSec. Los éxitos de las fuerzas de seguridad en estas áreas son siempre positivos, aunque bien es cierto que otras amenazas continúan entre nosotros. Las amenazas siguen evolucionando y los agresores siguen superando los límites. Por lo tanto, no debemos bajar la guardia. Informe de McAfee sobre amenazas: Primer trimestre de 3

4 Amenazas para los dispositivos móviles Este trimestre hemos observado un gran aumento del malware para dispositivos móviles. El incremento está centrado casi exclusivamente en la plataforma Android. De los cientos de amenazas a Android de mediados de, hemos pasado a miles este año. Estas cifras se explican también en parte por las importantes mejoras en cuanto a nuestra capacidad para recopilar, procesar y detectar malware para dispositivos móviles. Las amenazas para Android alcanzan ya casi las 7., mientras que nuestra base de datos cierra el trimestre con más de 8. casos de malware para dispositivos móviles en total. Total de muestras de malware para dispositivos móviles en la base de datos Nuevo malware para dispositivos móviles Informe de McAfee sobre amenazas: Primer trimestre de

5 Total de malware para dispositivos móviles, por plataforma Android Symbian Symbian 3ª Edición Java ME La gran mayoría de los ataques contra dispositivos móviles (y el malware que utilizan) proceden y tienen como objetivo mercados de terceros, especialmente China y Rusia. En la mayoría de los casos, no observamos este malware en la tienda oficial Android Market. La tienda de aplicaciones de Google ha sufrido algunos incidentes, pero, por el momento, las cifras son moderadas. McAfee Labs aconseja a sus clientes que solo instalen software de una tienda oficial. De esta forma, reducirán enormemente el riesgo de ataques a sus dispositivos Android. Este trimestre hemos apreciado una considerable cantidad de nuevo adware y malware de puerta trasera (backdoor) para móviles, junto a algunos casos de malware de envío de mensajes de texto con tarifa premium muy simples. El adware para móviles muestra anuncios en el teléfono de la víctima sin su permiso. (En esta categoría no se incluyen los juegos o aplicaciones financiadas con anuncios publicitarios). El adware va desde fondos de pantalla en los que se han añadido mensajes publicitarios (Android/Nyearleaker.A) hasta versiones falsas de juegos que envían a los visitantes a sitios web de publicidad (Android/Steek.A). El adware no reduce necesariamente la seguridad del usuario, pero le somete a publicidad no deseada. Los troyanos de puerta trasera en Android son ahora un poco más sofisticados. En lugar de realizar solamente una acción, emplean exploits con acceso raíz para propagar malware adicional. Android/FoncyDropper.A, por ejemplo, utiliza un exploit con acceso raíz para hacerse con el control del teléfono y lanzar un bot IRC que recibe órdenes del agresor. Además, envía mensajes de texto con tarifa premium en función del país de la tarjeta SIM. En la misma línea, Android/Rootsmart.A utiliza un exploit con acceso raíz para descargar Android/DrdLive.A, un troyano de puerta trasera que envía mensajes de texto con tarifa premium y recibe órdenes de un servidor de control. Android/Stiniter.A usa un exploit raíz para descargar otro malware y envía información desde el teléfono a sitios que controla el agresor. También envía mensajes de texto a números con tarifa premium. El servidor de control del agresor actualiza el cuerpo del mensaje y el número al que envía el teléfono secuestrado. Este trimestre, los creadores de malware crearon uno de los primeros troyanos para Android destructivos, Android/Moghava.A. En lugar de dañar aplicaciones u otros ejecutables, el objetivo de este malware es conseguir acceso a las fotos. Moghava.A busca las fotos que hay almacenadas en la tarjeta SD y agrega la imagen del ayatolá Jomeini a cada una de ellas. El malware es también algo defectuoso, así que seguirá añadiendo imágenes hasta que no quede más espacio en la tarjeta. La situación es grave y las conclusiones son evidentes: debemos proteger todos los dispositivos, ya sean móviles o fijos, que contienen datos importantes. Si no lo hacemos, los ciberdelincuentes estarán "enormemente agradecidos". Informe de McAfee sobre amenazas: Primer trimestre de 5

6 Amenazas de malware Comenzaremos diciendo que el malware ha vuelto con fuerza. El respiro tras el crecimiento general del malware basado en PC que observó McAfee Labs a lo largo de los dos últimos trimestres de parece haber llegado a su fin. Y no es solo que "haya llegado a su fin"; en realidad en este período se ha detectado más malware por trimestre que en ningún otro trimestre de los últimos cuatro años. Ya en hemos recopilado más de 75 millones de muestras en nuestro "zoo de malware" combinado, pero, con el tremendo crecimiento de este trimestre, ya hemos alcanzado los 83 millones de ejemplares de malware. No sabemos cuando batiremos la marca de los 1 millones, pero sin duda ocurrirá en los próximos trimestres. Con el incremento de los rootkits y su funcionalidad, el malware firmado y el fulminante crecimiento de la mayor parte de los demás vectores de amenazas, probablemente se revele como un año difícil en el terreno de la seguridad. Total de muestras de malware en la base de datos Nuevo malware El crecimiento de los rootkits se ha recuperado este trimestre, en especial con más actividad de Koutodoor, a pesar de que las cifras están lejos de las cotas alcanzadas por el malware hace 12 meses. Para comenzar este informe, analizaremos el rootkit ZeroAccess. Este malware ya es muy popular entre los ciberdelincuentes y otros usuarios malintencionados. Los rootkits, o malware invisible, son una de las categorías más peligrosas. Tienen una gran influencia en casi todas las demás áreas del malware y están diseñados para evadir la detección y "habitar" en un sistema durante largos períodos. 6 Informe de McAfee sobre amenazas: Primer trimestre de

7 Muestras de rootkits exclusivas descubiertas Nuevas muestras de Koutodoor Nuevas muestras de TDSS Informe de McAfee sobre amenazas: Primer trimestre de 7

8 Nuevas muestras de ZeroAccess Pero examinemos otros de nuestros "favoritos": el software antivirus falso, los autoejecutables y los troyanos de robo de contraseñas. Los dos primeros siguen sufriendo un ligero descenso, sin embargo, los ladrones de contraseñas suben con fuerza este trimestre. Nuevas muestras de antivirus falso Nuevas muestras de autoejecutables Informe de McAfee sobre amenazas: Primer trimestre de

9 Nuevas muestras de ladrones de contraseñas Malware firmado En un excelente artículo del blog de McAfee Labs, el investigador Craig Schmugar explicaba por qué los autores de malware emplean firmas digitales en sus creaciones: "Los agresores firman el malware para intentar confundir a los usuarios y administradores de manera que confíen en el archivo y, al mismo tiempo, evadir la detección del software de seguridad y sortear las directivas del sistema. Una buena parte de este malware ha sido firmado con certificados robados, y otros archivos binarios se autofirman o emplean certificados de prueba. En ocasiones, el uso de certificados de prueba forma parte de un ataque de ingeniería social" 1. Este trimestre se han encontrado más de 2. archivos binarios de malware nuevos y exclusivos con firmas digitales válidas. En nuestro informe Predicciones de amenazas para ya preveíamos la difusión de esta técnica, inspirada principalmente en el éxito de Duqu y Stuxnet 2. Transcurridos tres meses, parece que nuestras profecías se cumplen. Total de archivos binarios firmados maliciosos de sep 1 de oct 1 de nov 1 de dic 1 de ene 1 de feb 1 de mar 1 de abr Informe de McAfee sobre amenazas: Primer trimestre de 9

10 Nuevos archivos binarios firmados maliciosos El malware para los equipos Mac de Apple sigue mostrando un crecimiento constante. Como siempre, el malware en el Mac parece relativamente moderado comparado con el de PC, pero se puede desarrollar malware para cualquier sistema operativo y plataforma. Todos los usuarios deben tomar precauciones. Nuevo malware para Mac Desde el significativo repunte sufrido a mediados del año pasado, parece que los antivirus falsos para Mac han encontrado su ritmo de crecimiento. Nuevo malware de antivirus falsos para Mac Informe de McAfee sobre amenazas: Primer trimestre de

11 Amenazas que se propagan a través de mensajería En la última edición de este informe, constatábamos que los niveles de spam habían alcanzado mínimos récord a finales de. Aunque hubo otro repunte en enero, a finales del trimestre de este año los niveles de spam habían vuelto a caer al mínimo del período anterior. En los tres últimos meses, hemos observado aumentos en China, Alemania, Polonia, España y Reino Unido; pero los volúmenes en Brasil, Indonesia y Rusia se han reducido. A pesar de la caída global de los niveles, el phishing dirigido y el spam siguen siendo tan peligrosos como siempre, y los particulares y las empresas deben permanecer vigilantes. El grado de sofisticación de las amenazas actuales continúa siendo alto. Volumen de correo electrónico mundial, en billones de mensajes 2, 1,5 1, Spam mensual Correo electrónico legítimo,5, Volumen de spam Alemania Argentina Australia Brasil China Colombia Informe de McAfee sobre amenazas: Primer trimestre de 11

12 12 Informe de McAfee sobre amenazas: Primer trimestre de Volumen de spam Italia Indonesia Japón Rusia Corea del Sur La India España Reino Unido Venezuela Estados Unidos

13 Distribución de las redes de bots El crecimiento general de las redes de bots de mensajería ha sido acusado desde el último trimestre. Han aumentado las infecciones en Colombia, Japón, Polonia, España y Estados Unidos. En Indonesia, Portugal y Corea del Sur siguen descendiendo. Infecciones por redes de bots mundiales Nuevos remitentes de redes de bots Alemania Argentina JAN Australia Brasil China Corea del Sur Informe de McAfee sobre amenazas: Primer trimestre de 13

14 14 Informe de McAfee sobre amenazas: Primer trimestre de Nuevos remitentes de redes de bots Indonesia AUG Japón Polonia Rusia Reino Unido Estados Unidos España La India

15 Muchas de las principales redes de bots de mensajería han mostrado este trimestre un crecimiento fijo o un descenso de nuevas infecciones, con la excepción de Cutwail, que ha aumentado significativamente. Principales infecciones por redes de bots a nivel mundial Bobax Cutwail Grum Lethic Maazben Recuerde que la aparición de nuevas infecciones no implica que las actuales hayan desaparecido. Nuestra distribución de redes de bots por país muestra que muchas de estas redes de bots siguen bastante activas en todo el mundo, aunque es posible que el índice de nuevas infecciones esté experimentando un descenso. Cutwail es el líder global en nuevas infecciones y en infecciones actuales, excepto en Brasil, donde Grum está más extendido. Australia Alemania Brasil Redes de bots Bobax Cutwail Grum Lethic Maazben China Colombia Corea del Sur España Estados Unidos Japón La India Reino Unido Informe de McAfee sobre amenazas: Primer trimestre de Rusia 15

16 Redes de bots La India Reino Unido Rusia Bobax Cutwail Grum Lethic Maazben Como siempre, los cebos de la ingeniería social y las líneas de asunto del spam varían considerablemente en función de la región geográfica. Los cebos cambian según el mes o la estación, y a menudo aprovechan los períodos de vacaciones, los eventos deportivos o las tragedias. En Brasil, el spam relacionado con los juegos de azar ha sido muy popular, mientras que en muchos otros países, el spam sobre medicamentos ha ocupado los primeros puestos en cuanto a líneas de asunto más difundidas. Por otro lado, Estados Unidos ha sufrido una plaga de notificaciones DSN (Delivery Status Notification) falsas. Los cebos funcionan de forma diferente según la cultura del país. Tipos de spam Alemania Belarús Brasil Timos 419 Productos para adultos Títulos y certificados 419 Scams DSN Casinos Drugs Gambling DSN Drugs 419 Scams Gambling DSN DSN Casinos Drugs Drugs Medicamentos DSN Apuestas Fashion Lottos Marketing Newsletters Phishing Diplomas Adult Products 419 Scams Fashion Diplomas Lottos Adult Products Marketing 419 Scams Newsletters Phishing Boletines de noticias Third Parties Third Parties Phishing Productos Corea del Sur Viruses Watches Estados Unidos Viruses Watches Francia Terceros Gambling Virus DSN Relojes Drugs Diplomas Adult Products 419 Scams Indonesia La India Pakistán Gambling DSN Drugs Diplomas Adult Products 419 Scams Reino Unido Rusia Venezuela Gambling Gambling DSN DSN Drugs Drugs Diplomas Diplomas Adult Products Adult Products 419 Scams 419 Scams 16 Informe de McAfee sobre amenazas: Primer trimestre de

17 Amenazas a través de la red Es Estados Unidos el principal origen de los ciberataques? Determinar el origen y la propiedad de los ataques es extremadamente complicado. Solo hace algunos años, casi ningún cliente, ya fuera particular o empresa, se preguntaba de dónde venían los ataques o quién era el responsable. Sin embargo, en la actualidad nos enfrentamos a estas dudas y es difícil darles una respuesta precisa. Para atribuir la autoría o el origen de los ataques se suelen utilizar las direcciones IP y otras funciones geográficas básicas. Si bien estos elementos son un buen comienzo, no aportan mucho más, ya que la ubicación o la dirección IP no determinan la identidad ni la autoría. Es muy frecuente que, tras sufrir un ataque, un equipo se utilice como proxy para el envío de spam, redes de bots o denegación de servicio, entre otras actividades maliciosas. Estos equipos pueden estar en cualquier parte del mundo y, a juzgar por las cifras de este trimestre, muchos se encuentran en Estados Unidos. Examinemos detenidamente algunas áreas recopiladas y analizadas por la red de McAfee Global Threat Intelligence. Además, para el informe sobre amenazas de este trimestre hemos ampliado considerablemente nuestros informes de análisis sobre redes. Las principales amenazas a través de la red han sido de nuevo los ataques de llamadas a procedimientos remotos y de inyección SQL. Las amenazas de secuencias de comandos entre sitios han sufrido un leve descenso, desde el 19% del trimestre anterior hasta el 8%. Amenazas de red principales Llamada a procedimiento remoto Inyección SQL Navegador Secuencias de comandos entre sitios En cuanto a los ataques de inyección SQL, Estados Unidos destaca como líder tanto en orígenes como en objetivos. Principales agresores de inyección SQL Reino Unido Estados Unidos Venezuela Alemania Países Bajos China Turquía Corea del Sur Informe de McAfee sobre amenazas: Primer trimestre de 17

18 Principales víctimas de inyección SQL Estados Unidos China Alemania Reino Unido España Corea del Sur Japón Francia Este trimestre Estados Unidos lidera la lista de orígenes de ataques de secuencias de comandos entre sitios (XSS) detectados, por amplio margen, y es también el primer país víctima, con Taiwán en segundo lugar. Principales agresores de secuencias de comandos entre sitios Estados Unidos Taiwán Canadá Alemania Reino Unido Principales víctimas de secuencias de comandos entre sitios Estados Unidos Taiwán Malasia China 18 Informe de McAfee sobre amenazas: Primer trimestre de

19 Este trimestre hemos añadido también una representación gráfica de las principales detecciones de redes de bots que tienen como objetivo las redes. Despunta claramente Mariposa, una red de bots financiera que roba datos de tarjetas de crédito y de cuentas bancarias. Pushdo (alias de Cutwail) le sigue a distancia en el segundo puesto. Principales detecciones de redes de bots Paquetes de sondeo UDP Mariposa Ataque DoS SSL Pushdo Análisis IRC SpyBot Ainslot.B Traffic Estados Unidos ocupa el primer lugar de otras de nuestras listas de ataques de red. Casi la mitad de los nuevos servidores de control de redes de bots detectados por McAfee Global Threat Intelligence residen en Estados Unidos. Principales servidores de control de redes de bots Estados Unidos China Japón Alemania Reino Unido Corea del Sur Francia El mayor número de víctimas de redes de bots, concepto recogido ahora también en este informe, se observa en Venezuela, con Estados Unidos muy por detrás en segundo lugar. Principales víctimas de redes de bots Venezuela Estados Unidos Chile Colombia Argentina Marruecos Rusia Informe de McAfee sobre amenazas: Primer trimestre de 19

20 Amenazas web Los sitios web pueden tener buena o mala reputación por distintas razones. Las reputaciones pueden basarse en dominios completos, en cualquier cantidad de subdominios, así como en direcciones IP o URL específicas. Los sitios web de phishing o que alojan malware y programas potencialmente no deseados serán catalogados como sitios web maliciosos. A menudo observamos combinaciones de código y funcionalidades dudosas. Hay varios factores que contribuyen a nuestra calificación de la reputación de un sitio web. El último trimestre McAfee Labs registró una media de 9.3 nuevos sitios maliciosos al día. Si se incluyen las URL de spam, esta cifra alcanzaba los 11. casos diarios. Sin embargo, durante este período, esta última cifra cayó hasta 9. sitios al día. Nuevas URL con mala reputación de ene 1 de feb 1 de mar 1 de abr Si bien el número de URL "maliciosas" está disminuyendo, el número de clientes nuestros dirigidos a sitios web maliciosos está aumentando. Durante el último trimestre, McAfee evitó, de media, un ataque de malware basado en la Web a uno de cada ocho clientes. (Los otros siete clientes no visitaron los sitios de riesgo). Este trimestre, sin embargo, esa proporción ha aumentado hasta uno de cada seis clientes. Este número se mantuvo constante a lo largo del trimestre y representa la capacidad de los ciberdelincuentes para redirigir a los usuarios a sus sitios maliciosos. La gran mayoría de los sitios web maliciosos nuevos se encuentran en Estados Unidos. Si examinamos más detenidamente la clasificación por región, observamos que no hay ninguna área de Internet en el mundo sin ningún riesgo. 2 Informe de McAfee sobre amenazas: Primer trimestre de

21 Ubicación de servidores que alojan contenido malicioso África Asia-Pacífico Sudáfrica Reunión Marruecos Corea del Sur China Singapur Región Asia/Pacífico Hong Kong Indonesia Australia y Nueva Zelanda Europa y Oriente Próximo Australia Nueva Zelanda Países Bajos Reino Unido Alemania Suiza Francia Latinoamérica Norteamérica Bahamas Brasil Islas Vírgenes Británicas Islas Caimán Estados Unidos Canadá Informe de McAfee sobre amenazas: Primer trimestre de 21

22 El número de sitios web que albergan descargas maliciosas o exploits de navegador sigue aumentando. URL maliciosas activas El número de sitios web que distribuyen malware y programas potencialmente no deseados ha descendido cerca de un 33% durante este trimestre, con una media aproximada de 4.2 sitios web nuevos al día, comparados con los 6.5 al día durante el cuarto trimestre de. Nuevos sitios web de malware de ene 1 de feb 1 de mar 1 de abr No se han observado cambios en los sitios de phishing con respecto al último trimestre. De nuevo hemos identificado una media de aproximadamente 2.2 nuevas URL de phishing al día este trimestre. Los sitios de phishing siguen presentando un riesgo importante para los internautas; hay más sitios destinados a ataques de phishing que sitios que albergan únicamente descargas maliciosas o spam. Nuevos sitios web de phishing de ene 1 de feb 1 de mar 1 de abr 22 Informe de McAfee sobre amenazas: Primer trimestre de

23 Ciberdelincuencia Herramientas de crimeware Este trimestre, además de las habituales actualizaciones de paquetes de exploits, hemos observado una gran cantidad de novedades. Si en un primero momento todas estas herramientas de crimeware aprovecharon de manera importante la vulnerabilidad Java Rhino revelada en octubre de (CVE -3544), muy pronto aprovecharon dos vulnerabilidades aparecidas este año: La vulnerabilidad de ejecución de código remoto asociada al formato MIDI en la Biblioteca multimedia de Windows (CVE--3), resuelta mediante la actualización de seguridad MS12-4 de enero. El fallo en el un espacio aislado (sandbox) de Java Runtime Environment (CVE--57), corregido a mediados de febrero como parte de la notificación de actualización de parches críticos de Oracle Java SE 3. (Este exploit se conoce como Java AtomicReferenceArray). En la siguiente tabla únicamente el kit de exploits de Phoenix incluye el exploit Java Atomic al que se hace referencia en CVE--57. Sin embargo, en varios blogs y foros, hemos leído acerca de actualizaciones similares para BlackHole, Eleonore e Incognito. Pensamos que muchos kits de exploits utilizarán esta vulnerabilidad en los próximos meses. Nombre Origen Detalles del exploit Sakura 1. Rusia o Europa del Este Tres exploits que incluyen Java Rhino (CVE--3544) Hierarchy Rusia o Europa del Este 16 exploits, con dos vulnerabilidades de : Flash 1 (CVE--611) Java Rhino Yang Pack Enero Zhi Zhu Febrero Gong Da Pack Febrero Phoenix Exploit Kit 3.1 Marzo China China China Rusia Cuatro exploits que incluyen: Flash x (CVE--211) Flash x (CVE--214) Java Rhino Cinco exploits que incluyen: HTML+TIME (CVE--1255) Flash x Flash x WMP MIDI (CVE--3) Tres exploits: Flash x Java Rhino WMP MIDI En nuestro informe de amenazas del cuarto trimestre de, observamos la versión 3., que incluía el exploit Java Rhino (CVE--3544). La versión 3.1 incluye Java Atomic (CVE--57). Recomendamos el blog de Kahu Security a los que quieran obtener más detalles sobre los paquetes chinos mencionados 4. Informe de McAfee sobre amenazas: Primer trimestre de 23

24 Bots y redes de bots Los foros clandestinos ofertan numerosos paquetes de redes de bots. La siguiente tabla muestra que algunas redes de bots se ofrece a precios elevados: Nombre Darkness de SVAS/Noncenz Bot para ataques de denegación de servicio distribuido (DDoS) Precios (en dólares estadounidenses) Actualización a la versión 1 en enero: 12 dólares Paquetes Minimum: bot para ataques DDoS, sin actualizaciones gratuitas ni módulos = 45 dólares Standard: bot para ataques DDoS, un mes de actualizaciones gratuitas, módulo de intercepción de contraseñas = 499 dólares Bronze: bot para ataques DDoS, tres mes de actualizaciones gratuitas, módulo de interceptación de contraseñas = 57 dólares Silver: bot para ataques DDoS, 6 meses de actualizaciones gratuitas, módulo de interceptación de contraseñas, 3 reconstrucciones gratuitas = 65 dólares Gold: bots para ataques DDoS, actualizaciones gratuitas de por vida, módulos de interceptación de contraseñas y editor de "hosts", 5 reconstrucciones gratuitas, 8% de descuento en otros productos = 699 dólares Platinum: bots para ataques DDoS, actualizaciones gratuitas de por vida, módulos de interceptación de contraseñas, reconstrucciones gratuitas ilimitadas, 2% de descuento en otros productos = 825 dólares Brilliant: bot para ataques DDoS, actualizaciones gratuitas de por vida, reconstrucciones gratuitas ilimitadas, todos los módulos gratis, 35% de descuento en otros productos = 999 dólares : Reconstrucción (cambio de URL) = 35 dólares Códigos fuente = dólares Reinstalación del panel web (gratuita la primera vez) = 5 dólares Citadel 5 Variante de Zeus, red de bots financiera THOR de TheGrimReap3r Red de bots peer-to-peer multifunción Carberp Red de bots financiera Generador de bots y panel de administración = dólares más 125 dólares de "alquiler" al mes (precio a diciembre de ) Funciones de actualización automática para evadir antivirus = 395 dólares. 15 dólares por cada actualización 8. dólares por el paquete sin módulos. Descuento de 1.5 dólares para los primeros cinco compradores Módulos en fase de desarrollo: destructor de bots avanzado, DDoS, utilidad de recopilación de información de formularios, registrador de pulsaciones de teclado/ladrón de contraseñas y utilidad de envío masivo de correo Cargador, interceptadores de datos, todas las funcionalidades básicas (excepto las siguientes) = 2.5 dólares La oferta anterior más 5 conexiones directas a ordenadores zombi de red (back-connect) e inyección de comandos en Internet Explorer y Mozilla FireFox = 5. dólares Las ofertas anteriores más navegador oculto (similar a VNC) = 8. dólares La oferta de Carberp es sorprendente. Está fechada el 21 de marzo, aunque las autoridades rusas habían anunciaron el arresto de la banda Carberp el día anterior. (Lea el apartado siguiente para obtener más información). Acciones contra los ciberdelincuentes Durante este trimestre las fuerzas de seguridad y los profesionales han llevado a cabo importantes desmantelamientos y acciones contra los ciberdelincuentes. En enero, Microsoft presentó una denuncia contra un ciudadano de San Petersburgo, sospechoso de controlar la red de bots Kelihos (alias Waledac) 6. Según el experto en seguridad Brian Krebs, entre 25 y 27 el sospechoso ocupó el puesto de desarrollador de sistemas principal y jefe de proyecto de una empresa antivirus rusa llamada Agnitum 7. En una entrevista al periódico Gazeta.ru, el supuesto culpable rechazó las acusaciones Informe de McAfee sobre amenazas: Primer trimestre de

25 Un ciudadano ruso, detenido en Zúrich desde marzo de, fue extraditado a Nueva York en enero. Junto con su hijo, que continúa en libertad, ha sido acusado de nueve cargos desde 25 por conspiración, fraude postal, fraude electrónico, fraude informático, robo de identidad con agravante y fraude bursátil a través de sitios web falsos 9. El 16 de marzo, los servicios secretos estadounidenses, en coordinación con el Servicio de Inmigración y Control de Aduanas, anunció los resultados de la operación "Open Market" contra 5 individuos supuestamente implicados en delitos de robo de identidad y tráfico de tarjetas de crédito falsas 1. Los sospechosos fueron vinculados a una red de crimen organizado transnacional activa en varias ciberplataformas, que compraba y vendía información personal y financiera robada a través de foros online. Se consideraba a todos los acusados miembros, socios o empleados de una organización criminal llamada Carder.su (que engloba también Carder.info, Crdsu.su, Carder.biz y Carder.pro). El 2 de marzo, el ministro de interior ruso y el Servicio Federal de Seguridad (FSB) anunciaron el arresto de ocho ciberdelincuentes supuestamente responsables del robo de más de 6 millones de rublos (2 millones de dólares estadounidenses) de cuentas bancarias de 9 víctimas con la ayuda del troyano Carberp 11. Dos hombres, arrestados en mayo de, fueron acusados en marzo en el Reino Unido de piratear los ordenadores de Sony Music y de robar música valorada en aproximadamente en 16 millones de libras esterlinas 12. La agencia btitánica Serious Organised Crime Agency afirmó que el ataque se llevó a cabo supuestamente el año pasado, empleando la misma metodología que otros hackers para penetrar en la red PlayStation Network y descargar información personal de 77 millones de usuarios registrados. Este caso no guarda ninguna relación con los ataques de Anonymous o LulzSec. Durante este trimestre, las fuerzas de seguridad han llevado a cabo operaciones contra varios miembros o socios de Anonymous. Después de que el miembro "Sabu" de LulzSec se declarara culpable en agosto de y cooperara con el FBI, las fuerzas de seguridad arrestaron a otros miembros importantes del grupo de piratas informáticos. Los sospechosos, entre los que figuraban dos ciudadanos del Reino Unido, dos de Irlanda y dos de Estados Unidos, fueron acusados por la Corte del Distrito Sur de Nueva York 13. En un momento anterior de este trimestre, Interpol había anunciado el arresto de 25 sospechosos de pertenecer a Anonymous en Argentina, Chile, Colombia y España 14. Wrmer y Kahuna, dos miembros de CabinCr3w, un grupo de hackers cercano a Anonymous, fueron arrestados el 2 de marzo en Estados Unidos 15. Durante este trimestre hemos podido constatar que no solo la policía es capaz de interponerse en las actividades ciberdelictivas. En un artículo publicado en enero, el célebre investigador Dancho Danchev reveló la identidad y la información que había averiguado sobre un individuo de nacionalidad rusa vinculado a Koobface 16. Algunos días después, el periódico The New York Times publicó otros cuatro nombres que un grupo de investigadores de seguridad tenía previsto revelar 17. Terminamos con la Operación B71 de Microsoft, centrada en las redes de bots que utilizan variantes de Zeus, SpyEye e Ice-IX. El 23 de marzo, Microsoft hizo pública una demanda conjunta con el Financial Services - Information Sharing and Analysis Center (FS-ISAC) y la National Automated Clearing House Association (NACHA). Microsoft y sus agentes capturaron cuatro horas de tráfico de red y confiscaron servidores de dos ubicaciones de alojamiento en Pensilvania e Illinois. Además, se analizaron más de 1.7 nombre de dominios con el fin de comprender su papel en esta actividad 18. Informe de McAfee sobre amenazas: Primer trimestre de 25

26 Hacktivismo Además de los eventos entorno a la detención de Sabu, una de las noticias más importantes de este trimestre en materia de hacktivismo tiene que ver con los ataques en respuesta al cierre forzoso de Megaupload. A través de cuentas de Twitter y de artículos de prensa, Anonymous declaró que su sitio OpMegaupload contaba con miles de personas que estaban detrás de la caída de varios sitios web, concretamente los del Departamento de Justicia estadounidense, de la Recording Industry Association of America, de la Motion Picture Association of America, BMI y del FBI. Incluso tal vez más interesante resulta el hecho de que en Europa, Anonymous fuera también capaz de sacar a sus simpatizantes a la calle. Con el pretexto del cierre de Megaupload, Anonymous organizó manifestaciones el 11 y el 25 de febrero para protestar contra las controvertidas leyes SOPA, PIPA y ACTA en más de 1 ciudades de 15 países. Este hecho constituye sin duda una mezcla interesante de hacktivismo digital y de activismo físico a escala mundial. Podría ser esto un presagio de lo que va a suceder en el futuro? El 11 de febrero se organizaron en Europa numerosas manifestaciones contra la ley ACTA. Este trimestre hemos observado también docenas de operaciones esporádicas en todo el planeta. Ninguna tuvo un gran impacto, y no nos ha resultado fácil elegir algunas de ellas: #OpGlobalBlackout hizo una breve aparición el 31 de marzo sin provocar el apagón a nivel mundial. Los investigadores de seguridad coincidieron de forma casi unánime en afirmar que el ataque no era viable desde el punto de vista técnico. No obstante, resulta interesante resaltar la importante cobertura mediática y de discusión generada por este #Op. Anonymous continúa mostrándonos que es capaz de protagonizar la actualidad gracias a su dominio de los medios de comunicación. El ataque de piratería contra ArcelorMittal en reacción a la decisión del cierre de dos altos hornos en la ciudad belga de Lieja 19. El ataque de denegación de servicio distribuido al Vaticano: un ataque no dirigido contra los católicos de todo el mundo, sino contra La Iglesia "corrupta" 2. Anonymous publica un sistema operativo Linux, inmediatamente anunciado como falso Informe de McAfee sobre amenazas: Primer trimestre de

27 Acerca de los autores Este informe ha sido preparado y redactado por Zheng Bu, Toralv Dirro, Paula Greve, Yichong Lin, David Marcus, François Paget, Craig Schmugar, Jimmy Shah, Dan Sommer, Peter Szor y Adam Wosotowsky, de los laboratorios McAfee Labs. Acerca de los laboratorios McAfee Labs Los laboratorios McAfee Labs son el equipo de investigación a nivel mundial de McAfee, Inc. Con la única organización dedicada a investigar todos los vectores de amenazas (malware, web, correo electrónico, redes y vulnerabilidades), los laboratorios McAfee Labs recopilan información procedente de sus millones de sensores y de su servicio McAfee Global Threat Intelligence. El equipo de 35 investigadores multidisciplinares de los laboratorios McAfee Labs, que trabajan en más de 3 países, sigue en tiempo real la gama completa de amenazas, identificando vulnerabilidades de aplicaciones, analizando y correlacionando riesgos, y activando soluciones instantáneas para proteger a las empresas y al público en general. McAfee, Inc. McAfee, empresa subsidiaria propiedad de Intel Corporation (NASDAQ:INTC), es líder en tecnología de seguridad. McAfee tiene el firme compromiso de afrontar los más importantes retos de seguridad. La compañía proporciona servicios y soluciones probados y proactivos que ayudan a proteger, redes, dispositivos móviles y sistemas en todo el mundo, permitiendo a los usuarios conectarse a Internet, navegar por la web y realizar compras online de forma más segura. Gracias a la tecnología Global Threat Intelligence (Inteligencia Global de Amenazas), McAfee proporciona protección en tiempo real mediante sus soluciones de seguridad, permitiendo a las empresas, usuarios particulares, organismos públicos y proveedores de servicios cumplir con la normativa, proteger datos, prevenir interrupciones, identificar vulnerabilidades y controlar cualquier tipo de amenaza que pueda poner en peligro su seguridad. En McAfee enfocamos todos nuestros esfuerzos en la búsqueda constante de nuevas soluciones y servicios que garanticen la total seguridad de nuestros clientes. Informe de McAfee sobre amenazas: Primer trimestre de 27

28 McAfee, S.A. Avenida de Bruselas nº 22 Edificio Sauce 2818 Alcobendas Madrid, España Teléfono: McAfee, el logotipo de McAfee, McAfee Labs y McAfee Global Threat Intelligence son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. Los planes, especificaciones y descripciones de productos mencionados en este documento se proporcionan únicamente a título informativo y están sujetos a cambios sin aviso previo; se ofrecen sin garantía de ningún tipo, ya sea explícita o implícita. Copyright McAfee 4465rpt_quarterly-threat-q1_512_fnl_ETMG