Boletín de seguridad Kaspersky: Evolución del malware en 2008

Transcripción

1 RESUMEN INFORME Boletín de seguridad Kaspersky: Evolución del malware en 2008 Kaspersky Lab, líder en el desarrollo de soluciones de seguridad, anuncia la publicación de Boletín de seguridad Kaspersky: Evolución del malware en 2008, firmado por los principales analistas de la compañía. El informe está dirigido tanto a profesionales de seguridad de IT como a los usuarios interesados en los programas nocivos. Por primera vez hemos usado la información generada por Kaspersky Security Network como base para este informe anual. Esta nueva tecnología nos permite, no solo obtener información sobre las amenazas malware y seguir su evolución en tiempo real, sino también acelera considerablemente la detección de nuevas amenazas para las que no existen todavía signaturas o detección heurística. En 2007, los expertos señalaban que el malware no comercial estaba desapareciendo. En 2008, esto era verdad para los programas nocivos exclusivos (creados y usados por una o dos personas como máximo). La inmensa mayoría de los troyanos y virus detectados ese año se desarrollaron con la intención de venderlos a otras personas. Hubo también un considerable aumento de servicios de asistencia técnica asociados con esas ventas, incluyendo la ayuda para evitar los productos antivirus. El cibercrimen empezó a demostrar una clara división del trabajo, con diferentes grupos de personas dedicándose a las diferentes etapas de creación, difusión y explotación de los programas nocivos. China fue el líder mundial en la creación de programas nocivos. Los piratas chinos no se limitaron a crear sus propias variantes de programas troyanos, sino empezaron a adaptar programas creados en otros países. De hecho, ellos son los responsables de dos importantes ataques a sitios web llevados a cabo entre abril y octubre de 2008 cuando más de 2 millones de sitios de todo el mundo resultaron comprometidos. Los escritores de virus rusos estuvieron a la vanguardia gracias a su continua actividad en el área del malware 2.0. Esta actividad se demostró más claramente con Rustock.c y Sinowal, dos rootkits que plantean una gran amenaza y que implementan tecnologías más sofisticadas que las de los gusanos Zhelatin y Warezov. Como lo habíamos pronosticado, 2008 vio el renacimiento de los virus de archivos. A la tradicional tarea de infectar archivos se le añadió la función de robar información y la habilidad de difundirse a través de medios extraíbles, lo que hizo posible que se propagasen en poco tiempo a un gran número de equipos de todo el mundo. Página 1

2 Los gusanos en las unidades flash fueron capaces de evitar los métodos tradicionales de protección de las redes corporativas (como los antivirus de correo y servidores de archivos). Una vez penetrada, los gusanos podían difundirse por toda la red copiándose a sí mismos en todos los recursos de red accesibles. En 2008, muchas variantes de Zhelatin (alias Storm Worm) dejaron de difundirse. La historia de este gusano, de casi dos años (sus primeras variantes aparecieron en enero de 2007), generó muchas preguntas. La casi mítica red zombi (botnet) Storm, que según algunas estimaciones tenía más de 2 millones de equipos, nunca demostró todo su potencial, y los previstos gigantescos envíos de correo y ataques DDoS nunca ocurrieron. Esto pudo deberse al cierre de RBN (Russian Business Network), un ciber negocio de hosting. Las extensas discusiones sobre la posible implicación de esta red en prácticamente toda la actividad delictiva en Internet provocaron que sus desconocidos dueños transfirieran su negocio a docenas de sitios de hosting por todo el mundo, y a dirigir sus actividades de una forma más discreta. En otoño del año pasado la delincuencia informática recibió varios golpes. Gracias a la acción coordinada de las compañías de Internet, los gobiernos y las compañías antivirus se logró cerrar los servicios de hosting Atrivo/Intercage, EstDomains y McColo, lo que supuso una drástica caída del correo spam en Internet de más de 50%, que a su vez hizo que muchas redes zombi, controladas por recursos que habían sido cerrados dejaran de funcionar. Aunque a las pocas semanas el volumen de spam recuperó los niveles anteriores, hay que considerar este incidente como una de las victorias más importantes de los últimos años. Los temas principales de 2008 que afectaron a toda la industria antivirus y tuvieron grandes implicaciones en la industria de seguridad IT fueron: la difusión de los rootkits, de los programas nocivos para juegos online y de las redes zombi. La propagación de los rootkits se convirtió en un problema más serio que en el año anterior. Kaspersky Lab publicó tres importantes investigaciones sobre el tema: Todo sobre Rustock, La evolución de los Rootkit y Bootkit: el desafío de Todas estas publicaciones demostraron que los rootkits pueden ser usados para conducir sofisticados ataques y que toda la industria antivirus debe esforzarse seriamente para averiguar cómo detectarlos y combatirlos. La creciente popularidad de los sitios de redes sociales y su uso generalizado en los países con un gran número se usuarios de Internet (Sureste de Asia, India, China, Suramérica, Turquía, Norteamérica y los antiguos estados de la URSS) hizo que los ataques a las redes sociales y a través de ellas se convirtieran en algo corriente. Los expertos estiman que la difusión de códigos nocivos a través de redes sociales tiene un índice de eficacia del 10%, mucho mayor que a través de correo electrónico, que es de menos del 1%. Los sitios de redes sociales se usaron no sólo para difundir nuevos programas nocivos, sino también para recoger información y para realizar varios tipos de estafas como el phishing, por ejemplo. El caso más importante fue la epidemia Koobface; Kaspersky Lab detectó en julio de 2008 las primeras variantes de este gusano, que ataca a los usuarios de Facebook y MySpace y, desde diciembre, también a los de Bebo, otra popular red social. Página 2

3 En 2008, el número de programas nocivos diseñados para robar contraseñas de juegos en línea creció a un ritmo constante: durante el año se identificaron nuevos troyanos para juegos, tres veces más que en 2007 (32.374). Aunque la mayoría de los juegos en línea prohíben vender los bienes virtuales por dinero real, el número de compradores sigue creciendo. A los compradores no les importa si los bienes virtuales son ganados por otros jugadores o si son robados mediante un código nocivo. Esto, sin duda, favorece a los escritores de virus ya que aumenta el precio de la propiedad virtual y fomenta la criminalización del mercado de estos bienes. El término red zombi se convirtió el año pasado en algo corriente, mientras que hace unos años, solo las compañías antivirus lo usaban. Las redes zombi se han convertido en la fuente principal de spam, ataques DDoS y programas nocivos. Hay que aclarar que las redes zombi tienen una relación directa con todos temas remarcados en este artículo: rootkits, ataque a los usuarios de redes sociales y juegos en línea, etc. Esto no nos sorprende ya que estos mismos campos y tecnologías están ahora en el centro de atención. Y lo más importante, los eventos de 2008 demuestran que estos asuntos poseen un enorme potencial para crear problemas y no cabe duda que continuarán desarrollándose en un futuro cercano. La versión completa del informe contiene más detalles sobre cada uno de los temas mencionados arriba. Pronósticos Es obvio que las amenazas actuales no desaparecerán en 2009; los ataques a los jugadores en línea y a los sitios de redes sociales continuarán; las tecnologías malware se harán más sofisticadas, aumentará el número de redes zombi, y el cibercrimen como negocio y como servicio seguirá desarrollándose. La previsión de los expertos de Kaspersky Lab se refiere a unas tendencias que todavía no están claramente definidas pero que podrán tener un efecto importante en el desarrollo de las ciber amenazas en Epidemias globales Los expertos reconocieron en 2008 el fin de la larga era de epidemias globales. Este periodo, que empezó en 2000 y alcanzó su máximo en , se caracterizó por una gran cantidad de gusanos que causaron epidemias globales. Al principio se difundían por , y después, hacia el final del periodo, mediante ataques de red. En 2007 y 2008 el número de troyanos diseñados para robar información confidencial, sobre todo de cuentas bancarias y juegos online, creció rápidamente. Sin embargo, este año puede haber un cambio en esa tendencia con serios incidentes que sobrepasan las epidemias de años anteriores. La diseminación del gusano de red Kido es el primer ejemplo de esa epidemia. El cibercrimen mundial moderno ha entrado en un periodo de saturación del mercado: el número de personas y grupos activos en este mercado se ha crecido demasiado, suponiendo una gran competencia. Sin embargo, se espera un ulterior aumento de los cibercriminales en La razón principal es el descenso económico mundial: el Página 3

4 aumento en el número de desempleados, junto a la disminución de ofertas de trabajo en IT (debido al cierre de proyectos) hará que muchos programadores altamente cualificados se queden sin trabajo o sin suficientes ingresos. Algunas de estas personas serán contratadas por los cibercriminales, otras lo verán como una forma atractiva de ganar dinero. Dado que estos nuevos reclutas tienen unas destrezas técnicas mucho mayores que las de la mayoría de los cibercriminales, habrá una gran competencia. Solo hay una forma de sobrevivir en el competitivo mercado del cibercrimen: infectar el mayor número de máquinas en el menor tiempo posible. Y para lograr esto tendrán que llevar a cabo ataques regulares en millones de equipos. Troyanos para juegos: disminución de la actividad El pronóstico sobre la disminución de la actividad de los troyanos para juegos contradice la opinión de la mayoría de las compañías antivirus. Por ahora hay cientos de miles de troyanos para juegos. El hecho de ser fáciles de crear y el enorme número de víctimas potenciales, junto a otros factores, han llevado a la saturación del mercado del cibercrimen para juegos. Los ingresos de los que viven del robo de bienes virtuales han disminuido mientras que la competición entre cibercriminales se ha vuelto feroz. Las compañías antivirus están logrando dar abasto con el flujo de programas nocivos de juegos en línea, los usuarios se han vuelto más conscientes de los problemas de seguridad y las compañías de juegos han dado pasos para impedir las operaciones ilegales con las cuentas y bienes robados. El resultado de todo esto podría ser la disminución del número de programas nocivos para juegos en línea y de los grupos criminales que se especializan en crearlos. Malware 2.5 El Malware 2.0 ha sido reemplazado por un nuevo modelo conceptual: el de las enormes redes zombi distribuidas. Este modelo, creado por los piratas rusos e implementado en Rustock.c, el bootkit Sinowal y otros pocos programas nocivos, ha demostrado ser muy eficaz y confiable. El modelo se caracteriza por: la red zombi no tiene un centro de mando y control fijo red zombi migrante el centro de mando y control se comunica con las máquinas de la red zombi mediante potentes algoritmos criptográficos se usan centros de mando y control universales para administrar diferentes redes zombi Estas tecnologías se relacionan muy de cerca con la computación distribuida y la creación de sistemas que funcionan bajo cargas importantes con grandes volúmenes de información (arquitectura de alta carga). Se espera una mayor competencia entre agrupaciones cibercriminales en la creación de sistemas distribuidos altamente resistentes. En el futuro, los usuarios nocivos que logren crear sus propios sistemas serán los responsables del nivel general de amenazas. Grandes profesionales, con la habilidad de trabajar según el modelo de Malware 2.5, remplazarán a los inexpertos. Página 4

5 Phishing / estafas Las estafas y el phishing en Internet aumentarán. Los ataques de los cibercriminales se harán más intensos y sofisticados debido a dos factores: en primer lugar, en un tiempo de crisis, cuando se cierran bancos, cambian de dueños o tienen problemas de pagos, los estafadores tienen una mina de nuevas oportunidades para persuadir a los usuarios para que crean sus falsos mensajes; en segundo lugar, la sofisticación técnica necesaria para desarrollar y difundir nuevos programas nocivos obligará a muchos cibercriminales a buscar formas más simples y baratas de ganar dinero. Phishing puede ser una de las soluciones más atractiva. Migración a nuevas plataformas El aumento de la competencia entre los cibercriminales, que les lleva a infectar el mayor número de equipos, provocará la migración de las amenazas hacia plataformas que antes no atacaban normalmente. Esto afectará a todas las plataformas que no sean Windows, pero el impacto más importante lo sentirán sobre todo las plataformas de Mac OS y de móviles. Antes, los programas nocivos para estas plataformas eran, sobre todo, pruebas de concepto; ahora, sin embargo, la tasa de mercado de estas plataformas es lo suficientemente grande como para interesar a los cibercriminales. Además, tienen numerosos problemas de seguridad sin resolver y sus usuarios no están, por lo general, preparados para los ataques de programas nocivos. La versión completa de Boletín de seguridad Kaspersky 2008: Evolución del malware en 2008 puede encontrarse en viruslist.com. Página 5