Documentos de Académico
Documentos de Profesional
Documentos de Cultura
22
Abril 2017 Volumen
ndice
Introduccin
Sumario ejecutivo
Grandes nmeros
Ataques dirigidos:
Espionaje, subversin y
sabotaje
Correo Electrnico:
Malware, spam y phishing
Ataques web,
toolkits y explotacin de
vulnerabilidades online
Cibercrimen y la economa
clandestina
Ransomware:
Extorsionando a
consumidores y empresas
ndice
4 Introduccin 35 Kits de Exploit 60 Aumentan los pedidos de rescate
36 Ataques web 60 Vectores de infeccin
6 Sumario ejecutivo
36 Vulnerabilidades del navegador 62 Llega el ransomware como servicio
10 Grandes nmeros 37 Estudio de caso 62 Nuevas tcnicas: ataques dirigidos y
uso de herramientas del da a da
14 Ataques dirigidos: 37 Angler: La ascensin y cada de
un kit de exploit 63 Otras plataformas ahora vulnerables
Espionaje, subversin y
37 Lectura adicional 63 Operaciones de autoridades legales
sabotaje
37 Mejores prcticas 63 Lectura adicional
15 Introduccin
63 Mejores prcticas
15 Principales conclusiones 38 Cibercrimen y
17 El panorama de los ataques la economa clandestina 64 Nuevas fronteras: El Internet
dirigidos en 2016 39 Introduccin de las Cosas, dispositivos
18 Tendencias y anlisis 39 Principales conclusiones mviles y amenazas en la nube
18 Subversin surge como un nuevo motivo 65 El Internet de las Cosas
para ataques dirigidos
39 Malware
40 Uso de herramientas del da a da: 65 Principales conclusiones
19 Retornan los ataques de sabotaje
PowerShell, macros y ingeniera social 65 Tendencias y anlisis
19 Uso de herramientas del da a da
43 Estudio de caso de Botnet: Necurs 67 Datos por pas
20 Como los atacantes de Shamoon
emplearon tcticas con herramientas del 43 Todo est relacionado al dinero: 67 Contrseas
da a da Malware financiero
44 Incluso Mac 67 La botnet Mirai
21 Espionaje econmico
68 Una historia en evolucin
22 Surgen nuevas amenazas 45 Odinaff y Banswift: El ao del asalto
financiero dirigido 68 Visin futura
22 Lectura adicional
45 Banswift 69 Mejores prcticas
23 Mejores prcticas
46 Odinaff 69 Dispositivos Mviles
24 Correo Electrnico: Malware, 46 Violaciones de datos y 69 Principales conclusiones
spam y phishing la economa clandestina
69 Tendencias de malware de
25 Introduccin 46 Violaciones de datos dispositivos mviles
25 Principales conclusiones 47 Retrospectiva del ao 70 Motivos y tcnicas
48 Causas de violaciones de datos 71 Tasas de malware y grayware
25 Tendencias y anlisis
49 Sectores expuestos
25 Amenaza de Malware 71 Aumento de empaquetadores en
51 Datos por pas tiempo real
26 Phishing
52 Economa Clandestina 72 Vulnerabilidades en dispositivos
27 Fraudes BEC
54 Interferencias y interrupciones mviles
28 Spam permanece estable
54 Avalanche 72 Mejoras en la arquitectura Android
29 Investigaciones/Estudios de casos
54 Bayrob 73 Un sabor amargo para Apple
29 Cambio de tctica
54 Lurk/Angler 73 Mejores prcticas
29 Ice-cold: Tcnicas snowshoe y hailstorm
55 Dyre 74 Nube
30 Ingeniera social experimentada y
comprobada 55 Lectura adicional 74 Principales conclusiones
31 Ingeniera social y nuevas 55 Mejores prcticas 74 Tendencias y anlisis
plataformas de mensajera
56 Ransomware: Extorsionando a 75 Negocios de riesgo
31 Lectura adicional
consumidores y empresas 75 El pelirgro del ransomware
32 Mejores prcticas
57 Introduccin 75 IoT y nube: potenciales aliados en
el cibercrimen
33 Ataques web, toolkits y 57 Principales conclusiones
explotacin de vulnerabilidades 76 Uso de herramientas del da a da
57 Tendencias y anlisis
online 59 Investigaciones/Estudios de casos
76 Lectura adicional
34 Introduccin 59 Cmo ransomware puede afectar 76 Mejores prcticas
34 Principales conclusiones a los consumidores 77 Crditos
34 Tendencias y anlisis 59 Cmo ransomware puede afectar a las 78 Acerca de Symantec
empresas
34 Evaluacin de vulnerabilidades 78 Ms informacin
Informe sobre Amenazas para la Seguridad en Internet
ndice
GRFICOS & TABLAS
10 Grandes nmeros 34 Porcentaje de vulnerabilidades que eran 51 Los 10 principales pases por cifra de
crticas identidades robadas
14 Ataques direcionados: 35 Los 10 principales kits de exploit 52 Lista de precios de mercados clandestinos
Espionaje, subversin e sabotaje 36 Ataques web bloqueados por mes 53 El mercado clandestino
15 Lnea del tiempo de incidentes de 36 Clasificacin de los sitios web explotados
ataque dirigidos notables en 2016 con ms frecuencia 56 Ransomware: Extorsionando a
16 Grupos de ataques dirigidos notables 37 Vulnerabilidades del navegador consumidores y empresas
17 Total anual de vulnerabilidades de da cero 57 Promedio de detecciones globales de
38 Cibercrimen y la economa ransomware por da
17 Eleccin presidencial de EE.UU.: Lnea clandestina
del tiempo de los ataques en 2016 58 Detecciones globales de ransomware
39 Variantes nicas de malware detectadas por por mes
18 Vulnerabilidades divulgadas en sistemas de
control industrial
primera vez 58 Detecciones de ransomware por pas
39 Clculo mensual de variantes nicas de 58 Nuevas familias de ransomware
20 Las herramientas ms frecuentes que los malware vistas por primera vez en 2016
atacantes pueden usar de forma indebida 58 Nuevas variantes de ransomware
40 Variantes nicas de malware detectadas
21 Correo electrnico de spear phishing usado 59 Variantes de ransomware por mes
en los ataques al DNC 40 Clculo mensual de variantes nicas de
malware en 2016
59 Infecciones de consumidores x corporativas
59 Infecciones de consumidores x corporativas
24 Correo Electrnico: Malware, 41 Incidencia y tendencias de malware
por mes
spam y phishing 41 Panorama de ataque tpico en 2016 60 Promedio de Pedido de rescate
25 Tasa General de Malware de Correo tuvo las siguientes etapas
Electrnico 61 Principales amenazas de ransomware
42 Detecciones de archivos ejecutables de
26 Tasa Mensual de Malware de Correo JavaScript por mes
Electrnico
64 Nuevas fronteras: El Internet
42 Detecciones de archivos ejecutables de de las Cosas, dispositivos
26 Tasa de Malware de Correo Electrnico macros de Office por mes
por Sector
mviles y amenazas en la nube
42 Cifra de actividad de Bots
26 Tasa de Malware de Correo Electrnico 66 Ataques a cada hora al honeypot de
43 Archivos ejecutables entregados por la IoT por mes
por Tamao de Empresa botnet de spam Necurs
26 Tasa General de Phishing 66 Los 10 principales pases donde se
43 Los 10 principales troyanos financieros
iniciaron los ataques al honeypot IoT
27 Tasa Mensual de Phishing 44 Actividades de troyanos financieros por mes de Symantec
27 Tasa de Phishing por Sector 44 Distribucin de malware para Mac por mes, 67 Las 10 contraseas ms utilizadas para
27 Tasa de Phishing por Tamao de Empresa 2014-2016 intentar ingresar en el honeypot IoT de
28 Fraudes BEC: Lneas frecuentes de asunto 45 Las 10 principales instancias de malware Symantec
bloqueadas en los endpoints del OS X en 68 El rastro de interrupciones de Mirai en 2016
28 Tasa General de Spam
porcentaje de las infecciones totales
28 Tasa Mensual de Spam 70 Cifra total de detecciones por ao de
46 Violaciones de datos, 2014-2016 malware
29 Tasa de Spam por Tamao de Empresa
47 Violaciones de datos por mes, 2014-2016 70 Nmero acumulativo de familias de
29 Tasa de Spam por Sector
47 Identidades robadas por mes, 2014-2016 malware por ao
29 Detecciones de archivos ejecutables por mes
47 Tipos de datos perdidos en violaciones en 70 Variantes de dispositivos mviles por
30 Correos electrnicos bloqueados con 2016 familia
adjuntos WSF 70 Variantes de malware para dispositivos
48 Las 10 principales causas de violaciones de
30 Proceso tpico de infeccin por datos en 2016 mviles por ao
malware enviado por correo 48 Las 10 principales causas de violaciones de 71 Principales amenazas para dispositivos
electrnico datos por identidades robadas en 2016 mviles en 2016
31 Palabras clave usadas en campaas de 49 Los 10 principales sectores que sufrieron 71 Tasas de malware y grayware, 2014-2016
spam de malware violaciones por cifra de incidentes 72 Vulnerabilidades relatadas en
31 Idiomas preferidos usados en campaas 49 Los 10 principales subsectores que sufrieron dispositivos mviles por sistema
de spam violaciones por cifra de incidentes operativo
50 Los 10 principales sectores que sufrieron 72 Porcentaje de malware para dispositivos
33 Ataques web, toolkits y violaciones por cifra de identidades robadas mviles en el campo que es empaquetado
explotacin de vulnerabilidades
50 Los 10 principales subsectores que sufrieron 73 Participacin de mercado de diferentes
online violaciones por cifra de identidades robadas versiones de Android, enero de 2017
34 Sitios web escaneados con vulnerabilidades 51 Los 10 principales pases por cifra de 74 Aplicaciones en la nube ms utilizadas en
violaciones de datos las compaas
Informe sobre Amenazas para la Seguridad en Internet
Introduccin
00
Seccin
OO Introduccin Pgina 5 ISTR Abril 2017
Symantec cre la red global de recopilacin de Asimismo, Symantec mantiene una de las bases de datos
amenazas civiles ms grande del mundo y una de de vulnerabilidades ms amplia del mundo, actualmente
compuesta por ms de 88.900 vulnerabilidades registradas
las ms completas colecciones de inteligencia sobre
(que abarcan ms de dos dcadas) de 24.560 proveedores que
amenazas a la ciberseguridad a travs de Symantec representan ms de 78.900 productos.
Global Intelligence Network. La Red de Inteligencia
El anlisis de tendencias de malware de spam, phishing y
Global de Symantec rastrea ms de 700.000 correo electrnico es recopilado de una gama de tecnologas de
adversarios globales y registra eventos de 98 millones seguridad de Symantec que procesan ms de 2.000 millones
de sensores de ataque en todo el mundo. de correos electrnicos todos los das, incluyendo: Skeptic,
Symantec Messaging Gateway para Proveedores de Servicios,
Esta red monitorea actividades de amenazas en ms Symantec CloudSOC y Symantec Probe Network.
de 157 pases y territorios a travs de una combinacin Skeptic es la tecnologa heurstica propietaria de Symantec,
de productos, tecnologas y servicios de Symantec, incluida en el producto Symantec Email and Web Security.
incluyendo Symantec Endpoint Protection, Symantec cloud, que filtra ms de 336 millones de correos electrnicos
DeepSight Intelligence, Symantec Managed Security y ms de 2.400 millones de solicitudes en la web todos los das.
Symantec tambin rene informacin sobre phishing a travs
Services, los productos Norton para consumidores y
de una amplia comunidad antifraude, compuesta por empresas,
otras fuentes de datos de terceros, con la generacin de proveedores de seguridad y aliados.
ms de nueve trillones de lneas de datos de seguridad. Symantec Cloud Threat Labs proporciona el anlisis detallado
de amenazas y riesgos con base en la nube, desarrollado usando
datos de la tecnologa de seguridad de Symantec CloudSOC, que
en 2016 protegi ms de 20.000 aplicaciones en la nube, 176
millones de documentos en la nube y 1.300 millones de correos
electrnicos. Symantec CloudSOC es la solucin de CASB (Cloud
Access Security Broker) de la empresa y fue desarrollada para
brindar visibilidad, control y proteccin a aplicaciones y datos
basados en la nube.
Symantec Web Application Firewall & Reverse Proxy realiza el
escaneo diario de 1.000 millones de solicitudes Web que no
haban sido vistas anteriormente.
Symantec Website Security protege desde 2004, 1,4 millones de
servidores web en todo el mundo con 100% de disponibilidad.
La infraestructura de validacin procesa ms de 15.7000
millones de consultas OCSP (Protocolo Online de Status
de Certificados) por da, usadas para obtener el status de
revocacin de certificados digitales X.509 en todo el mundo.
Esos recursos brindan a los analistas de Symantec fuentes
inigualables de datos para identificar, analizar y proporcionar
comentarios actualizados sobre las amenazas emergentes de
ataques, actividades de cdigos maliciosos, phishing y spam. El
resultado es el Informe Anual sobre Amenazas para la Seguridad
en Internet Symantec, que ofrece a las organizaciones,
pequeas empresas y consumidores, informacin fundamental
para proteger sus sistemas de forma eficaz tanto ahora como en
el futuro.
Volver al ndice
Informe sobre Amenazas para la Seguridad en Internet
Sumario
ejecutivo
01
Seccin
O1 Sumario ejecutivo Pgina 7 ISTR Abril 2017
Los grupos de ataque revelaron nuevos niveles de Ataques dirigidos: Subversin y sabotaje toman cuenta
ambicin en 2016, un ao marcado por ataques de las principales noticias
increbles, incluyendo asaltos virtuales de varios El mundo del ciberespionaje pas por un cambio importante
millones de dlares a bancos, intentos explcitos de hacia actividades ms explcitas, destinadas a desestabilizar y
desorganizar las organizaciones y los pases blanco de ataque.
interrumpir el proceso electoral de EE.UU a travs de
Los ciberataques contra el Partido Demcrata de E.EUU. y la
grupos patrocinados por naciones y algunos de los subsiguiente filtracin de informacin robada fueron uno de los
mayores ataques distribuidos de denegacin de servicio principales puntos de discusin de las elecciones presidenciales
(DDoS ) ya registrados, conducidos por una botnet de en EE.UU. Con la Comunidad de Inteligencia de EE.UU.
dispositivos del Internet de las Cosas (IoT). atribuyendo los ataques a Rusia y concluyendo que la campaa
habra sido juzgada un xito, es posible que esas tcticas se
Si bien los ciberataques lograron causar niveles utilicen nuevamente en esfuerzos para influir la poltica y
sin precedentes de interrupcin de servicios, los sembrar el caos en otros pases.
atacantes frecuentemente usaron herramientas y Los ciberataques que involucran sabotaje han sido
tcticas muy simples para ocasionar un gran impacto. tradicionalmente raros, sin embargo 2016 vio dos olas
separadas de ataques que contenan malware destructivo.
Vulnerabilidades de da cero y malware sofisticado
En enero y nuevamente en diciembre se us en Ucrania el
ahora tienden a ser usados con moderacin y los malware contra objetivos determinados, un malware que borra
delincuentes cada vez ms buscan esconderse en el contenido de discos, tales ataques ocasionaron tambin
reas abiertas. Usan abordajes simples, como correo cortes de energa. Mientras tanto, el troyano Shamoon, que
electrnico de spear phishing y herramientas del da tambin borra el contenido de discos, resurgi tras cuatro aos
a da, empleando cualquier herramienta que consigan de ausencia y fue usado contra varias organizaciones en Arabia
Saudita.
acceder, como software legtimo de administracin de
red y recursos del sistema operativo. El aumento de los ataques disruptivos coincidi con el
descenso de algunas actividades secretas, especficamente
Mirai, la botnet responsable de una ola de ataques el espionaje econmico, robo de propiedad intelectual y
secretos comerciales. Tras un acuerdo en 2015 entre EE.UU.
DDoS, fue compuesta principalmente por ruteadores y
y China, en el que los dos pases prometierom no realizar
cmaras de seguridad infectadas, dispositivos de baja espionaje econmico en el ciberespacio, las detecciones de
potencia y mal protegidos. En manos equivocadas, malware vinculadas a grupos chinos sospechosos de espionaje
incluso los dispositivos y software relativamente disminuyeron considerablemente. Sin embargo, eso no significa
benignos pueden emplearse para causar un efecto que el espionaje econmico haya desaparecido completamente
devastador. y llega en un momento en el que otras formas de ataques
dirigidos, como subversin o ataques financieros de alto nivel
han aumentado.
Volver al ndice
O1 Sumario ejecutivo Pgina 8 ISTR Abril 2017
En 2016, otros dos grupos apostaron ms alto lanzando ataques Cuando se ejecutan correctamente los abordajes que utilizan
mucho ms ambiciosos. El grupo Banswift logr robar US$ herramientas del da a da pueden ocasionar infecciones casi
81 millones del Banco Central de Bangladesh, explotando las asintomticas, lo que permite que los atacantes se escondan
debilidades en la seguridad del banco para infiltrarse en su fcilmente.
red y robar sus credenciales SWIFT, permitindole efectuar
transacciones fraudulentas. El correo electrnico resurge como canal de ataque
Otro grupo, conocido como Odinaff, tambin fue descubierto preferido
al ejecutar ataques sofisticados contra bancos y otras En 2016, los correos electrnicos maliciosos fueron el arma
instituciones financieras. El grupo tambin pareca usar principal de varios ciberataques usados por todos, desde grupos
malware para ocultar los registros de mensajes SWIFT de de ciberespionaje patrocinados por naciones hasta pandillas de
clientes, relacionados a transacciones fraudulentas realizadas ransomware que envan masivos correos electrnicos. De cada
por el grupo. 131 correos electrnicos enviados uno era malicioso, la tasa
Mientras que Banswift y Odinaff demostraron poseer ms alta en cinco aos.
competencia tcnica y emplearon tcticas asociadas con grupos La popularidad renovada del correo electrnico se debe a varios
avanzados, grupos mucho menos sofisticados tambin robaron factores. Es un comprobado canal de ataque. No se basa en
grandes sumas de dinero. Los fraudes BEC (Business Email vulnerabilidades, sino que usa un artificio sencillo para atraer a
Compromise), que usan bsicamente correos electrnicos spear- las vctimas a abrir archivos adjuntos, seguir enlaces o revelar
phishing cuidadosamente compuestos, continan causando sus credenciales. Los correos electrnicos de spear phishing,
grandes prdidas; ms de US$ 3.000 millones robados en los tales como correos electrnicos falsificados que instruyen a la
ltimos tres aos. vctima a redefinir su contrasea del Gmail, se usaron en los
ataques electorales de EE.UU.
Uso de herramientas del da a da Los correos electrnicos camuflados como correspondencia de
Atacantes que van desde cibercriminales a grupos patrocinados rutina, de facturas o notificaciones de entrega, fueron el medio
por naciones han comenzado a cambiar sus tcticas, al aplicar preferido para propagar el ransomware. La disponibilidad de
un mayor uso de recursos del sistema operativo, herramientas botnets de spam de fcil contratacin, como Necurs, permiti
listas para uso y servicios en la nube para invadir a sus vctimas. que los grupos de ransomware elaborasen campaas de correo
El caso ms marcante que utiliza herramientas del da a da electrnico masivo en 2016, distribuyendo a diario cientos de
se produjo durante las elecciones de EE.UU. Un simple correo miles de correos electrnicos maliciosos.
electrnico de spear phishing proporcion el acceso a la cuenta
de Gmail del presidente de la campaa de Hillary Clinton, John Ransomware presiona a las vctimas con crecientes
Podesta, sin usar cualquier malware o vulnerabilidades. exigencias
La tctica de uso de herramientas del da a da utiliza los El ransomware contina preocupando a las empresas y a los
recursos disponibles en vez de malware y exploits, y ofrece consumidores, con campaas indiscriminadas que distribuyen
muchas ventajas a los atacantes. Identificar y explotar grandes volmenes de correos electrnicos maliciosos. En
vulnerabilidades de da cero se ha vuelto ms difcil, debido algunos casos, las empresas pueden quedar sobrecargadas
a las mejoras en desarrollo seguro y a los programas de por el gran volumen de correos electrnicos que reciben con
recompensas. Los toolkits de ataques Web han perdido ransomware. Los delincuentes exigen cada vez ms de las
popularidad, posiblemente gracias al esfuerzo necesario para vctimas con el aumento del pedido promedio de rescate en
mantener los exploits actualizados y una infraestructura de 2016 para US$ 1.077, en comparacin con US$ 294 del ao
backend. anterior.
Las poderosas herramientas de script, como PowerShell y Los atacantes perfeccionaron un modelo de negocios que
macros, son recursos estndar del Windows y del Microsoft generalmente utiliza malware escondido en correos electrnicos
Office que pueden facilitar el acceso remoto y descargas de inofensivos, cifrado irrompible y pago de rescate annimo
malware sin usar vulnerabilidades o herramientas maliciosas. empleando criptomonedas. El xito de este modelo de negocio
Aunque existen desde hace casi 20 aos, los macros de Office ha visto un creciente nmero de delincuentes que aprovechan
resurgieron en el panorama de amenazas, ya que los atacantes esta oportunidad. El nmero de nuevas familias descubiertas
emplean tcnicas de ingeniera social y logran fcilmente violar de ransomware en 2016 ms que triplic para 101 y Symantec
las medidas de seguridad que fueron implementadas para registr un aumento del 36% en infecciones por ransomware.
resolver el antiguo problema de los virus de macros.
Volver al ndice
OO Introduccin Pgina 9 ISTR Abril 2017
Volver al ndice
Informe sobre Amenazas para la Seguridad en Internet
Grandes
nmeros
02
Seccin
Violaciones 2014 2015 2016
Total de violaciones
11 13 15
Violaciones con ms
de 10 millones de
identidades expuestas
91,9M 98,6M
Nmero de bots
Dispositivos Mviles Nuevas Familias de Malware
para Dispositivos Mviles Android
2014 2015 2016
Nuevas vulnerabilidades TOTAL
3.900 3.600
2.200
340.665 463.841
Nmero de detecciones
101
30 30
Familias de ransomware
Nmero promedio
841 928
de aplicaciones en 774
la nube usadas por
organizacin
Velocidad de ataque
Nmero de ataques 9
contra el honeypot 5
de Symantec
por hora
ENE | 2016 DIC | 2016
Informe sobre Amenazas para la Seguridad en Internet
Ataques dirigidos:
Espionaje, subversin y
sabotaje
03
Seccin
O3 Ataques direcionados: Espionaje,
subversin e sabotaje Pgina 15 ISTR Abril 2017
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
Siete iranes acusados Datos robados del Symantec Divulgacin de datos Interrupciones de
de ciberataques contra Comit del Partido descubre un grupo robados de la Agencia energia en Ucrania,
blancos norteamericanos Demcrata (DNC) de ciberespionaje Mundial de Antidoping sospechosas de
son divulgados (WADA) estar vinculado a
online ciberataques
Volver al ndice
O3 Ataques direcionados: Espionaje,
subversin e sabotaje Pgina 16 ISTR Abril 2017
Volver al ndice
O3 Ataques direcionados: Espionaje,
subversin e sabotaje Pgina 17 ISTR Abril 2017
MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
DNC identific archivos y WikiLeaks publica aproximadamente Agencias de inteligencia de
malware que lo llevaron 20.000 correos electrnicos de DNC EE.UU. divulgaron un comunicado
a identificar dos grupos para informar que estaban
rusos que supuestamente seguros de que Rusia haba
haban accedido a su red DNC identific el acceso de los liderado los ataques contra los
invasores y afirm haber cerrado y grupos polticos norteamericanos
asegurado su red
El Comit Nacional Demcrata (DNC)
fue comunicado por el FBI que su
infraestructura haba sido violada Primera liberacin de datos robados de DNC
publicados online con uso del BitTorrent
Volver al ndice
O3 Ataques direcionados: Espionaje,
subversin e sabotaje Pgina 18 ISTR Abril 2017
El declive en el descubrimiento de ataques de da cero se produce En agosto de 2016, se divulgaron de forma online datos
despus que el mercado clandestino de vulnerabilidades tuvo valiosos vinculados al grupo de ciberespionaje Equation, por
destaque en 2015, seguido de la violacin de Hacking Team. un grupo llamado Shadow Brokers. La fuga de datos contena
Hubo filtracin de mltiples explotaciones de da cero como herramientas y exploits usados por Equation, y el grupo
parte de la violacin, adems de informacin sobre cuanto Shadow Brokers aleg que era una fraccin de lo que se haba
dinero esos exploits estaban generando. obtenido, ofreciendo subastar el resto al mejor postor.
Sin embargo, se produjeron varios casos de vulnerabilidades de La mayora de los archivos difundidos parece tener varios aos,
da cero explotadas en ataques dirigidos en 2016. Por ejemplo, con fechas entre 2010 y 2013. Cmo llegaron a manos del grupo
tras descubrir que una vulnerabilidad de da cero estaba siendo que divulg la informacin, nadie lo sabe. El grupo Shadow
explotada de forma activa, Adobe lanz en octubre un parche Brokers era desconocido antes de este incidente, sin embargo,
para Flash Player. Tres vulnerabilidades en el iOS de Apple, es posible tambin que sea un pseudnimo de otro grupo.
conocidas colectivamente como Trident, fueron divulgadas Debido a que los intentos de Shadow Brokers de vender los
y corregidas en agosto, luego de descubrirse que haban sido datos robados parecan sin conviccin, es probable que difamar
usadas en un ciberataque contra un activista de los derechos al grupo Equation en vez de ganancia monetaria fue el principal
humanos en los Emiratos rabes Unidos. En mayo, Microsoft motivo de la filtracin de datos.
corrigi una vulnerabilidad de da cero del Internet Explorer,
El incidente subversivo ms marcante del ao fue una serie
que fue explotado en ataques dirigidos en Corea del Sur.
de invasiones contra el Partido Demcrata, que se produjo en
el perodo que antecedi a la eleccin presidencial de 2016
Vulnerabilidades divulgadas en sistemas de control
en EE.UU. Una investigacin conjunta de la Comunidad de
industrial
Inteligencia de EE.UU. concluy que dos grupos vinculados a
El nmero de vulnerabilidades descubiertas en sistemas de control industrial
(ICS) cay en relacin a 2015.
los servicios de inteligencia rusos fueron responsables de la
campaa.
250 Los dos grupos eran previamente conocidos por Symantec y
estn activos desde hace varios aos, participando en espionaje
200
200 contra una serie de blancos en EE.UU. y en Europa. Fritillary
150 176 165 (aka APT29 y Cozy Bear) est activo al menos desde 2010 y
era conocido por usar la familia de troyanos Duke contra sus
100
vctimas, como por ejemplo Cozyduke (Trojan.Cozer) y Seaduke
50 (Trojan.Seaduke). Swallowtail (tambin conocido como APT28
y Fancy Bear) est activo desde hace por lo menos 10 aos y
2014 2015 2016 generalmente usa el troyano Sofacy (Infostealer. Sofacy) como
una de sus principales herramientas de malware. Fritillary
es conocido por tener como blanco de ataque a individuos
Del mismo modo, el nmero de vulnerabilidades en sistemas
y compaias de alto nivel en el gobierno, en la poltica
de control industrial (ICS) descubiertas durante 2016 cay en
internacional y en las entidades de investigacin en la Unin
relacin a 2015, y eso brinda ms evidencias que sugieren que
Europea y Estados Unidos, mientras que Swallowtail se dirige
las vulnerabilidades se han vuelto ms difciles de encontrar
principalmente a militares, gobiernos, embajadas y a los
para los atacantes.
equipos de empresas contratadas para la defensa en pases de
Europa Oriental.
Tendencias y anlisis En septiembre, Swallowtail tambin estuvo involucrado en la
filtracin de registros mdicos robados de la Agencia Mundial
La subversin surge como un nuevo motivo para los ataques
de Antidoping (WADA). Tras una invasin, se divulgaron los
dirigidos.
datos relacionados a los atletas olmpicos estadounidenses,
Una de las tendencias que ms llamaron la atencin en 2016
ciclistas britnicos y de otros pases.
fue el destaque de operaciones que intentan influir en eventos
polticos en pases blanco de ataque. Tradicionalmente, los De acuerdo con WADA, Swallowtail fue responsable de la
grupos de ataques dirigidos se concentraban en el espionaje invasin. El grupo adopt la estrategia inusual de crear su
y mantuvieron un perfil discreto para evitar que fuesen propio sitio web (usando el apodo Fancy Bear) para publicar
detectados, sin embargo varios grupos aadieron operaciones los datos robados junto con reivindicaciones que contenan
ms explcitas a su lista en 2016. pruebas de atletas que haban infringido reglas de antidoping.
Volver al ndice
O3 Ataques direcionados: Espionaje,
subversin e sabotaje Pgina 19 ISTR Abril 2017
Las invasiones a DNC y a WADA constituyeron un gran cambio una ausencia de cinco aos. Usado por primera vez en ataques
en la tctica de estos grupos, que no se haban involucrado contra el sector de energa en Arabia Saudita en 2012, una nueva
anteriormente en ese tipo de actividad subversiva. El informe variante (W32.Disttrack.B) fue usada contra blancos de ataque
de la comunidad de inteligencia de EE.UU. sobre el robo de en Arabia Saudita en noviembre de 2016 y en enero de 2017.
datos de DNC y subsiguientes divulgaciones pblicas, revel que
En la primera ola de nuevos ataques, el malware fue configurado
formaban parte de una campaa de influencia conducida por el
para lanzar su carga til y borrar el contenido de los discos el
gobierno ruso teniendo como objetivo la eleccin presidencial de
jueves, 17 de noviembre a las 20:45, horario local. La semana
EE.UU en 2016. Tambin concluy que la campaa habra sido
laboral en Arabia Saudita es de domingo a jueves. De ese modo,
vista como un xito en Rusia y que esas actividades posiblemente
el ataque fue coordinado para que se produjese despus de
se usarn para informar futuras operaciones de influencia.
que la mayora del equipo hubiese regresado a sus casas para
Dado el comprobado potencial para sembrar el caos y el fin de semana, en la esperanza de reducir la posibilidad de
confusin, existe una fuerte probabilidad de que esas tcticas descubrirse antes que el dao mximo pudiese ser causado.
puedan emplearse nuevamente en un intento de desestabilizar
El malware Shamoon fue configurado con contraseas que
a otros pases. Francia y Alemania tienen elecciones este ao
parecan haber sido robadas de las empresas vctimas. Esas
y Bruno Kahl, jefe del servicio de inteligencia extranjera en
contraseas probablemente se utilizaron para permitir que el
Alemania, dijo que el mismo tipo de ataques ya ha empezado
malware se propagase por la red de una empresa.
contra Alemania. Existen evidencias de ciberataques que
no tienen otra finalidad sino desencadenar la incertidumbre Es posible que los ataques tuvieran intereses polticos. En los
poltica, dijo Bruno Kahl. Los delincuentes estn interesados ataques de 2012, las computadoras infectadas tuvieron su
en deslegitimar el proceso democrtico, no importa a quien registro maestro de inicializacin borrado y sustituido por
ayude eso posteriormente. una imagen de una bandera en llamas de EE.UU. Los ltimos
ataques usaron una foto del cuerpo de Alan Kurdi, el refugiado
Retornan los ataques de sabotaje sirio de tres aos que se ahog en el Mediterrneo en 2015.
Los ataques de sabotaje resurgieron en 2016, empezando con Los ataques de noviembre eran vinculados a un grupo conocido
una serie de ataques contra Ucrania que involucraba el uso como Greenbug, que fue descubierto por Symantec durante su
de malware que borra el contenido de discos. Los ataques se investigacin sobre los ataques Shamoon. Greenbug tiene como
vincularon a otro grupo, posiblemente ruso, de ciberespionaje vctimas una serie de empresas en Medio Oriente, que incluyen
conocido como Sandworm y contena un troyano altamente empresas en los sectores de aviacin, energa, gobierno, finanzas
destructivo (Trojan. Disakil). Ataques en el fin de 2015 e inicios y educacin. Symantec descubri que Greenbug infect al
de 2016 afectaron a organizaciones de medios de comunicacin menos una computadora administradora perteneciente a una
y al sector de energa en Ucrania, siendo que este ltimo fue empresa que fue posteriormente afectada por Shamoon.
asociado a cortes de energa en el pas.
Los ataques de enero se perpetraron por un grupo conocido
Disakil retorn a fines de 2016, cuando una nueva versin como Timberworm (vea el panel Cmo los grupos de ataque
circul camuflada de ransomware. Se supone que el malware de Shamoon usaron tcticas con herramientas del da a
fue utilizado en una serie de intentos de ataques contra el da). Aunque Greenbug y Timberworm parecan ser grupos
sector financiero en Ucrania. distintos, si ambos estn distribuyendo Shamoon, es probable
La variante fue proyectada para ejecutarse en computadoras que sea hacia una nica entidad.
Linux y, al ejecutarse, las tornaba inutilizables al cifrar
archivos esenciales del sistema operativo. Una vez que el Uso de herramientas del da a da
cifrado termina, se exhibe un mensaje solicitando un rescate de Los grupos de ataque comenzaron a alterar sus tcticas,
222 Bitcoin (aproximadamente US$ 210.000 en el momento de ampliando su gama de herramientas y muchos grupos ya no
los ataques). El pago del rescate no descodificaba los archivos dependen ms del tradicional toolkit de malware para ataque
afectados, siendo que las claves de cifrado generadas en la y vulnerabilidades de da cero. A pesar de que no sea una
computadora infectada no eran guardadas localmente ni en un nueva tcnica, los delincuentes estn usando cada vez ms
servidor de comando y control (C&C). El malware posiblemente herramientas del da a da, recursos del sistema operativo,
fue disfrazado como ransomware, para engaar a las vctimas legtimas herramientas y servicios en la nube para afectar las
y que no investigasen completamente los ataques. redes. Esa tctica puede dificultar la deteccin de ataques, una
vez que es ms difcil detectar el uso malicioso de herramientas
Tambin se produjeron ataques de sabotaje en otras regiones,
legtimas que la presencia de malware.
uno de los ms notables fue el retorno del malware de Shamoon
(W32.Disttrack), que borra el contenido de discos, luego de
Volver al ndice
O3 Ataques direcionados: Espionaje,
subversin e sabotaje Pgina 20 ISTR Abril 2017
MILLONES
cabo en noviembre de 2016 y nuevamente en enero de 2017. 3
3,2M
Mientras que los ataques de noviembre estaban vinculados a un 2
grupo conocido como Greenbug, los ataques de enero se lanzaron 2,0M
por Timberworm, un grupo de ciberespionaje responsable de una 1
Volver al ndice
O3 Ataques direcionados: Espionaje,
subversin e sabotaje Pgina 21 ISTR Abril 2017
Al hacer clic, la vctima era direccionada hacia una pgina falsa de De ah, fueron capaces de usar herramientas nativas del sistema
redefinicin de contrasea, encubierta para parecer una pgina operativo como Qwinsta y Whoami para extraer informacin
legtima de redefinicin de cuentas del Gmail. No se necesitaron sobre el servidor invadido. Tras 20 minutos de invasin inicial,
ningn malware o exploits para ejecutar el ataque. En lugar de el grupo us la herramienta PsExec de Microsoft Sysinternals
ello, se utiliz simple ingeniera social para obtener la contrasea. para propagarse hacia otras dos computadoras en la red de la
vctima.
Correo electrnico de spear phishing usado en los ataques Recientemente otra organizacin hizo uso de esta tctica,
al DNC el grupo con base en China llamado Tick, que ha enfocado
El texto del correo electrnico de spear phishing enviado a John Podesta, el principalmente en empresas japonesas desde hace por lo
presidente de la campaa presidencial Clinton 2016.
menos 10 aos. Campaas recientes del grupo usan correos
electrnicos de spear phishing e invaden sitios web japoneses
para infectar a sus vctimas.
Una de las principales herramientas del Tick es su propio malware
personalizado (Backdoor.Daserf), pero el grupo tambin usa una
variedad de herramientas como Mimikatz, Windows Credential
Editor y GSecdump (Gsecdump), una herramienta de hackeo que
puede usarse para robar hash del Gerenciador de cuentas de
seguridad (SAM), Active Directory y sesiones activas.
Existen tambin instancias de grupos de ataque que utilizan
servicios bsicos en la nube, en vez de servidores de comando
y control para exfiltracin de datos. Por ejemplo, se descubri
que Fritillary, uno de los grupos que atac el DNC, us alrededor
de 200 cuentas Microsoft OneDrive para exfiltrar los datos
robados. El objetivo pareca esconderse en lugares visibles y los
grupos de ataque pueden haber decidido que los datos movidos
hacia OneDrive podran confundirse con una actividad legtima.
Espionaje econmico
En septiembre de 2015, EE.UU. y China llegaron a un acuerdo
en el que ninguno de ellos conducira espionaje econmico en
el ciberespacio. Segn los trminos del acuerdo, los dos pases
concordaron que ningn gobierno conducira o apoyara
conscientemente el robo con ciberherramientas de propiedad
intelectual, incluyendo secretos comerciales u otra informacin
comercial confidencial, con la intencin de ofrecer ventajas
competitivas a empresas o sectores comerciales.
Otro ejemplo de uso de herramientas del da a da es Dada la naturaleza de tales operaciones de espionaje, puede ser
proporcionado por el grupo de ciberespionaje Chafer, que difcil establecer si este acuerdo est funcionando. Sin embargo,
parece tener base en Irn. Uno de sus vectores de ataque es el anlisis de Symantec encontr fuertes evidencias de que hubo
invadir los servidores web, explotando vulnerabilidades una reduccin acentuada en la actividad de grupos probablemente
identificadas a travs de herramientas de verificacin web. En asociados a China desde que el acuerdo fue firmado.
una reciente invasin contra un blanco en Turqua, Symantec
El anlisis de las detecciones de familias de malware usadas
descubri que Chafer utiliz una herramienta de software
por grupos de ciberespionaje, que Symantec cree que tiene
llamada JexBoss para identificar una versin comunitaria
bases en China, brind una visin sobre los niveles de actividad
ms antigua, sin parches de correccin, de JBoss Application
en el transcurso del tiempo. Casi inmediatamente despus
Server perteneciente a la vctima. De ese modo, el grupo
de la firma del acuerdo, el nmero de invasiones disminuy
implant un web shell en el servidor, un script que permite la
considerablemente. Los ndices de invasin continuaron
administracin remota, as como una copia de la herramienta
disminuyendo en los siguientes meses y permanecieron bajos
de software Mimikatz.
en el fin del ao.
Volver al ndice
O3 Ataques direcionados: Espionaje,
subversin e sabotaje Pgina 22 ISTR Abril 2017
Volver al ndice
O3 Ataques direcionados: Espionaje,
subversin e sabotaje Pgina 23 ISTR Abril 2017
Mejores prcticas
|| Cntrese en mltiples sistemas de defensa, sobrepuestos
y que tengan sinergia para proteger contra fallas en
puntos nicos en cualquier tecnologa o mtodo de
proteccin. Esto debe incluir la implantacin de firewalls
actualizados regularmente, as como antivirus para
gateway, sistemas de deteccin o proteccin de invasiones
(IPS), identificacin de vulnerabilidades de sitios web con
proteccin contra malware y soluciones de seguridad web
para gateway en toda la red.
|| La explotacin de vulnerabilidades es una tctica
frecuentemente usada por grupos de ataques dirigidos.
Reciba alertas para nuevas vulnerabilidades y amenazas
en plataformas de proveedores y aplique las correcciones
para vulnerabilidades conocidas lo ms rpido posible.
|| Implemente y aplique una poltica de seguridad a travs
de la cual los datos confidenciales son cifrados cuando se
almacenan o se transmiten. Garantice que los datos del
cliente tambin sean cifrados. Eso puede ayudar a mitigar
los daos de potenciales prdidas internas de datos de
una organizacin.
|| Los grupos de ataque frecuentemente usan credenciales
robadas o estndar para invadir una red. Garantice que las
contraseas sean fuertes.
Las contraseas importantes, como las que poseen altos
privilegios, deben contener por lo menos 8-10 caracteres e
incluir una combinacin de letras y nmeros.
Incentive a los usuarios a evitar la reutilizacin de
las mismas contraseas en varios sitios y debe estar
prohibido compartirlas con otras personas. Excluya
credenciales y perfiles no utilizados y limite el nmero de
perfiles creados de nivel administrativo.
|| Instruya a los funcionarios acerca de los peligros de
correos electrnicos de spear phishing, que incluyen
la cautela necesaria para los correos electrnicos de
fuentes desconocidas y abrir archivos adjuntos que no
fueron solicitados. Una solucin completa de proteccin
ayuda en la defensa contra las amenazas enviadas por
correo electrnico, incluyendo Symantec Email Security.
cloud que puede bloquear las amenazas transmitidas por
correo electrnico y Symantec Endpoint Protection, que
puede bloquear malware en los endpoints. La tecnologa
Symantec Messaging Gateway Disarm tambin puede
proteger a las computadoras de amenazas, removiendo
el contenido malicioso de documentos adjuntos incluso
antes de llegar al usuario.
Volver al ndice
Informe sobre Amenazas para la Seguridad en Internet
Correo Electrnico:
Malware, spam y
phishing
04
Seccin
O4 Correo Electrnico: Malware, spam
y phishing
Pgina 25 ISTR Abril 2017
Tasa Mensual de Malware por Correo Electrnico Con excepcin de las ventas al por menor, que vio una
La tasa mensual de malware por correo electrnico muestra cadas acentuadas disminucin en su tasa de malware de correo electrnico (1
en abril y junio, que pueden relacionarse a la actividad de autoridades legales de cada 74 correos electrnicos en 2015 para 1 de cada 135
contra varios grupos de cibercriminales.
correos electrnicos en 2016), cada sector vio un aumento
en el volumen de malware va correo electrnico en 2016.
50
Los aumentos ms considerables fueron en los sectores de
100 Transportes (1 de cada 338 correos electrnicos para 1 de cada
176), Finanzas (1 de cada 310 para 1 de cada 182), y Minera
150
(de 1 de cada 304 para 1 de cada 139). El segmento de salud
1 EN
1501-2500 104
Tasa de Malware de Correo Electrnico por Sector
Las Ventas al por Mayor y la Agricultura fueron los sectores de la industria +2501 170
clasificados como los ms afectad.
Phishing
Tasa de Malware de Correo
Sector
Electrnico (1 de cada)
En los ltimos aos las tasas de phishing estn en descenso
y cayeron nuevamente en 2016, pasando de 1 de cada 1.846
Establecimientos No Clasificables 103
correos electrnicos para 1 de cada 2.596 correos electrnicos.
Agricultura, Forestal y Pesca 111
Tasa General de Phishing
Comercio Mayorista 111
Volver al ndice
O4 Correo Electrnico: Malware, spam
y phishing
Pgina 27 ISTR Abril 2017
sitios web de gran importancia, incluyendo Spotify, Netflix y Tasa de phishing por tamao de empresa
PayPal. Tambin se relat un aumento de la actividad en torno La tasa ms grande de phishing se produjo en el grupo de empresas de tamao
de la familia de amenazas Kovter (Trojan.Kotver). Sin embargo, de 251 a 500 funcionarios, con 1 de cada 2.554 correos electrnicos recibidos
clasificados como intentos de phishing.
no existe ninguna evidencia para que la tasa de phishing haya
cado tan acentuadamente en ese mes. Tamao de la Empresa Tasa de Phishing (1 de cada)
1-250 2897
Tasa mensual de phishing
Las cifras mensuales de la tasa de phishing muestran una cada notable 250-500 2554
en octubre, pero no hubo ninguna evidencia motivo para una cada tan
significativa en ese mes. 501-1000 4023
1001-1500 6640
1.000
1501-2500 2610
2.000
+2501 3323
3.000
1 EN
Volver al ndice
O4 Correo Electrnico: Malware, spam
y phishing
Pgina 28 ISTR Abril 2017
Fraudes BEC: Lneas frecuentes de asunto En 2015, el nivel de spam fue el ms bajo visto desde 2003, y
Solicitud fue la palabra clave ms popular usada en las lneas de asunto para mantuvo este porcentaje en 2016. Es posible que esto se deba
los correos electrnicos de fraudes BEC. Este es seguido de Pago (15%) y al crecimiento anteriormente mencionado en ransomware
Urgente (10%).
y campaas ms especficas de spear phishing, tales como
fraudes BEC. La lucratividad de esas campaas puede estar
Solicitud de Transferencia 6%
distanciando a los grupos de ataque de las antiguas campaas
Transferencia de Pago 6%
antispam hacia esos nuevos mtodos.
Solicitud Urgente 6%
Solicitud
25%
SOLICITUD 6% Tasa mensual de spam
La tasa de spam aument ligeramente en el fin de 2016. En noviembre, la tasa
Pedido de Transferencia 8% de spam alcanz el 54,3%, la tasa ms alta vista desde marzo de 2015.
15% Pago
URGENTE 8% 55,0%
0
54,0%
5
53,5%
Las tcnicas de los fraudes BEC continan evolucionando para 0
53,0%
asegurar el xito de las estafas. La investigacin de Symantec 5
52,5%
en noviembre revel que, en lugar de pedir una transferencia 0
52,0%
directa de dinero, los estafadores usaban un lenguaje informal 5
51,5%
para verificar si una vctima estaba en su mesa o para encontrar 0
51,0%
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
ms informacin antes de solicitar el dinero.
Recientemente una nueva tcnica observada por nuestros
investigadores es el secuestro de facturas legtimas enviadas Si bien la tasa general de spam permaneci inmovilizada
por las empresas, para que el nmero de la cuenta sea alterado durante el ao, hubo un aumento en el spam enviado en el
para el del estafador. Algunos casos ya vistos involucraban el ltimo trimestre de 2016. En noviembre, la tasa de spam
ataque de los estafadores al servidor de correo electrnico para alcanz el 54,3%, la tasa ms alta vista desde marzo de 2015.
alterar los detalles de la factura. Otros eran apenas correos Algunos factores influyeron en ese gran aumento. La
electrnicos falsos de factura enviados sin la necesidad de eleccin presidencial de EE.UU., que se llev a cabo a inicios
hackear el servidor de correo electrnico, pero que eran eficaces de noviembre, caus un aumento en el spam relacionado a
desde que fuesen enviados antes de las facturas legtimas. las elecciones. Symantec bloque casi 8 millones de correos
Con la confirmacin de la gran lucratividad de fraudes BEC, es electrnicos relacionados a la eleccin presidencial en el
posible que continen siendo una fuerte tendencia en 2017. perodo de la segunda quincena de septiembre a la primera
quincena de octubre.
Spam permanece estable
Tambin en octubre, dos campaas significativas impactaron
Las tasas de spam permanecieron constantes en un 53% en a los clientes de Symantec. Un ataque de spam con temas
2016, tras una disminucin en los ltimos aos. para adultos que comenz en Espaa impact a los usuarios
Sin embargo, este nmero an demuestra que la mayora de los en Europa, Medio Oriente y frica, una vez que se propag
correos electrnicos corporativos enviados en 2016 eran spam. rpidamente hacia varios diferentes idiomas europeos. La
Generalmente el spam es considerado como cualquier correo segunda campaa, un ataque de snowshoe significativo
electrnico no solicitado que es enviado en masa y, en algunos (vea Panel Ice-cold) envi correos electrnicos relacionados
casos, puede no contener amenazas maliciosas. Los correos a productos y servicios de spam. Los grupos de ataque
electrnicos de spam pueden ser irritantes e indeseados, o enviaban un bajo volumen de correo electrnico para sondear
pueden llevar a sitios web que realizan fraudes de clics. detecciones y abortaban la ejecucin de spam en pocos minutos
si los mensajes fuesen bloqueados.
Tasa general de spam El spam relacionado a Black Friday y a Cyber Monday
La tasa de spam entre 2015 y 2016 permaneci relativamente estable. tambin fue responsable de los elevados volmenes de
spam en noviembre, con una campaa usada para distribuir
2014 2015 2016 ransomware Locky. En diciembre, se report que la tcnica de
60% 53% 53% spam hailstorm estaba siendo usada para distribuir Dridex y
Locky, pero la tasa de spam se mantuvo estable.
Volver al ndice
O4 Correo Electrnico: Malware,
spam y phishing
Pgina 29 ISTR Abril 2017
Los spammers parecen no discriminar cuando se trata del Detecciones de archivos ejecutables por mes
tamao de las empresas que ponen como blanco de ataque. La Los arhivos ejecutables de macros del Office (W97M.Downloader y variantes)
diferencia entre las pequeas empresas, que son los blancos y downloaders JavaScript (JS.Downloader y variantes) son los archivos usados
ms grandes, y las grandes empresas, fue de poco ms del 1%. con ms frecuencia para distribuir malware va correo electrnico. La actividad
de downloaders JavaScript aument en 2016, mientras que los macros del
Tasa de spam por tamao de empresa Office resurgieron en diciembre de 2016.
Se identific una pequea diferencia en relacin al tamao de las empresas que
JS.Downloader W97M.Downloader
fueron vctimas de spam, con la tasa variando entre el 52,6% y 54,2%.
800.000
600.000
1-250 54,2
500.000
300.000
501-1000 53,4
200.000
1001-1500 53,2 100.000
1501-2500 52,6 ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
+2501 52,8
Symantec cree que las operaciones de spam con el uso de
Tasa de spam por sector downloaders JavaScript y macros del Office son operadas por
Algunos sectores reciben ms spam que otros, pero el intervalo es de apenas diferentes grupos de cibercriminales. Los grupos de malware
el 8 %. pueden contratar uno (o los dos) canales para entregar sus
amenazas. Si este es el caso, hubo una tendencia de cada de
Sector Tasa de Spam (%)
los grupos de malware que favorecen las operaciones de spam
Construccin 59.5 con downloaders JavaScript en el final de 2016.
Minera 57,1 Si bien la propagacin de archivos ejecutables de macros del
Office ha sido menor a lo largo del ao, Symantec no cree que
Comercio Minorista 54,9
ese vector desaparecer. En realidad, podemos ver que las
Manufactura 54,4 detecciones de W97M.Downloader aumentaron en diciembre, a
Agricultura, Forestal y Pesca 54,0 pesar de que JS.Downloader contine dominando. Esa variacin
podra atribuirse a la campaa de hailstorm mencionada
Establecimientos No Clasificables 53,0
anteriormente (vea el panel abajo) que estaba siendo usada para
Servicios 53,0 distribuir Locky y Dridex, que pueden ser transmitidos a travs
Finanzas, Seguros y Mercado Inmobiliario 52,9 de macros maliciosos en documentos del Word.
Transporte & Servicios Pblicos 52,9
Ice-cold: Tcnicas snowshoe y hailstorm
Comercio Mayorista 52,6 Snowshoe spamming distribuye una amplia carga de spam a travs
Administracin Pblica 51,6 de un conjunto de direcciones IP, para aumentar las oportunidades
de xito. Los spammers que usan la tcnica snowshoe anticipan que
algunos correos electrnicos sern bloqueados por filtros de spam. Sin
Investigaciones/Estudios de casos
embargo, esta tcnica de envo de correos electrnicos a partir de un
Los grupos involucrados en campaas de envo masivo de correo
gran nmero de direcciones IP aumenta las chances de evitar filtros
electrnico continuamente perfeccionan sus tcticas, en un intento
de spam y llegar a la bandeja de entrada de un usuario. Los spammers
de situarse un paso adelante de los sistemas de seguridad de correo snowshoe envan una pequea cantidad de spam de cada direccin IP
electrnico. para que permanezcan desapercibidos.
Cambio de tctica La tcnica de spam hailstorm es una evolucin de la tcnica de
Una tendencia relevante en 2016 fue un cambio en el tipo de spam snowshoe, y ambas existen desde hace muchos aos. El spam
archivo ejecutable usado para entregar algunas de las amenazas Hailstorm tambin se enva usando un gran nmero de direccioness IP
ms prolficas. En el inicio del ao, los documentos del Office con de transmisin, pero las campaas hailstorm se envan en un volumen
macros maliciosos (W97M.Downloader y variantes) eran la forma muy alto en un corto perodo de tiempo. Los spammers Hailstorm
pueden enviar miles de correos electrnicos muy rpidamente y, a
ms popular de archivos ejecutables y eran usados en campaas que
seguir, parar inmediatamente. Algunos ataques de spam hailstorm
distribuan amenazas como Dridex (W32.Cridex). En marzo de 2016,
se producen en un perodo tan corto de tiempo que muchas
ocurri un cambio y el uso de archivos JavaScript (JS.Downloader y
veces terminan antes de que las defensas antispam ms rpidas
variantes) aument significativamente. tradicionalmente consigan actualizar su respuesta a los mismos.
Volver al ndice
O4 Correo Electrnico: Malware,
spam y phishing
Pgina 30 ISTR Abril 2017
2.500.000
02 Incluye adjunto,
2.000.000 normalmente un
1.500.000
archivo JavaScript
(JS) u Office que
1.000.000 contiene el macro
500.000
malicioso
03 El adjunto abierto
Ingeniera social experimentada y comprobada ejecuta el script del
Si bien las campaas de spam que distribuyen malware dependen PowerShell para bajar
de una variedad de tcticas, las principales operaciones de spam el malware
de malware normalmente dependen de trucos de ingeniera social.
Las amenazas como ransomware Locky o el troyano financiero
Dridex pueden transmitirse por correos electrnicos camuflados
como confirmaciones de transacciones financieras.
04 Malware bajado normalmente
El anlisis de 623 grandes campaas de spam de malware es un ransomware
registradas por Symantec en 2016 descubri que factura era la
palabra clave usada con ms frecuencia en las lneas de asunto.
Otros trminos financieros, tales como Pedido, Pago, y
Cuenta tambin aparecen en el top 10.
El uso de palabras clave financieras ha sido una caracterstica
constante de las campaas de spam de malware a lo largo del
ao, indicando que los grupos de ataque poseen un alto grado
de xito con esa tctica. Como la mayora de las empresas recibe
diariamente un gran volumen de correos electrnicos legtimos de
clientes y proveedores, los correos electrnicos maliciosos pueden
ser inadvertidamente abiertos si no se bloquean por un software de
seguridad de correo electrnico. A su vez, los consumidores pueden
tambin ser engaados al abrir estos correos electrnicos, por
desconfianza de haber sido cobrados por bienes que no solicitaron.
Volver al ndice
O4 Correo Electrnico: Malware,
spam y phishing
Pgina 31 ISTR Abril 2017
Palabras clave usadas en campaas de spam de malware Ingeniera social y nuevas plataformas de
Las 10 principales palabras clave observadas en lneas de asunto en las mensajera
principales campaas de spam de malware en 2016.
A medida que las empresas y los consumidores migran
Envo de correo hacia nuevas plataformas de mensajera adems del correo
electrnico 6% electrnico, los invasores probablemente intentarn
Doc 5% aprovechar esas plataformas para fines maliciosos.
Cuenta 6% Factura Cada vez ms las empresas usan herramientas colaborativas,
Fax 6% 26%
tales como Slack, tanto para la comunicacin interna como para
Pago 6%
la interaccin con su cliente. En China, WeChat ha dominado
Pedido 9% 13% Documento el mercado de mensajera, donde ofrece recursos extensivos,
incluso un sistema de pago. Donde las transacciones financieras
Falla en la
Entrega de Correo 12% Scan van, los cibercriminales van atrs. WeChat probablemente
Electrnico 10% servir como un modelo para otras aplicaciones de mensajera.
Facebook Messenger ya aument su atencin en el uso de
Otra tctica frecuente es disfrazar los correos electrnicos bots automatizados para permitir que las marcas consigan
como provenientes de un escner, impresora o dispositivo interactuar en las conversaciones de usuarios.
multifuncional (MFD). Los correos electrnicos que contenan A pesar de que algunas de las tcnicas usadas en correos
las palabras clave Scan, Documento y Fax generalmente electrnicos maliciosos tpicos no sean transferibles hacia
estaban disfrazados como enviados desde estos dispositivos. otras plataformas de mensajeras, el fundamento de las
Una tercera tctica observada en 2016 fue disfrazar campaas campaas de correo electrnico es el uso de la ingeniera
maliciosas de spam como algn tipo de mensaje de falla social. Las lecciones aprendidas con el xito de fraudes y las
de entrega de correo electrnico. El 10% de las principales campaas de correo electrnico posiblemente se aplicarn
campaas de spam analizadas tenan alguna forma de mensaje a las plataformas de mensajera, a medida que se adopten de
de falla de entrega en la lnea de asunto. forma ms amplia por las empresas y los consumidores.
Lnea de asunto vaca 6% || Locky, Dridex y Angler entre los grupos de cibercrimen
Alemn 3% que enfrentan reduccin en sus actividades
Francs 1% || Gran aumento de ataques de correo electrnico usando
Ingls Noruego 1% adjuntos WSF maliciosos
89%
Espaol 0,3% || Necurs: La botnet de envo de correo electrnico masivo
Portugus 0,2% retorna con nueva ola de campaas de spam
Volver al ndice
O4 Correo Electrnico: Malware,
spam y phishing
Pgina 32 ISTR Abril 2017
Mejores prcticas
|| Una completa solucin de proteccin ayuda a defenderse
contra las amenazas enviadas por correo electrnico.
La solucin Symantec Email Security.cloud puede
bloquear las amenazas generadas por correo electrnico y
Symantec Endpoint Protection puede bloquear el malware
en los endpoints.
|| Excluya cualquier correo electrnico de apariencia
sospechosa que reciba, especialmente si incluyen enlaces
o adjuntos.
|| Desconfe de cualquier adjunto de correo electrnico del
Microsoft Office que aconseje a habilitar macros para
exhibir su contenido. A menos de que est absolutamente
seguro de que este es un correo electrnico genuino de
una fuente confiable, no active macros y, en vez de eso,
excluya inmediatamente el correo electrnico.
|| Mantenga siempre actualizado su software de seguridad
a fin de protegerse contra cualquier nueva variante de
malware.
|| Mantenga su sistema operativo y otros softwares
actualizados. Las actualizaciones de software incluirn
frecuentemente parches para vulnerabilidades de
seguridad recientemente descubiertas que podran ser
explotadas por grupos de ataque.
|| Desconfe de los correos electrnicos que exigen alguna
accin diferente de los procedimientos comunes.
|| Elabore su respuesta con el correo electrnico del
supuesto remitente obtenido directamente de la lista
corporativa de contactos, en lugar de simplemente
hacer clic en el botn Responder, para garantizar que se
eliminen los estafadores de las respuestas.
|| No responda los correos electrnicos sospechosos y no
suministre informacin confidencial.
|| Reporte los correos electrnicos sospechosos u
obviamente falsos a las autoridades competentes.
|| Imponga una poltica eficaz de contraseas a todos sus
funcionarios para garantizar que las contraseas sean
fuertes y alteradas regularmente.
|| Nunca use enlaces en un correo electrnico para
conectarse a un sitio web, a menos de que est seguro
de su genuidad. Digite direcciones URL directamente en
la barra de direcciones para garantizar que se conecte a
un sitio web legtimo y no a uno con una direccin que
simplemente parezca similar.
Volver al ndice
Informe sobre Amenazas para la Seguridad en Internet
05
Seccin
O5 Ataques web, toolkits y
explotacin de vulnerabilidades online Pgina 34 ISTR Abril 2017
invasiones para correos electrnicos, que ahora es el Nuestros datos revelaron que el 76% de los sitios verificados
contenan vulnerabilidades - el mismo porcentaje de 2014 y
mtodo ms usado por los delincuentes para entregar
apenas un 2% menos que en 2015.
amenazas. Esto es un gran contraste en relacin a
2015, cuando el nmero de ataques web duplic en Sitios web escaneados con vulnerabilidades
relacin al ao anterior. El 76% de los sitios verificados fueron encontrados con vulnerabilidades en
2016, una cada de un 2% en relacin a 2015.
Sin embargio, esa migracin de kits de exploits al
correo electrnico puede que no sea permanente. Los 100%
-1% pts +2% pts -2% pts
Volver al ndice
O5 Ataques web, toolkits y
explotacin de vulnerabilidades online Pgina 35 ISTR Abril 2017
Esa cada acentuada en la actividad de Angler coincidi con 1 Sin clasificacin 38,9 37,9 -1,0
el arresto de 50 personas en Rusia, acusadas de participacin
2 Angler 13,3 22,2 8,9
con el grupo de fraude bancario Lurk, y se especula que esa
prisin fue la razn para el desaparecimiento de este kit de 3 Spartan 7,3 11,9 4,6
exploit anteriormente dominante. Para ms informacin, vea 4 RIG 2,0 7,9 5,9
el estudio de caso ms adelante en este captulo.
5 Magnitude 1,1 5,8 4,7
El desaparecimiento de Angler llev a un pico de actividad del
kit de exploit Neutrino en los meses siguientes, con el aumento 6 Neutrino 1,3 5,8 4,5
del 10% en sus actividades en junio, inmediatamente tras la 7 VIP 24,8 3,2 -21,6
cada en la actividad de Angler. Sin embargo, a fin de ao, los
8 Nuclear 4,0 1,6 -2,4
niveles de actividad de Neutrino fueron en gran parte idnticos
a los registados en el inicio del ao. 9 Fiesta 2,5 1,0 -1,5
Nuclear y Spartan son otros dos toolkits que bsicamente 10 G01 Pack 2,2 0,8 -1,4
desaparecieron en 2016. Se estima que una revelacin
sobre el kit de exploit Nuclear que explic mucho acerca
de su funcionamiento, es el factor responsable de su
Volver al ndice
O5 Ataques web, toolkits y
explotacin de vulnerabilidades online Pgina 36 ISTR Abril 2017
12
Vulnerabilidades del navegador
10
En 2016, en promedio, se descubrieron por da 2,4
8 vulnerabilidades en navegadores. El nmero de
MILLONES
Volver al ndice
O5 Ataques web, toolkits y
explotacin de vulnerabilidades online Pgina 37 ISTR Abril 2017
Volver al ndice
Informe sobre Amenazas para la Seguridad en Internet
Cibercrimen y la
economa clandestina
06
Seccin
O6 Cibercrimen y
la economa clandestina Pgina 39 ISTR Abril 2017
Principales conclusiones
80
60
con vctimas de destaque y recompensas financieras
nunca vistas antes. Los ataques Banswift (Trojan. 40
Volver al ndice
O6 Cibercrimen y
la economa clandestina Pgina 40 ISTR Abril 2017
En informes anteriores, Symantec sigui un abordaje un poco Otras explicaciones incluyen una menor incidencia de
diferente para contar las variantes de malware, enfocando en amenazas polimrficas y una menor dependencia de los
variantes exclusivas en aquel ao, en lugar de malware visto grupos de ataque de malware para distribuir sus obras. Ese es
por primera vez en el mismo perodo de tiempo. Usando esta un fenmeno que llamamos de uso de herramientas del da a
metodologa en 2016 que considera el legado, los datos reflejan da.
un volumen ligeramente mayor de variantes, pero una cada de
7% de nuevas variantes en el ao. Uso de herramientas del da a da: PowerShell, macros e
ingeniera social
Variantes nicas de malware detectadas Una tendencia surgi en 2016 donde los atacantes emplean
Hubo una ligera cada entre 2015 y 2016 en la cifra de variantes nicas de programas legtimos del Windows para descargar y ejecutar
malware detectadas. cargas tiles. Esta tctica del uso de herramientas del da a
da es discutida con ms detalles en el captulo sobre Ataques
500 dirigidos; sin embargo, las tcnicas usadas por los grupos
400
431M de ataques avanzados tambin son vistas en el mundo de la
MILLONES
100
PowerShell, un poderoso lenguaje de script y shell de lnea de
comando, se torn un pilar de la cadena de invasiones y agrada
2014 2015 a los grupos de ataques por varios motivos. Se instala de forma
estndar en la mayora de las computadoras Windows, y la
El anlisis de los datos a cada mes muestra una tendencia casi mayora de las organizaciones no tienen el registro extendido
idntica con un aumento considerable en variantes en el fin del activado para el mismo, haciendo que las actividades maliciosas
ao. de PowerShell permanezcan invisibles en gran parte. Scripts
tambin pueden ser fcilmente ofuscados, lo que esconde sus
Clculo mensual de variantes nicas de malware en 2016 intenciones maliciosas. Esto permite que las cargas se ejecuten
El clculo de variantes nicas de malware tambin muestra un aumento en directamente de la memoria, lo que significa que los grupos de
octubre. ataque dejan menos rastros.
2015 2016
Un anlisis de Symantec en el fin de 2016 mostr que el 95,4%
100 de los scripts de PowerShell inspeccionados eran maliciosos.
Scripts maliciosos de PowerShell son utilizados principalmente
80
como archivos ejecutables durante la fase inicial de invasion,
MILLONES
Volver al ndice
O6 Cibercrimen y
la economa clandestina Pgina 41 ISTR Abril 2017
4 W97M.Downloader 2.199.083
5 Heur.AdvML.C 2.039.212
OU
6 SMG.Heur!cg1 1.291.550
7 W32.SillyFDC 1.019.644
8 Trojan.Startpage 908.429
9 W32.Downadup.B 814.687
10 Infostealer 753.783
Volver al ndice
O6 Cibercrimen y
la economa clandestina Pgina 42 ISTR Abril 2017
Al analizar los destaques de malware ms frecuentes, es lo que explica la popularidad de los archivos ejecutables de
notable el impacto de las detecciones de malware genrico o macros del Office. Mientras tanto, la facilidad de ofuscar un
heurstico. Son responsables de 9 de cada 10 principales tipos intento de evitar la deteccin ha contribuido para el aumento
de malware detectados en endpoints en 2016. Sin embargo, es de archivos de JavaScript. Como discutido anteriormente,
importante notar la relevancia del JS.Downloader y W97M. JS.Downloader tpicamente utilizar PowerShell o un Visual
Downloader, que son nuevas entradas en la lista de destaques Basic Script (VBS) para ejecutar la carga til final en un intento
de 2016. de pasar desapercibido.
En 2016, Symantec observ un gran nmero de campaas de Investigaciones de Symantec indican que algunos grupos
correo electrnico que distribuan ransomware y amenazas favorecen W97M. Downloader, mientras otros prefieren
para banca online va macro malicioso del Office (W97M. JS.Downloader. Las actividades relacionadas al W97M.
Downloader y variantes) y archivos de downloader JavaScript Downloader cayeron en el segundo semestre de 2016, pero
(JS.Downloader y variantes). En 2016, fueron responsables Symantec estima que los grupos que lo usan pueden aumentar
de 7 millones de detecciones y han dominado el panorama nuevamente la actividad. En realidad, en el ltimo mes de
de amenazas de cibercrimen, especialmente en el segundo 2016 se observ un aumento en las detecciones de W97M.
semestre del ao. Downloader.
Muchas de esas amenazas se estn propagando principalmente
Detecciones de archivos ejecutables de JavaScript por mes por botnets de spam.
En el segundo semestre de 2016 aumentaron las detecciones de archivos
ejecutables de JavaScript (JS.Downloader y variantes). Symantec observ en 2016 un aumento en el nmero de bots.
La cifra salt de 91,9 millones para 98,6 millones de bots,
800.000
incluyendo varios botnets.
700.000
200.000
60
100.000
40
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC 20
2015 2016
Volver al ndice
O6 Cibercrimen y
la economa clandestina Pgina 43 ISTR Abril 2017
Estudio de caso de Botnet: Necurs Este uso de diferentes archivos ejecutables indica que Necurs
La botnet Necurs fue una de los principales distribuidores de era una botnet de alquiler, que estaba siendo utilizado por
malware en 2016 y fue responsable de campaas de correo diferentes grupos de ataque.
electrnico masivo para distribucin de JavaScript, VBS Curiosamente, Symantec observ la detencin de la actividad
y archivos ejecutables de macros del Office. La carga til de Necurs por casi tres meses a partir del final de diciembre.
principal de Necurs en 2016 fue Ransom.Locky. Otras grandes Su ltima campaa de spam comenz el 22 de diciembre y
botnets observadas por Symantec se utilizaron para propagar termin el 24 de diciembre. Si bien la primera deduccin es que
amenazas como Dridex (W32.Cridex), Cerber (Ransom.Cerber), esto se produjo pues el grupo responsable de Necurs hizo una
y Kotver (Trojan.Kotver), as como Locky. pausa para las vacaciones, la botnet permaneci quieta hasta
Necurs fue una de las botnets ms activas en la distribucin de el 20 marzo de 2017.
malware en 2016. Los operadores responsables de Necurs usaron El desaparecimiento de Necurs produjo una gran reduccin
el perodo normal de trabajo. Las amenazas se distribuan de del volumen de correos electrnicos maliciosos enviados
lunes a viernes y haba poca actividad los fines de semana. en el fin de 2016 e inicio de 2017. El motivo por detrs de su
Al analizar apenas un da de actividad de Necurs, queda desaparecimiento permanece un misterio. El 20 de marzo,
evidente su capacidad de escala. El 24 de noviembre de el da de su retorno, Symantec bloque casi dos millones de
2016, Necurs envi cinco campaas de spam, siendo que dos correos electrnicos maliciosos. El hecho de que Necurs logr
entregaron archivos JavaScript, dos entregaron adjuntos .wsf, retomar campaas de spam en masa en su retorno indica que,
y hubo una entrega de un adjunto VBS. Estas cinco campaas no importa cual sea el motivo de su ausencia, parece no haber
de spam enviaron ms de 2,3 millones de correos electrnicos perdido sus capacidades.
de spam, ms de 1,8 millones usaron downloaders JS, mientras
Todo est relacionado al dinero: malware financiero
que un poco menos de 465.000 usaron VBS.
El malware financiero, especficamente las amenazas dirigidas
Una investigacin de Symantec sobre las 146 campaas
a la banca online, ha sido histricamente un gran conductor
de correo electrnico realizadas por Necurs en el ltimo
del cibercrimen. Sin embargo, una cantidad de detenciones
trimestre del ao descubri que fue responsable del envo de
e interrupciones, juntamente con el xito continuo de
aproximadamente 525 muestras nicas de malware en cada
ransomware, demuestra que se ha tornado menos dominante.
campaa de correo electrnico.
Los datos de invasiones muestran que esta rea est dominada
Al analizar las campaas de spam, involucrando principalmente
por cinco familias, y la actividad fuera de este top cinco es
downloaders JS, VBS y WSF, nuestro estudio constat que los
insignificante.
archivos JavaScript fueron de lejos el tipo ms popular de
archivo ejecutable distribuido por Necurs.
Los 10 principales troyanos financieros
La lista de los 10 principales troyanos financieros demuestra que un pequeo
Archivos ejecutables entregados por la botnet de spam Necurs grupo de troyanos financieros dominaron el panorama en 2016.
En el perodo observado por Symantec, Necurs envi predominantemente
campaas de spam que contena JS.Downloader.
Clasif. Amenazas financeiras Mquinas afectadas
1 Ramnit 460.673
2 Bebloh 310.086
WSF 15%
3 Zbot 292.160
VBS 14%
JSE 2% 4 Snifula 121.624
JS DOCX 1% 5 Cridex 23.127
67%
XLSX .3%
6 Dyre 4.657
7 Shylock 4.512
8 Pandemiya 3.330
Cuando empez este estudio de Necurs a fines de octubre,
9 Shifu 2.177
las amenazas eran distribuidas principalmente con el uso de
VBS, pero en noviembre y diciembre los archivos JavaScript 10 Spyeye 1.480
dominaron.
Volver al ndice
O6 Cibercrimen y
la economa clandestina Pgina 44 ISTR Abril 2017
Ramnit (W32.Ramnit) tuvo una vuelta triunfal al mundo del Cadas significativas en la actividad de Dridex (que domin
fraude financiero en 2016. Ramnit est en operacin desde 2010, el panorama de amenazas en 2015), Dyre y Shylock (Trojan.
pero con la prisin del grupo de cibercriminales responsable de la Shylock) pueden atribuirse a interrupciones.
botnet, en febrero de 2015, asistida por Symantec, se pensaba que
las operaciones de la botnet haban concluido. Se estima que la Incluso Mac
botnet fue compuesta por 350.000 computadoras en el momento El sistema operativo de Apple, que ya fue visto como casi
de la interrupcin de sus actividades. Ramnit desapareci por un impenetrable, sinti una cantidad creciente de malware detectado
tiempo, pero fue observada una nueva variante en diciembre de a lo largo de 2016. Un aumento constante en malware detectado en
2015. Macs comenz en septiembre y continu por el ltimo trimestre
Ramnit pas a dominar el panorama de los troyanos financieros en del ao; una cifra casi tres veces mayor de detecciones de malware
2016 y se detect en cifras elevadas de forma consistente durante se produjo en noviembre de 2016 en comparacin con el inicio del
todo el ao. Curiosamente, como Ramnit era frecuentemente ao.
distribuido a travs del kit de exploit Angler en el pasado, no
present ninguna cada en la actividad tras el desaparecimiento Distribucin de malware para Mac por mes, 2014-2016
de Angler a mediados del ao. Eso indica que sus responsables En el segundo semestre de 2016, puede verse claramente el crecimiento en el
malware para Mac.
pueden haber adaptado sus tcnicas de infeccin, y hubo
relatos de Ramnit distribuido a travs de correo electrnico en
el Reino Unido. El hecho de que algunas variantes del Ramnit 400.000
300.000
En 2016 hubo relatos sobre Bebloh (Trojan.Bebloh), que ocupa el 250.000
segundo lugar en la lista de los troyanos financieros, iniciando 200.000
campaas agresivas en Japn, teniendo como victimas a 150.000
pequeos bancos y cooperativas de crdito. Bebloh tambin 100.000
Volver al ndice
O6 Cibercrimen y
la economa clandestina Pgina 45 ISTR Abril 2017
Las 10 principales instancias de malware bloqueadas en A seguir, los criminales usaron malware para cubrir sus
los endpoints del OS X en porcentaje de las infecciones pistas. El malware alter los mensajes de confirmacin de
totales transacciones impresas del Banco de Bangladesh para retrasar el
JS.Downloader y W97M.Downloader est en la lista de las 5 principales descubrimiento del fraude. Los responsables del ataque llevaron
instancias de malware bloqueadas en endpoints OS X en 2016. a cabo la accin en el inicio de un fin de semana prolongado en
Bangladesh, para reducir an ms la posibilidad de descubrir el
Clasif. Deteccin Total de Infecciones (%) robo.
1 OSX.Malcol 6,88 Usando las credenciales SWIFT robadas del Banco de Bangladesh,
2 JS.Downloader 5,76 los criminales efectuaron varias solicitudes de transferencia al
Federal Reserve Bank of New York y desde all el dinero del Banco
3 OSX.Malcol.2 5,73
de Bangladesh fue transferido inicialmente hacia localidades en
4 W97M.Downloader 5,11 las Filipinas y Sri Lanka. Cuatro solicitudes de transferencia en
el total de US$ 81 millones para entidades en las Filipinas fueron
5 JS.Downloader.D 1,87
efectuadas con xito, pero una solicitud para transferir US$ 20
6 JS.Nemucod 1,09 millones hacia una fundacin sin fines de lucro en Sri Lanka
7 VBS.Downloader.B 1,04 despert sospechas puesto que el nombre de la fundacin estaba
escrito de forma incorrecta. Esto llev a la suspensin de las
8 VBS.Downloader.Trojan 0,83
transferencias y a buscar aclaraciones por el banco en Bangladesh,
9 Trojan.Malscript 0,59 que descubri el fraude. Sin embargo, en aquel momento los US$
10 SMG.Heur!cg1 0,57
81 millones ya haban desaparecido, principalmente en cuentas
relacionadas con casinos en las Filipinas.
La mayor parte de los US$ 81 millones an no ha sido recuperada,
Odinaff and Banswift: sin embargo, US$ 15 millones fueron devueltos por un casino en
El ao del asalto financiero dirigido las Filipinas al Banco Central de Bangladesh en noviembre.
Si bien el panorama de amenazas de cibercrimen normalmente Los mtodos empleados en este ataque, especialmente el
es dominado por ataques masivos indiscriminados, 2016 vio el profundo conocimiento de los sistemas SWIFT y las medidas
surgimiento o resurgimiento de grupos de cibercrimen ms tomadas para cubrir evidencias, indican que son actores
sofisticados y de elite. Mientras que el cibercrimen tradicional altamente competentes. Este fue un fraude increblemente
tiene un abordaje ms generalista, los delincuentes de osado, y tambin la primera vez que observamos fuertes indicios
elite usan tcnicas normalmente vistas en ataques dirigidos de participacin de naciones en ciberdelitos financieros. El
avanzados. Los recursos, paciencia y absoluto coraje necesarios ataque se atribuy a responsables en Corea del Norte.
para ejecutar esos ataques, demuestran como el cibercrimen
est potencialmente entrando en una nueva era. El anlisis llevado a cabo por Symantec del malware (Trojan.
Banswift) usado en el ataque al banco de Bangladesh encontr
El surgimiento de dos grupos que tenan como objetivo el evidencias de uso compartido de cdigo entre este malware y las
funcionamiento interno del sistema financiero internacional, herramientas usadas por el grupo Lazarus - que el FBI afirma
al tiempo que disminuyeron las amenazas tradicionales a la tener relacin con el gobierno nortecoreano. El grupo Lazarus
banca online, refleja como las instituciones financieras estn fue asociado con el famoso hack de Sony en 2014, y ha sido
enfrentando un tipo bastante diferente de amenaza en 2017. asociado a una serie de ataques contra EE.UU. y Corea del Sur
desde 2009.
Banswift
Uno de los asaltos ms osados a bancos ya vistos fue el Ese mismo grupo tambin fue vinculado a otros dos asaltos que
ciberasalto al Banco Central de Bangladesh a inicio de 2016. tenan como objetivo bancos que hacen transferencias usando
Los criminales huyeron sin problemas con US$ 81 millones y la red SWIFT, si bien la red SWIFT no haya sido afectada en
si no fuese por un error de digitacin y la sospecha de astutos ninguno de esos ataques.
funcionarios del banco, el grupo podra haber robado US$ 1 El banco vietnamita Tien Phong Bank revel que haba
billn. interceptado una transferencia fraudulenta de ms de US$ 1
Los criminales explotaron debilidades en la seguridad del milln en el cuarto trimestre de 2015. Investigacin realizada
Banco de Bangladesh para infiltrarse en su sistema y robar por Symantec tambin descubri evidencias de que otro banco
sus credenciales SWIFT, permitindoles realizar transacciones fue vctima del mismo grupo en octubre de 2015.
fraudulentas.
Volver al ndice
O6 Cibercrimen y
la economa clandestina Pgina 46 ISTR Abril 2017
Un tercer banco, el Banco del Austro en Ecuador, tambin report herramientas y tcnicas existentes, todava existen grupos
haber perdido US$ 12 millones en ataques usando transacciones de cibercriminales extremadamente sofisticados que centran
fraudulentas SWIFT, a pesar de que ninguna relacin definitiva su atencin en la implantacin de campaas avanzadas para
puede realizarse entre aquel fraude y los ataques en Asia. obtener grandes recompensas financieras.
Symantec estima que el grupo Lazarus puede haber reaparecido
en 2017, con nuevos ataques contra instituciones financieras. Violaciones de datos y la economa clandestina
Odinaff Violaciones de datos
Una campaa que contena Trojan.Odinaff fue descubierta En los ltimos ocho aos, ms de 7.000 millones de identidades
teniendo como objetivo organizaciones financieras globales online fueron robadas en violaciones de datos, que es casi lo
en 2016. Los ataques que usaron Odinaff eran sofisticados y equivalente al nmero de personas en el planeta.
ejecutados claramente por un grupo profesional de cibercrimen. En 2016, ms de 1.100 millones de identidades fueron robadas
A pesar de que tambin tenga como blanco a usuarios del en violaciones de datos, casi el doble del nmero robado en
sistema SWIFT, no existen pruebas que vinculen estos ataques 2015, cuando poco ms de 563 millones de identidades fueron
con los ataques Banswift. robadas. Este aumento se produjo a pesar de una reduccin en
La investigacin de Symantec indica que las campaas que la cifra de violaciones de datos entre 2015 y 2016, pasando de
utilizan Odinaff comenzaron en enero de 2016 y fueron enfocadas 1.211 para 1.209.
en organizaciones de los sectores bancario, ttulos, trading y La cifra promedio de identidades robadas por violacin en
nmina de pago. El troyano Odinaff fue tpicamente implantado 2016 salt para casi 1 milln, el mayor promedio de los ltimos
en la primera etapa de un ataque para establecer su posicin en tres aos.
la red.
En 2016, se produjeron 15 megaviolaciones, en las que ms
Los ataques que contenan Odinaff fueron altamente de 10 millones de identidades fueron robadas, un aumento
sofisticados, exigiendo una gran cantidad de participacin comparado a las 11 megaviolaciones en 2014 y 13 en 2015.
directa, con la implantacin metdica de una serie de backdoors
ligeros y herramientas con objetivos explcitos en computadoras Violaciones de datos, 2014-2016
de inters especfico.
Si bien en 2016 la cifra de violaciones de datos se mantuvo estable, el nmero
La implantacin ms frecuente del troyano fue en documentos de identidades robadas aument significativamente.
que contenan macros maliciosos, siendo que los botnets
tambin fueron usados para implantarlo. Los ataques fueron Ao Violaciones
Identidades Promedio por Mega-
robadas violacin violaciones
cuidadosamente administrados, con los responsables de las
amenazas manteniendo un perfil discreto en la red de la 2014 1523 1.226.138.929 805.081 11
organizacin de la vctima, apenas descargando e instalando
nuevas herramentas cuando era necesario. 2015 1211 563.807.647 465.572 13
Las herramientas utilizadas en los ataques Odinaff recuerdan 2016 1209 1.120.172.821 926.528 15
el abominable grupo Carbanak, que ha dirigido sus ataques al
sector financiero desde 2013.
As violaes de dados tambm foram destaque em 2016,
Las actividades de Carbanak fueron descubiertas a fines de 2014 principalmente devido a Yahoo. Em setembro, a empresa
y se estima que el grupo tiene como blanco de ataque cientos revelou que uma violao em 2014 comprometeu 500 milhes
de bancos en varios pases. Algunos miembros de la comunidad de suas contas de usurios. Ento, em dezembro, a empresa
de ciberseguridad estiman que el grupo puede haber robado revelou que, em agosto de 2013, mais de 1 bilho de contas de
hasta US$ 1 billn. Symantec descubri varios vnculos entre usurios foram comprometidas, tornando-se a maior violao
Carbanak y los responsables de los ataques Odinaff, sin embargo, de dados j reportada.
la convergencia de infraestructura es atpica, es decir, Odinaff
A companhia disse que acredita que as duas violaes esto
puede cooperar de una forma libre con Carbanak, o incluso
conectadas e que os ataques so patrocinados por naes. As
formar parte de una organizacin ms amplia liderada por
revelaes tiveram srias implicaes para a empresa, que est
Carbanak.
no meio do processo de venda para a Verizon, e viu o seu valor
Los ataques Odinaff y Banswift demostraron que a pesar despencar como resultado destas revelaes.
de que en 2016 muchos grupos de ataque volvieron al uso de
Volver al ndice
O6 Cibercrimen y
la economa clandestina Pgina 47 ISTR Abril 2017
600
Informacin Personal
11,0 6,8 -4,2
500 de Salud (PHI)
400
MILLONES
Volver al ndice
O6 Cibercrimen y
la economa clandestina Pgina 48 ISTR Abril 2017
Extorsin, Chantaje o
9 0,1 0,2 0,1
Interrupcin
Robo de Identidad o
10 0,1 0 -0,1
Fraude
Volver al ndice
O6 Cibercrimen y
la economa clandestina Pgina 49 ISTR Abril 2017
Transporte &
5 75 7,3
Servicios Pblicos
7 Construccin 20 2,0
8 Minera 8 0,8
Estabelecimentos
10 3 0,3
No Classificveis
Volver al ndice
O6 Cibercrimen y
la economa clandestina Pgina 50 ISTR Abril 2017
Los 10 principales sectores y subsectores analizados por Los 10 principales subsectores que sufrieron violaciones
nmero de identidades robadas reflejan, en gran parte, los por cifra de identidades robadas
nmeros arriba, con el sector de Servicios (90%) en la cumbre Los Servicios Empresariales fue el subsector ms afectado en lo que se refiere a
de la lista de sectores y Servicios Empresariales (78%) en la identidades robadas, respondiendo por casi el 78% del total.
cumbre de los subsectores.
Clasif. Sector Identidades Porcentaje
Tras analizar las violaciones de datos por nmero de
identidades robadas, los Servicios de Salud representan un
1 Servicios Empresariais 786.918.569 77,5
porcentaje bastante menor - es el 9 en la lista de subsectores,
representando menos del 1% de las identidades robadas.
2 Pelculas 85.200.000 8,4
Los 10 principales sectores que sufrieron violaciones por
cifra de identidades robadas 3 Grficas y Editoras 49.299.205 4,9
El sector de Servicios fue responsable por ms del 90% de las identidades
robadas en 2016.
4 Servicios Personales 27.001.398 2,7
Clasif. Sector Identidades Porcentaje
Ventas al por Menor -
5 10.694.512 1,1
Diversos
1 Servicios 914.382.512 90,1
Volver al ndice
O6 Cibercrimen y
la economa clandestina Pgina 51 ISTR Abril 2017
Datos por pas Los 10 principales pases por cifra de identidades robadas
Estados Unidos fue el primero de la lista, tanto en nmero Una vez ms, Estados Unidos lidera la lista de identidades robadas en 2016.
de violaciones por pas como en el nmero de identidades
robadas por pas. Este descubimiento no sorprende por varios Clasif. Pas Identidades
motivos. EE.UU. posee una gran poblacin, alta adopcin de
tecnologa, y un gran nmero de compaas con sede en el pas. 1 Estados Unidos 791.820.040
Existen tambin rigurosas exigencias legales en EE.UU. sobre
los reportes de violaciones de datos. Las violaciones de datos 2 Francia 85.312.000
frecuentemente no se relatan en su totalidad, en territorios
donde no existen exigencias legales. 3 Rusia 83.500.000
5 Taiwn 30.000.051
Clasif. Pas Identidades
6 China 11.344.346
1 Estados Unidos 1023
8 Japn 8.301.658
3 Canad 19
9 Holanda 6.595.756
4 Australia 15
10 Suecia 6.084.276
5 India 8
Volver al ndice
O6 Cibercrimen y
la economa clandestina Pgina 52 ISTR Abril 2017
Volver al ndice
O6 Cibercrimen y
la economa clandestina Pgina 53 ISTR Abril 2017
El mercado clandestino
Documentos
Toolkit de DDoS corta duracin (Pasaportes, cuentas de
Ransomware (< 1 hr) servicios pblicos)
$10 - $1.800 $5 - $20 $1 - $3
(USD) (USD) (USD)
BANK
8475 0594 5688 4856
GIF T
Volver al ndice
O6 Cibercrimen y
la economa clandestina Pgina 54 ISTR Abril 2017
La operacin para derribar Bayrob culmin una investigacin Estas detenciones coincidieron con la cada en las actividades
de 8 aos del FBI con soporte de Symantec, que acompa la de una serie de grupos de amenazas, incluyendo Locky, Dridex,
prisin y extradicin hacia EE.UU de tres rumanos que pueden y el kit de exploit Angler. Sin embargo, mientras Locky y Dridex
haber robado hasta US$ 35 millones de vctimas durante varios experimentaron un aumento en sus actividades nuevamente
aos. en el segundo semestre de 2016, Angler no tuvo el mismo
comportamiento. Eso llev a la especulacin de que las mismas
Los cibercriminales de carrera responsables del Bayrob (Trojan.
personas eran responsables tanto por el troyano bancario Lurk
Bayrob) iniciaron con la creacin de falsas subastas online de
como por el kit de exploit Angler.
vehculos para engaar a las vctimas y extorsionar decenas
de miles de dlares, antes de diversificar en otras operaciones Desde las capturas vinculadas a Lurk, Angler desapareci del
fraudulentas y de malware, incluyendo robo de tarjeta de panorama de amenazas, un hecho que fue relatado en detalles
crdito y minera de criptomonedas. en el captulo de Ataques Web.
Volver al ndice
O6 Cibercrimen y
la economa clandestina Pgina 55 ISTR Abril 2017
Volver al ndice
Informe sobre Amenazas para la Seguridad en Internet
Ransomware:
Extorsionando a
consumidores y
empresas
07
Seccin
O7 Ransomware: Extorsionando a
consumidores y empresas Pgina 57 ISTR Abril 2017
Volver al ndice
O7 Ransomware: Extorsionando a
consumidores y empresas Pgina 58 ISTR Abril 2017
60.000 120
50.000 100
101
40.000 80
30.000 60
20.000 40
10.000 20 30 30
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC 2014 2015 2016
Con ms de un tercio de todas las infecciones registradas La cifra de variantes de ransomware (es decir, variantes distintas
en 2016, EE.UU. sigue siendo la regin ms afectada por de familias de ransomware) disminuy en comparacin con
ransomware. Japn (9%), Italia (7%), Canad (4%) e India (4%) el ltimo ao, una cada de 29% de 342.000 en 2015 para
tambin son fuertemente afectados. Los pases europeos como 241.000 en 2016. Esa tendencia de cada se reflej en las
Holanda (3%), Rusia (3%), Alemania (3%), y Reino Unido (3%) cifras mensuales de nuevas variantes de ransomware, donde
tambin presentan posiciones de destaque en las estadsticas el promedio cay de ms de 20.000 en enero para menos de
de infeccin. Otro pas a figurar en el top 10 es Australia (3%). 20.000 en el fin del ao.
Las estadsticas indican que los grupos de ataque estn en gran La cifra de nuevas variantes es otra tasa de la actividad general
parte, concentrando sus esfuerzos en economas desarrolladas de ransomware, donde los grupos de ataque crean nuevas
y estables. variantes de sus amenazas, en la esperanza de escapar de la
deteccin. La cada en la cifra de variantes puede ser explicada
Detecciones de ransomware por pas cuando es analizada junto al gran aumento de nuevas familias
Las detecciones de ransomware por antivirus por pas en 2016. EE.UU. sigue de ransomware en 2016. Los nmeros sugieren que ms grupos
siendo la regin donde ransomware es ms predominante. de ataque optan por comenzar desde cero con la creacin de
una nueva familia de ransomware en vez de ajustar las familias
Reino Unido 3% existentes, creando nuevas variantes.
Australia 3%
Alemania 3%
Estados
Nuevas variantes de ransomware
Rusia 3%
Unidos Nuevas variantes de ransomware (nmero de ejemplos nicos, individuales)
Holanda 3%
34% por ao. La cifra de nuevas variantes cay un 29% de 342.000 en 2015 para
India 4% 241.000 en 2016.
Canad 4% Otros
Italia 7% Pases
400
Japn 9% 27%
350
300 342.000
250
MIL
Volver al ndice
O7 Ransomware: Extorsionando a
consumidores y empresas Pgina 59 ISTR Abril 2017
25.000
40.000
20.000
15.000 30.000
10.000
20.000
5.000
10.000
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
Volver al ndice
O7 Ransomware: Extorsionando a
consumidores y empresas Pgina 60 ISTR Abril 2017
En el caso de SamSam (Ransom.SamSam) el punto inicial de del Bitcoin, especialmente ahora que Bitcoin no es tan obcuro
ataque del grupo de ataque fue un servidor web volcado al como sola ser.
pblico. Explotaron una vulnerabilidad no corregida para afectar Sin embargo, pagar el rescate no garantiza la descodificacin de
el servidor e invadir la red de la vctima. A partir de este momento, los archivos de la vctima. De acuerdo con el equipo Norton Cyber
el grupo de ataque us herramientas polivalentes como Microsoft Security Insight, apenas el 47% de las vctimas que pagaron el
Sysinternals para desplazarse en la red de la vctima. Esto les rescate relataron haber recibido sus archivos de vuelta.
permitio mapear cada computadora con acceso a la red de la
organizacin e identificar los activos ms valiosos. Promedio de pedido de rescate
A seguir, el grupo de ataque utiliz un script batch llamado f.bat El pedido de rescate promedio visto en nuevas familias descubiertas en 2016
para implantar SamSam y una clave de cifrado pblica en cada triplic, de US$ 294 para US$ 1.077.
archivo fuese restaurado a partir de ellos tras la infeccin. US$ 1.000 US$ 1.077
Despus, distribuyeron una herramienta llamada sqlsrvtmg1. US$ 800
exe. Este archivo ejecutable busc cualquier proceso de backup en
US$ 600
ejecucin y lo interrumpi. Tambin se excluy cualquier archivo
de backup relacionado que fuese encontrado. US$ 400
US$ 373
La ltima etapa fue la distribucin de otro script batch llamado US$ 200 US$ 294
reg.bat. Este inici el proceso de cifrado en cada computadora
2014 2015 2016
infectada. SamSam est configurado para cifrar cientos de
diferentes tipos de archivo. Una vez que finalizaba el cifrado,
el ransomware era excluido, dejando los archivos cifrados y un Los grupos de ataque tambin se han vuelto ms creativos en
pedido de rescate en el escritorio del equipo. El pedido instrua a sus intentos de extraer ms de las vctimas, con varias familias
la vctima a acceder a un sitio web y pagar un rescate de 1,5 Bitcoin de ransomware ms recientes presentando pedidos de rescate
(US$ 1.587 en el momento en que el documento fue creado) para variables. Por ejemplo, Cerber (Ransom.Cerber) duplica su
cada computadora afectada. pedido de rescate de 1 bitcoin (US$ 1.255) para 2,5 bitcoin
despus de cinco das, si no se paga el rescate .
Aumentan los pedidos de rescate
Existen tambin algunas evidencias de que los grupos de ataques
El rescate promedio exigido por los grupos de ataque aument de ransomware comenzaron a adaptar sus pedidos de rescate
drsticamente en 2016. Tras un ligero descenso en 2015, el en funcin del tipo y volumen de datos que cifraron. El grupo
rescate promedio demandado, conforme visto en nuevas familias de ataque responsable del HDDCryptor (Ransom.HDDCryptor)
descubiertas en 2016, subi de US$ 294 para US$ 1.077. habra exigido US$ 70.000 tras un ataque a la Agencia
El aumento del rescate promedio demandado fue, en parte, afectado Municipal de Transportes de San Francisco, lo que ocasion la
por el mayor rescate visto en 2016, un valor extremadamente interrupcin del servicio ferroviario urbano de la ciudad (estos
alto de US$ 28.730, que fue exigido por el ransomware MIRCOP pedidos de rescate personalizados no se toman en cuenta en
(Ransom.Mircop). Sin embargo, incluso si excluimos el rescate nuestros clculos para valores promedios de rescate).
pago por MIRCOP, el rescate promedio habra ms que doblado
Vectores de infeccin
para US$ 678. Es evidente que los grupos de ataque consideran
que puede cobrarse ms de las vctimas. Ransomware es distribuido con el uso de varios vectores
de infeccin. Uno de los vectores ms comunes usados es el
De acuerdo con una investigacin realizada por el equipo Norton
correo electrnico de spam, con algunas de las amenazas
Cyber Security Insight, el 34% de las vctimas pagar el rescate.
ms frecuentes de 2016, tales como Locky (Ransom. Locky),
En EE.UU. este porcentaje sube para el 64% de las vctimas, lo que
distribuidas de esta forma.
proporciona algunos indicios a respecto del motivo por el cual el
pas es un blanco tan grande de ataque. Disposicin para pagar el Las campaas de spam en gran escala, algunas compuestas por
rescate debe ser uno de los principales motivos para el aumento millones de correos electrnicos, ocurren casi que diariamente
del valor de los pedidos de rescate. y son alimentadas por botnets, redes de computadoras
afectadas, que varan de cientos a millones de computadoras.
El pago del rescate tambin qued ms fcil de administrarse. Para
La mayora de las campaas utilizan trucos de ingeniera social
incentivar a las vctimas a pagar, los grupos de ataque muchas
para atraer a los destinatarios a abrir los correos electrnicos
veces ya ofrecen soporte sobre cmo pagar la tasa y una mayor
y adjuntos, por ejemplo, camuflar el correo electrnico como
disponibilidad de servicios de pago torna incluso ms fcil el uso
una factura o una notificacin de envo.
Volver al ndice
O7 Ransomware: Extorsionando a
consumidores y empresas Pgina 61 ISTR Abril 2017
Distribuido por:
Volver al ndice
O7 Ransomware: Extorsionando a
consumidores y empresas Pgina 62 ISTR Abril 2017
El mtodo de infeccin ms comn involucra un adjunto vulnerable que se ejecuta en servidores para tener acceso
malicioso que contiene un archivo ejecutable, generalmente a la red de una organizacin. El grupo responsable por
un archivo JavaScript (JS.Downloader) o archivo ejecutable de el ransomware SamSam (Ransom.SamSam) encuentra
Macro del Word (W97M.Downloader), que posteriormente baja y explota vulnerabilidades para propagar su malware a
e instala el ransomware. En algunos casos, ningn archivo es travs de una red.
usado y el adjunto malicioso instala directamente el ransomware.
|| Autopropagacin: A pesar de que un pequeo volumen
En otros, el correo electrnico de spam contendr un enlace que
de ransomware para Android demuestra comportamiento
dirige hacia un kit de exploit, que instalar el ransomware en la
similar a un gusano, propagndose hacia todos los
computadora del destinatario. Algunos enlaces no llevan a un
contactos va SMS, 2016 vio el primer ransomware
kit de exploit, en lugar de ello, llevan directamente a un archivo
Windows usar autopropagacin. ZCryptor (W32.ZCrypt)
ejecutable o la carga til del ransomware.
infecta todas las unidades removibles con una copia de
Kits de exploits son otro vector importante de infecccin y han s mismo antes de comenzar el cifrado, aumentando las
sido utilizados para distribuir grandes amenazas de ransomware chances de propagarse hacia otras computadoras.
como Cerber (Ransom.Cerber) y CryptXXX (Ransom. CryptXXX).
|| Tiendas de aplicaciones de terceros: Algunas instancias
Los grupos de ataques que usan kits de exploits generalmente
de ransomware mvil pueden ser transmitidas va tiendas
invaden los servidores web de terceros e ingresan un cdigo
de aplicaciones de terceros no seguras. Un ejemplo es
malicioso en pginas web alojadas en ellos. Esto les permite
Android.Lockdroid.E, que se presenta como un player de
dirigir los navegadores hacia los servidores de los kits de exploits.
vdeo pornogrfico en tiendas de aplicaciones de terceros.
Adems de enlaces distribuidos a travs de campaas de spam o
publicaciones de medios sociales, los grupos de ataque pueden Llega el ransomware como servicio
usar una serie de otros mtodos para redirecionar el trfico Un factor que puede haber influido el aumento de las actividades
de los servidores de kits de exploits, tales como anuncios de ransomware en 2016 fue la llegada de Ransomware como
maliciosos (conocidos como malvertising) o redireccionar el Servicio (RAAS). Esto involucra la creacin de kits de ransomware
trfico de los servicios de distribucin de trfico. por los desarrolladores de malware, que pueden usarse para crear
Kits de exploit dependen de la explotacin de vulnerabilidades. y personalizar fcilmente sus nuevas variantes de ransomware.
Los usuarios que ejecutan software desactualizado o sin parches Los desarrolladores generalmente ofrecen los kits para los
de correccin corren ms riesgo. Los usuarios con software grupos de ataque, en cambio de un porcentaje de los ingresos.
actualizado solamente sern expuestos en los casos en que una Un ejemplo de RaaS es Shark (Ransom.SharkRaaS), que surgi
vulnerabilidad de da cero es usada por un kit de exploit. A fines en 2016. Shark es distribuido a travs de su propio sitio web y
de 2016, Symantec estaba bloqueando en torno de 388.000 permite a los usuarios personalizar el valor del rescate y cules
ataques por da a partir de kits de exploits. sern los archivos cifrados. El pago es automatizado y enviado
Si bien las campaas de spam y kits de exploits son los principales directamente a los creadores de Shark, que retienen el 20% y
vectores de infeccin, se han usado una serie de otras tcticas enva lo restante para los grupos de ataques.
tambin para distribuir ransomware, incluyendo:
Nuevas tcnicas: ataques dirigidos y uso de herramientas
|| Infecciones secundarias: En algunos casos el malware del da a da
que ya infect una computadora puede ser usado para A pesar de que los ataques de ransomware hasta hoy han
bajar ms malware, incluyendo ransomware. Un caso fue sido generalmente indiscriminados, existen evidencias
el ransomware CryptoLocker original, siendo que algunas que los grupos de ataques tienen un creciente inters en
vctimas quedaban supuestamente infectadas tras la centrarse en organizaciones con ataques dirigidos. Si bien en
infeccin original realizada por una de las varias botnets. un volumen relativamente pequeo en comparacin con las
|| Ruptura de contraseas por fuerza bruta: Algunas amenazas enviadas de forma masiva, estos ataques pueden
familias de ransomware son distribuidas a travs de ser devastadores para las organizaciones afectadas, con
la ruptura de credenciales de ingreso por fuerza bruta potencialmente cientos de computadoras cifradas.
de software usado en servidores. Un ejemplo es Bucbi Uno de los ejemplos ms peligrosos de esta nueva generacin
(Ransom. Bucbi), que usa este mtodo para establecerse en de ataques dirigidos es SamSam (Ransom.SamSam). SamSam
servidores Remote Desktop Protocol (RDP). tiene como blanco los servidores que ejecutan versiones
|| Explotacin de vulnerabilidades del servidor: Varios ms antiguas, comunitarias y sin parches de correccin de
grupos de ransomware tienen como blanco el software JBoss Application Server, con los grupos de ataque usando
herramientas disponibles de forma gratuita, por ejemplo,
Volver al ndice
O7 Ransomware: Extorsionando a
consumidores y empresas Pgina 63 ISTR Abril 2017
la herramienta de prueba de cdigo abierto JexBoss, para infraestructura de comando y control (C&C) perteneciente al
identificar servidores vulnerables. grupo WildFire (Ransom.Zyklon).
Luego de ingresar en un servidor, los grupos de ataque pueden En diciembre, Symantec colabor en una operacin de
robar credenciales y usar una serie de herramientas disponibles destruccin de la red de alojamiento de malware Avalanche. La
pblicamente, como servicios de Microsoft Sysinternals, para operacin result en la detencin de 39 servidores y cientos de
desplazarse en la red de la vctima. Cuando se identifican las miles de dominios que la organizacin criminal estaba usando
computadoras ideales para infeccionar, los atacantes usan un para distribuir por lo menos 17 familias de malware, incluso el
script batch para implantar SamSam y un cifrado de clave ransomware Trojan.Ransomlock.P.
pblica en cada computadora. El script tambin excluye los
archivos de copia de sombra de las computadoras, lo que Lectura adicional
impide que cualquier archivo sea restaurado a partir deles
|| Ransomware y Negocios 2016
tras la infeccin. Tambin buscan cualquier proceso de backup
en ejecucin y los interrumpe, adems de excluir cualquier || Ransomware Locky en la caza agresiva por vctimas
archivo encontrado relacionado a backup.
|| KeRanger: Surge el primer ransomware para Mac OS X
Las tcnicas empleadas en los ataques SamSam son ms
|| SamSam puede sealizar una nueva tendencia de
vistas en campaas de ciberespionaje e indican el nivel de
ransomware dirigido
conocimiento disponible para algunos grupos de ransomware.
A pesar de que es ms difcil que se ejecuten, esos tipos de
ataques dirigidos pueden potencialmente infectar miles de Mejores prcticas
computadoras en una organizacin afectada, causando la || Nuevas variantes de ransomware aparecen de forma
interrupcin de varios servicios. peridica. Mantenga siempre actualizado su software de
seguridad para protegerse contra ransomware.
Otras plataformas ahora vulnerables
Hasta la actualidad, los grupos de ataques de ransomware se || Mantenga su sistema operativo y otros softwares
han centrado, en gran parte, en usuarios del Windows, sin actualizados. Las actualizaciones de software incluirn
embargo, la variedad de plataformas bajo amenazas empez frecuentemente parches para vulnerabilidades
a crecer. Han surdigo varias amenazas Android, inclusive un recientemente descubiertas que podran ser explotadas
cripto-ransomware para Android en Ruso llamado Simplocker por grupos de ataque de ransomware.
(Android.Simplocker) y su variante en ingls llamada || El correo electrnico es uno de los principales mtodos
(Android.Simplocker.B). Los dispositivos mviles no son los de infeccin. Excluya cualquier correo electrnico de
nicos dispositivos Android potencialmente vulnerables a apariencia sospechosa que reciba, especialmente si
ransomware. Investigaciones de Symantec han descubiero incluyen enlaces y/o adjuntos.
que las smartTVs que ejecutan el Android podran tambin ser
|| Desconfe de cualquier adjunto de correo electrnico del
potencialmente afectadas.
Microsoft Office que aconseje a habilitar macros para
En 2016, una amenaza conocida como KeRanger (OSX. exhibir su contenido. A menos de que est absolutamente
Keranger) se volvi el primer ransomware generalizado seguro de que este es un correo electrnico genuino de
que tena como blanco los usuarios de Mac. KeRanger fue una fuente confiable, no active macros y, en vez de eso,
distribuido brevemente en una versin afectada del instalador excluya inmediatamente el correo electrnico.
para el cliente de Transmission BitTorrent.
|| Realizar backup de datos importantes es la manera ms
Adems de las amenazas especficamente proyectadas para
eficaz de combatir la infeccin por ransomware. Los
un sistema operativo, se crean una serie de variantes de
grupos de ataque tienen poder sobre sus vctimas, al cifrar
ransomware en JavaScript, lo que significa que puede infectar
archivos valiosos y dejndolos inaccesibles. Si la vctima
mltiples plataformas, como Ransom.Nemucod y Ransom.
tiene copias de backup, puede restaurar sus archivos as
Ransom32.
que la infeccin haya sido eliminada.
Operaciones de autoridades legales || El uso de servicios en la nube puede ayudar a mitigar la
Hubo una serie de operaciones lideradas por autoridades infeccin por ransomware, ya que muchos mantienen
legales que afectaron algunos de los grupos de ransomware versiones anteriores de archivos, permitiendo que usted
menores en 2016. En agosto, la polica holandesa aprendi la revierta para los archivos no cifrados.
Volver al ndice
OO
Informe sobre Amenazas para la Seguridad en Internet
Introduccin Pgina 64 ISTR Abril 2017
Nuevas fronteras:
El Internet de las Cosas,
dispositivos mviles y
amenazas en la nube
08
Seccin
Volver al ndice
O8 Nuevas fronteras: El Internet de las Cosas,
dispositivos mviles y amenazas en la nube Pgina 65 ISTR Abril 2017
El Internet de las Cosas || Las contraseas estndar todava son la principal falla
de seguridad para los dispositivos IoT. La contrasea
El rpido aumento en el destaque dado a la seguridad admin es la ms usada por los grupos de ataque.
de los dispositivos IoT en 2016 no surgi de la nada.
Symantec alert sobre la inseguridad del Internet de Tendencias y anlisis
las Cosas en el ISTR de 2015. Sin embargo, habria Qu significa IoT? Muchas personas imaginan termostatos
sido difcil predecir el nivel de atencin que IoT y su inteligentes y asistentes virtuales que respondern a los
seguridad, o la falta de ella, recibira en el ltimo comandos de voz, pero IoT est compuesta principalmente
trimestre de 2016. por dispositivos frecuentemente usados. Los ruteadores
domsticos, DVRs y las cmaras conectadas a Internet - que
El motivo para tal atencin se resume en una palabra: forman parte de IoT - fueron los dispositivos que ms sufrieron
Mirai. La botnet Mirai, que est compuesta por como blancos de la botnet Mirai.
dispositivos IoT, fue usada en varios ataques distribuidos Una botnet es un ejercito zombie de dispositivos conectados a
de denegacin de servicio (DDoS) hasta el fin de 2016. Internet, infectados con software malicioso y controlados como
un grupo sin el conocimiento de sus propietarios. El grupo de
Es difcil afirmar definitivamente cuantos dispositivos ataque puede usar los dispositivos controlados para ejecutar
realmente fueron infectados por Mirai, no obstante actividades maliciosas, como ataques DDoS o campaas de
spam. Los dispositivos IoT son un blanco atractivo para las
muchos de los nmeros mencionados son bastante
botnets por tres motivos:
alarmantes. La investigacin de Incapsula descubri
01 La seguridad muchas veces no es una prioridad para el
casi 50.000 IPs originales que alojan dispositivos
fabricante del dispositivo. Eso lleva a prcticas inadecuadas,
infectados por Mirai y que intentan lanzar ataques en su como el uso de contraseas estndar y puertas abiertas,
red. Level 3 dijo haber identificado aproximadamente que los usuarios no alteran o no pueden cambiar.
493.000 bots de Mirai: 213.000 antes que el cdigo
02 Normalmente, no tienen mecanismos internos para recibir
fuente fuese liberado, y 280.000 en los ltimos meses actualizaciones automticas de firmware, posibilitando
de 2016. vulnerabilidades sin correccin.
Symantec estableci un honeypot de IoT en el fin 03 Frecuentemente, son olvidados tras la instalacin. Eso
significa que sus propietarios no saben cuando los
de 2015 para rastrear intentos de ataque contra
dispositivos estn usndose para propsitos malicosos
dispositivos IoT. Los datos recopilados de este honeypot y tienen poco incentivo para aplicar actualizaciones de
muestran como los ataques a IoT estn obteniendo firmware.
fuerza y como los dispositivos IoT estn atrayendo la
atencin de los grupos de ataque.
Volver al ndice
O8 Nuevas fronteras: El Internet de las Cosas,
dispositivos mviles y amenazas en la nube Pgina 66 ISTR Abril 2017
Mientras que el nico propsito de Mirai parece ser los ataques Ataques a cada hora al honeypot de IoT por mes
DDoS, malware en un ruteador inalmbrico puede llevar El aumento en los ataques a cada hora al honeypot de Symantec de enero a
que la informacin personal - incluso nombres de usuarios, diciembre puede ser claramente observado, casi duplicando a lo largo del ao.
contraseas y datos financieros - sea robada. Los dispositivos
IoT infectados tambin pueden usarse como un punto de 10
9
partida para atacar otros dispositivos en una red privada. Eso 8
tambin supone que uno de sus dispositivos puede participar 7
Japn
Estados 2,3%
Unidos Reino
17,7% Unido
2,1%
Francia Vietnn
2,5% 3,8%
Otros
28,8%
Volver al ndice
O8 Nuevas fronteras: El Internet de las Cosas,
dispositivos mviles y amenazas en la nube Pgina 67 ISTR Abril 2017
Un ataque en gran escala al proveedor de DNS Dyn, ocurrido Las 10 contraseas ms utilizadas para intentar ingresar en
el 21 de octubre, recibi una amplia atencin de la prensa y el honeypot IoT de Symantec
puso a Mirai en las prinicpales noticias. Eso demostr como era Las contraseas estndar dominaron la lista de las 10 contraseas ms
fcil crear una botnet grande y causar daos a los principales utilizadas para ingresar en el honeypot de Symantec.
sitios. Los autores del ataque Dyn no fueron identificados, pero
se estima que eran script kiddies (aspirantes a hackers con abc123 1,8%
pocas habilidades), en vez de un grupo de hackeo sofisticado. test 2,0%
admin
El ataque Dyn tambin revel la existencia de Mirai hacia el admin123 2,3% 36,5%
mundo en general, y la prensa destac los llamados skids, 1234 5,6%
que pidieron tutoriales en foros de hackers para que pudiesen password 7,2%
aprender a usar el cdigo fuente de Mirai. ubnt 7,5%
root
16,3%
12345 10,1%
Datos por pas 123456 10,7%
El anlisis de los datos de honeypot demostr tambin que era
posible determinar de qu pases se iniciaron los ataques al
honeypot. Admin (37%) y root (16%) dominan la lista de contraseas
usadas para intentar ingresar en el honeypot de Symantec,
China (26,5%) y EE.UU. (17,7%) dominaron el volumen de
con los sospechosos usuales 123456, 12345, 1234 y
ataques, con Rusia (5,8%), Alemania (4,9%) y Vietnn (3,8%)
password tambin parte de la lista. La contrasea estndar
los prximos en la lista de los cinco principales pases.
para la marca Ubiquiti de ruteadores, ubnt, tambim est
Esas mtricas miden los pases en los cuales la direccin IP en el top 10. Es probable que los ruteadores de Ubiquiti
del dispositivo de ataque fue localizado, pero eso no significa fuesen blancos porque fue revelado en mayo de 2016 que
necesariamente que los propios grupos de ataque estaban una antigua vulnerabilidad en los ruteadores permita que
ubicados en esos pases. los gusanos (worms) dirigiesen los dispositivos incorporados
para propagarse por miles de ruteadores de Ubiquiti Networks
Contraseas ejecutando un firmware desactualizado.
El anlisis de las contraseas usadas por el malware de IoT Si bien Ubiquiti, a mediados de 2016, lanz una actualizacin
para intentar ingresar a los dispositivos trajo resultados no de firmware que corrigi esta vulnerabilidad, el gusano
sorprendentes, revelando que los nombres de usuarios y an era capaz de explotar la debilidad en los casos en que la
contraseas estndar de los dispositivos de IoT muchas veces actualizacin de firmware no haba sido descargada.
no son alterados.
Existen muchas razones para esto. Varios dispositivos de La botnet Mirai
IoT tienen nombres de usuario y contraseas codificadas Mirai primero llam la atencin del pblico en septiembre,
que no pueden ser fcilmente alteradas. Muchos usuarios cuando, como mencionado arriba, la botnet fue usada para un
posiblemente no conocen los peligros de las credenciales enorme ataque DDoS en el sitio web de Brian Krebs. Ese ataque
estndar, por lo tanto, raramente tratan de alterarlas. alcanz el pico de 620 Gbps, tornndose el mayor ataque
La prctica tradicional recomendada determina que los DDoS ya relatado en aquella poca. Sin embargo, algunos
usuarios deben poseer una combinacin de nombre de usuario das despus, surgieron relatos sobre un ataque anterior a la
y contrasea exclusiva para todos los dispositivos de IoT, compaa de alojamiento francesa OVH, y fue reportado que
conforme es recomendado para las cuentas online. Sin embargo, alcanz un pico de 1 Tbps.
a menos que los fabricantes y los proveedores implementen No obstante, fue un ataque DDoS en la empresa de DNS Dyn en
alteraciones que obligan a los usuarios a seleccionar una octubre que puso en primera pgina a Mirai. El ataque a Dyn
contrasea exclusiva, las contraseas probablemente interrumpi las actividades de varios de los principales sitios
continuarn a ser un punto dbil de la seguridad. web del mundo, incluso Netflix, Twitter y PayPal.
El ataque mostr lo poderoso que podra ser un ataque DDoS
usando dispositivos IoT y levant preguntas sobre lo que podra
representar si los grupos de ataque decidiesen invadir sistemas
de control industrial o infraestructura nacional crtica.
Volver al ndice
O8 Nuevas fronteras: El Internet de las Cosas,
dispositivos mviles y amenazas en la nube Pgina 68 ISTR Abril 2017
20 La botnet Mirai lanza un ataque DDoS contra 24 Hangzhou Xiongmai Technology Co hizo el recall
krebsonsecurity.com con picos de 620 Gbps. de una serie de dispositivos que pueden haber sido
utilizados como parte de la botnet Mirai.
Mirai funciona con el escaneo continuo de dispositivos de de Administracin CPE WAN. Tambin se estima que los
IoT que son accesibles a travs del Internet y protegidos por ruteadores similares usados por la compaa irlandesa Eir
usuarios y contraseas estndar de fbrica o codificados. estaban vulnerables al mismo ataque.
Enseguida, los infecta con malware que los obliga a reportar a Con esta primera variante apareciendo menos de dos meses
un servidor de control central, transformndolos en un bot que despus que el cdigo fuente fue tornado pblico, sera
puede usarse en ataques de DDoS. Existen tambin al menos razonable suponer que es apenas la punta de lo que podra ser
otras 17 familias de malware de IoT que estn activamente un iceberg muy grande.
infectando dispositivos.
Segn la estimativa de Gartner, que hasta 2020 habr ms Visin futura
de 20.000 millones de dispositivos de IoT en el mundo, es
El nmero de dispositivos IoT continuar creciendo y eso puede
importante que se resuelvan los problemas de seguridad o las
llevar a un aumento de las solicitudes para la reglamentacin
campaas como Mirai puedan verse en una escala an mayor.
del sector de IoT como la nica forma de enfrentar el problema
Asimismo, el perfil de los dispositivos de IoT posiblemente
de la seguridad. Si la reglamentacin se torna una posibilidad,
cambiar. A medida que los coches y los dispositivos mdicos
la prxima cuestin es si sera mejor aplicada en el nivel de la
conectados se vuelvan ms frecuentes, las motivaciones de los
industria o del gobierno.
grupos de ataque tambin pueden cambiar.
El ataque DDoS contra Dyn, con sede en EE.UU., que fue ejecutado
Los ataques que usan dispositivos IoT tambin disminuyen las
predominantemente con el uso de webcams producidas por la
barreras para la entrada de los cibercriminales. Existe mucho
empresa china de electrnicos XiongMai Technologies, enfatiza
menos seguridad a superar para los grupos de ataque cuando
la dificultad de reglamentar los dispositivos de IoT.
intentan asumir el control de un dispositivo de IoT. Al contrario de
una computadora o laptop, que normalmente habrn instalados A pesar de que no existe ninguna manera de corregir un
software de seguridad y recibirn actualizaciones automticas problema complejo como este, estndares de seguridad basados
de seguridad, la nica proteccin de un dispositivo de IoT puede en riesgos son parte de la solucin. Las naciones individuales
ser un nombre de usuario y una contrasea estndar fcilmente deben considerar una reglamentacin de seguridad mnima,
adivinados. Actualmente, la dbil seguridad en los dispositivos en particular para usos crticos, a fin de garantizar que la
de IoT apenas torna ms fcil la vida de los cibercriminales. seguridad sea un requisito fundamental en la concepcin y
fabricacin de dispositivos IoT.
Una historia en evolucin
Naturalmente, los fabricantes deben asumir el rol principal en
El cdigo fuente para Mirai estaba disponible pblicamente la seguridad de los productos que envan al mercado. Deben
en el fin de septiembre. Como mencionado, fue publicado en proporcionar a los consumidores un nivel de transparencia en
HackForums por un usuario con el nombre Anna-senpai, el 30 la seguridad de los dispositivos IoT para que puedan tomar una
de septiembre. Como esperado, la revelacin del cdigo fuente decisin informada en sus compras. Eso tambin permite que
result en la creacin de otras variantes de Mirai. la seguridad se vuelva un recurso inherente en un dispositivo,
A fines de noviembre, una variante de Mirai interrumpi el lo que permitira a los fabricantes premium diferenciar sus
acceso al internet para casi 1 milln de usuarios domsticos productos con base en la seguridad.
en Alemania. Esta variante atac varios ruteadores donde el Independientemente de lo que suceda, es probable que la
puerto TCP 7547 era accesible remotamente en el dispositivo, seguridad del internet de las cosas continuar a ser muy
al tiempo que tambin explotaba una debilidad en el Protocolo discutida en 2017.
Volver al ndice
O8 Nuevas fronteras: El Internet de las Cosas,
dispositivos mviles y amenazas en la nube Pgina 69 ISTR Abril 2017
|| Regularmente verifique el sitio web del fabricante para || El volumen total de aplicaciones Android maliciosas
actualizaciones de firmware. aument significativamente en 2016, con un crecimiento
del 105%. Pero, esta tasa de crecimiento desaceler al
|| Asegrese de que una falla de hardware no ocasione un compararla con el ao anterior, cuando el nmero de
estado inseguro del dispositivo. aplicaciones maliciosas aument un 152%.
|| En 2016, Symantec bloque 18,4 millones de infecciones de
malware en dispositivos mviles. Los datos de dispositivos
mviles protegidos por Symantec muestran que 1 de cada
20 dispositivos sufri un intento de infeccin en 2016. Se
observaron niveles semejantes en 2015.
Volver al ndice
O8 Nuevas fronteras: El Internet de las Cosas,
dispositivos mviles y amenazas en la nube Pgina 70 ISTR Abril 2017
Cifra total de detecciones por ao de malware Variantes de dispositivos mviles por familia
Symantec observ 18,4 millones de detecciones de malware en dispositivos Las variantes mviles por familia aumentaron ms del 25% en 2016, un poco
mviles en 2016, un aumento del 105% en comparacin con 2015. menos que el aumento del 30% en 2015.
20 60
59
18,4 mi 50
15
47
MILLONES
40
10 30 36
9,0 mi 20
5
10
3,6 mi
2014 2015 2016 2014 2015 2016
Otras evidencias de la consolidacin en marcha surgen cuando Al adoptarse una visin ms holstica, hubo una ligera cada
se analizan las familias de amenazas. Las familias de amenazas en el nmero total de variantes maliciosas de aplicaciones
son un agrupamiento de amenazas de grupos de ataque, iguales mviles detectadas, con una reduccin del 8% entre 2015 y
o similares. Symantec registr cuatro nuevas familias de 2016. Esta pequea cada acompa un enorme aumento en
amenazas mviles en 2016, una cada acentuada en relacin a las variantes maliciosas de aplicaciones mviles detectadas
2015, cuando se identificaron 18 nuevas familias. No obstante, entre 2014 y 2015, cuando aument ms del 75%. Las cifras
se debe notar que las tecnologas de deteccin ms recientes, de este ao muestran que la actividad comenz a estabilizarse.
como heurstica, aprendizaje de mquina y detecciones
en la nube, detectan las amenazas de forma ms genrica, Variantes de malware para dispositivos mviles por ao
camuflando potencialmente la presencia de nuevas familias. Al La reduccin de las variantes mviles detectadas en 2016 indica que la
actividad en el rea comienza a estabilizarse.
analizar ms detalladamente las caractersticas de las amenazas
mviles, pueden observarse conjuntos de 61 nuevas amenazas
distintas que surgieron en 2016. Al comparar este nmero con 4.000
3.944
los 75 grupos identificados en 2015, queda evidente una cada 3.500
3.634
3.000
de casi 19%, nuevamente indicando una desaceleracin en el
2.500
crecimiento o innovacin en el panorama de amenazas mviles.
2.000
2.227
1.500
Nmero acumulativo de familias de malware por ao 1.000
Cuatro nuevas familias de malware mviles fueron registradas por Symantec 500
en 2016, una cada acentuada en relacin a 2015, cuando se identificaron 18
nuevas familias. 2014 2015 2016
300
299 En general, se puede deducir que los grupos de ataque estn optando
290
295 por refinar y modificar las familias y los tipos de malware existentes,
en vez de desarrollar nuevos y exclusivos tipos de amenazas.
280
Volver al ndice
O8 Nuevas fronteras: El Internet de las Cosas,
dispositivos mviles y amenazas en la nube Pgina 71 ISTR Abril 2017
La primera deteccin que llama la atencin en el top 10 es Android. Tasas de malware y grayware
Opfake que est en tercer lugar. Opfake detecta malware que Symantec clasifica de forma proactiva las aplicaciones para
enva mensajes de texto premium, que continan siendo un gran dispositivos mviles que contienen grayware o malware.
generador de ingresos para los grupos de ataque de amenazas
mviles. Una segunda deteccin de mensajes de texto premium, Grayware est compuesto por programas que no contienen
Android.Premiumtext, aparece en quinto lugar. El sistema malware y no son directamente maliciosos, pero pueden ser
operativo Android aadi avisos cuando se envan los mensajes de irritantes o perjudiciales para los usuarios. Ejemplos incluyen
texto premium, tornando cada vez ms difcil que los responsables herramientas de hackeo, accessware, spyware, adware,
por amenazas escondan sus actividades. Algunas de las otras discadores y programas de bromas.
instancias de malware en el top 10 (Android.HiddenAds y Android. Hubo picos significativos en aplicaciones de malware y
Fakeapp) usan mtodos de fraude de clics para obtener ingresos y grayware entre 2014 y 2015, pero en 2016 los nmeros de las
escapar de los avisos. dos reas alcanzaron niveles semejantes. Grayware aument
El malware utilizado para distribuir ransomware y el malware un poco menos de 4% en 2016, mientras que el malware
usado en los intentos de robar informacin bancaria de las aument aproximadamente un 29%, comparado con un
vctimas tambin aparecieron en las 20 principales detecciones en aumento de ms del 300% en 2015. Los niveles de grayware y
2016. malware identificados en 2016 son bastante parecidos.
Principales amenazas para dispositivos mviles en 2016 Tasas de malware y grayware, 2014-2016
La cifra de aplicaciones de malware y grayware en 2016 alcanz niveles
Las dos detecciones de malware para dispositivos mviles ms frecuentes son
semejantes en 2016, tras el crecimiento entre 2014 y 2015.
nombres genricos de deteccin, usados para bloquear una amplia gama de
amenazas no clasificadas del Android.
Malware Grayware
10
Amenaza Mvil Porcentaje
8
Android.Malapp 39,2 7,8 mi 8,1 mi
MILLONES
7,2 mi
6
Android.MalDownloader 16,1
5,6 mi
Android.Opfake 5,2 4
4,3m
Android.HiddenAds 4,8 2
Android.Mobilespy 1,9
Android.Downloader 1,7
Aumento de empaquetadores en tiempo real
Android.Dropper 1,7
Si bien los grupos de ataque de dispositivos mviles no
Android.Fakeapp 1,7 demuestran innovaciones significativas en los tipos de
Android.Smsstealer 1,7 actividades de amenazas que conducen, estn adoptando
Android.Rootnik 1,6 tcnicas que aumentarn las tasas de xito de infecciones y
su longevidad. Los grupos de ataque de dispositivos mviles
Android.Lotoor 1,4
adoptaron cada vez ms el uso de empaquetadores de
Android.SmsBlocker 1,4 runtime en un intento de ocultar el malware, una prctica que
Android.MobileSpy 1,3 prcticamente duplic desde el inicio de 2016 hasta el fin del
Android.RegSMS 1,2 ao.
Android.FakeInst 1,2 Los empaquetadores de runtime tornan ms difcil la
Android.SMSblocker 0,9 deteccin de malware y vienen siendo usados por malware
tradicional durante varios aos. Pueden permitir que una
Android.HiddenApp 0,8
aplicacin maliciosa sea recopilada varias veces para que no
Android.Lockdroid.E 0,8 se detecte como maliciosa, sin embargo en tiempo de ejecucin
implantar su carga de malware.
Volver al ndice
O8 Nuevas fronteras: El Internet de las Cosas,
dispositivos mviles y amenazas en la nube Pgina 72 ISTR Abril 2017
10 Blackberry
iOS Android
2014 178 12
2015 463 89
Porcentaje de malware para dispositivos mviles en el grupos de ciberataques para obtener dinero con malware en
campo que es empaquetado dispositivos mviles. Sin embargo, Android 4.2 (Jelly Bean)
Un aumento en el uso de empaquetadores de runtime puede observarse en incorpor una actualizacin en 2012 que obstaculiz la operacin
2016, con la tasa ms que duplicando entre enero y diciembre. de troyanos en mensajera de SMS premium, que era utilizada de
forma desenfrenada en la poca. Con la actualizacin, el telfono
30
exhibira una alerta en caso de que hubiese un intento de enviar
25 un mensaje a un nmero de telfono premium, reduciendo
20
considerablemente la eficacia de esos fraudes.
15
Las restricciones de inicializacin automtica introducidas en
Android 3.1 (Honeycomb) en 2011 tambin presentaron un reto
10
para los grupos de ataque, pues bloqueaban los recursos de auto-
5 restauracin silenciosa, impidiendo que los troyanos iniciasen
silenciosamente sin cualquier actividad de front-end. Incluso con
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC la eficacia de estas restricciones, los grupos de ataque tambin
crearon formas de driblar esa restriccin.
En otras reas, las actualizaciones lanzadas pertenecientes
Vulnerabilidades en dispositivos mviles a Android 5.0 (Lollipop) y de Android 6.0 (Marshmallow)
Un notable cambio en 2016 fue que Android sobrepas el iOS en dificultaron la vida de los grupos de ataque que tratan de
trminos del nmero de vulnerabilidades mviles reportadas, implantar malware bancario en dispositivos mviles. El
un fuerte contraste con los aos anteriores, cuando iOS super malware bancario en dispositivos mviles funciona a travs
Android en esta rea. Ese cambio puede ser parcialmente atribuido de overlay de la pantalla, para phishing en la aplicacin
a mejoras continuas en la seguridad de la arquitectura Android actualmente en ejecucin, pero esas actualizaciones frustraron
y un inters continuo de los investigadores en las plataformas la capacidad del malware de encontrar la tarea actualmente
mviles. en ejecucin, depreciando a API getRunningTasks(). Desde
entonces, los grupos de ataque estn determinados a encontrar
Mejoras en la arquitectura Android soluciones alternativas para superar esas medidas adicionales
de seguridad.
Android ha modificado continuamente su arquitectura para
ayudar en mejoras de seguridad. Esto ha impactado a los Actualizaciones en Marshmallow tambin intentaron resolver
cibercriminales, dificultndoles la instalacin de malware con el problema de ransomware en los dispositivos mviles. Un
xito en los telfonos. Aun cuando consigan instalar malware nuevo modelo de autorizaciones en las actualizaciones dificult
en el telfono de una vctima, varios desarrollos y mejoras en el bastante a los responsables del ransomware que tiene como
Android dificultan cada vez ms la monetizacin. objetivo Marshmallow, lanzar con xito su malware en un
dispositivo, exigiendo que el usuario conceda autorizacin
Datos de Symantec muestran que los mensajes de texto premium
explcita para que el ransomware bloquee el dispositivo.
todava son una de las formas ms eficaces utilizadas por los
Volver al ndice
O8 Nuevas fronteras: El Internet de las Cosas,
dispositivos mviles y amenazas en la nube Pgina 73 ISTR Abril 2017
Si bien esas actualizaciones y mejoras de seguridad son Un sabor amargo para Apple
bienvenidas, las mejoras continuas solamente sern tiles si las An son relativamente raras las instancias de malware en el
personas logran descargar la versin ms reciente del Android iOS. Sin embargo, en agosto de 2016, se descubri que tres
en sus dispositivos, lo que ni siempre es realidad. vulnerabilidades de da cero en el iOS, conocidas como Trident,
Algunos fabricantes nunca lanzan la versin ms reciente del estaban siendo explotadas en ataques dirigidos para inyectar
Android para sus smartphones, o existe un gran atraso entre el malware Pegasus en los telfonos de las vctimas. Pegasus es
el lanzamiento de la versin ms reciente y su disponibilidad un spyware que puede acceder a mensajes, llamadas y correo
para todos. Datos del propio Android muestran que, en el inicio electrnico. Tambin puede recopilar informacin de aplicaciones
de 2017, la versin ms actualizada de su sistema operativo, como Gmail, Facebook, Skype y WhatsApp.
Nougat, estaba presente en una pequea parte del mercado,
El ataque funcionaba con el envo de un enlace hacia la vctima
ya que todava no estaba disponible para la mayora de los
por medio de un mensaje de texto. Si la vctima haca clic en el
aparatos fuera del ecosistema Google. La prxima versin
enlace, a seguir el telfono estara desbloqueado y Pegasus podra
ms actualizada, Marshmallow, tampoco tena la mayor parte
ingresar e iniciar su trabajo de espionaje.
de mercado del sistema operativo, con aproximadamente
un 4% por debajo de la versin anterior, Lollipop. La falta de Las vulnerabilidades que permitieron que ese ataque se produjese
actualizaciones puede crear grandes oportunidades para que incluan una en el WebKit de Safari que le permita al grupo de
los grupos de ciberataques tengan como blanco los sistemas ataque invadir el dispositivo si un usuario haca clic en un enlace,
operativos desactualizados en dispositivos mviles. provocaba una fuga de informacin en kernel y un problema en
el cual la corrupcin en la memoria de kernel podra desbloquear
Participacin de mercado de diferentes versiones de el dispositivo.
Android, enero de 2017 El ataque se descubri cuando un activista de derechos humanos
La versin ms actualizada del Android, Nougat, tiene apenas un pequeo entreg su telfono a Citizen Lab, tras recibir un sospechoso
porcentaje del mercado del sistema operativo.
mensaje de texto. Las vulnerabilidades parecen haber sido
explotadas tan solo en un nmero limitado de ataques dirigidos.
1,0% Gingerbread
Nougat 0,7% Pegasus es un spyware desarrollado por el Grupo NSO, una
Jelly 1,1% Ice Cream
Bean Sandwich compaa israelense que supuestamente solamente vende su
11,6%
software a gobiernos. Las tres vulnerabilidades fueron corregidas
Marshmallow
29,6%
KitKat
por Apple en el iOS versin 9.3.5.
22,6%
Este ataque mostr que, aunque son raros los ataques al iOS, el
Lollipop sistema no es infalible.
33,4%
Mejores prcticas
|| Mantenga actualizado su software.
El predominio de versiones antiguas del sistema operativo
|| Abstngase de realizar la descarga de aplicaciones de
demuestra que los grupos de ataque pueden continuar empleando
sitios desconocidos y solamente instale aplicativos de
tcnicas antiguas, que pueden ser inutilizables en las versiones
fuentes seguras.
ms actualizadas de SO, para llevar a cabo ataques sin necesidad
de innovar. || Preste mucha atencin a las autorizaciones solicitadas
por apps.
De alguna manera esto puede explicar la falta de innovacin
o expansin por parte de los grupos de ataques de dispositivos || Instale una aplicacin de seguridad mvil adecuada, como
mviles - tienen un modelo que funciona. Norton, para proteger su dispositivo y los datos.
|| Efecte frecuentes backups de datos importantes.
Volver al ndice
O8 Nuevas fronteras: El Internet de las Cosas,
dispositivos mviles y amenazas en la nube Pgina 74 ISTR Abril 2017
Volver al ndice
O8 Nuevas fronteras: El Internet de las Cosas,
dispositivos mviles y amenazas en la nube Pgina 75 ISTR Abril 2017
Volver al ndice
O8 Nuevas fronteras: El Internet de las Cosas,
dispositivos mviles y amenazas en la nube Pgina 76 ISTR Abril 2017
Este caso ilustra como la combinacin de IoT y nube puede Lectura adicional
poner en riesgo los datos de los clientes. Muchos dispositivos 2S 2016 Informe Shadow Data: Empresas ms colaborativas,
IoT recopilan datos personales y dependen de los servicios en ms seguras y ms en la nube que antes
la nube para almacenar esos datos en bases de datos online. Si
esas bases de datos no poseen la proteccin adecuada, entonces
la privacidad y la seguridad de los clientes estn siendo puestas
Mejores prcticas
en riesgo. || Excluya cualquier correo electrnico de apariencia
sospechosa que reciba, especialmente si incluyen enlaces
o archivos adjuntos.
Uso de herramientas del da a da
El aumento del uso de servicios en la nube tambin ayuda a || Desconfe de cualquier archivo adjunto de correo
facilitar una tendencia discutida en este informe de grupos de electrnico del Microsoft Office que aconseje a habilitar
ataque que optan por el uso de herramientas del da a da, en macros para exhibir su contenido. A menos de que est
vez de desarrollar su propia infraestructura de ataque. absolutamente seguro de que este es un correo electrnico
genuino de una fuente segura, no active macros y, en vez
Dos de los casos de mayor destaque en 2016, el hackeo de la
de eso, excluya inmediatamente el correo electrnico.
cuenta de Gmail de John Podesta, jefe de campaa de Hillary
Clinton, y el hackeo de la Agencia Mundial Antidoping || Cuidado con las actualizaciones o parches emitidos para
(WADA) - fueron facilitadas mediante el uso de servicios en la cualquier software de cdigo abierto que utiliza. Las
nube. Los grupos de ataque emplearon ingeniera social para actualizaciones de software incluirn frecuentemente
adquirir la contrasea de Gmail de John Podesta. Asimismo, parches para vulnerabilidades de seguridad recientemente
los grupos de ataque supuestamente usaron servicios en la descubiertas que podran ser explotadas por grupos de
nube para exfiltrar los datos robados en lugar de construir ataque.
una infraestructura personalizada para esa finalidad. Ambos || Asegrese que el servicio que utiliza en la nube efecte
casos de gran destaque son abordados en detalles en el captulo regularmente backup de sus archivos, para garantizar que
Ataques Dirigidos. pueda sustituirlos si se torna una vctima de ransomware.
La nube es atractiva para los grupos de ataque pues, || Implemente prcticas inteligentes de gobernanza de
dependiendo de como es usada y configurada, permite que datos en su compaa para que pueda saber qu datos de
pasen por la seguridad local. Los datos almacenados en la negocios estn siendo almacenados en los servicios en la
nube pueden ser ms fcilmente accesibles a los grupos de nube.
ataque que los datos almacenados en los servidores locales.
Tener como blanco los servicios en la nube tambin posibilta
que los grupos de ataque causen la mxima interrupcin con
relativamente poco esfuerzo - como fue visto con el ataque
DDoS en el DNS Dyn.
A medida que el uso de los servicios en la nube se vuelve cada
vez ms comn, hace sentido que los ataques a esos servicios
tambin se tornen ms frecuentes en el futuro.
Volver al ndice
Pgina 77 ISTR Abril 2017
Crditos
Equipo Colaboradores
Kavitha Chandrasekar Shaun Aimoto
Gillian Cleary Tareq AlKhatib
Orla Cox Peter Coogan
Hon Lau Mayee Corpin
Benjamin Nahorney Jon DiMaggio
Brigid O Gorman Stephen Doherty
Dick OBrien Tommy Dong
Scott Wallace James Duff
Paul Wood Brian Fletcher
Candid Wueest Kevin Gossett
Sara Groves
Kevin Haley
Dermot Harnett
Martin Johnson
Sean Kiernan
Bhavani Satish Konijeti
Gary Krall
Richard Krivo
Yogesh Kulkarni
Matt Nagel
Gavin OGorman
John-Paul Power
Nirmal Ramadass
Rajesh Sethumadhavan
Ankit Singh
Tor Skaar
Dennis Tan
Suyog Upadhye
Parveen Vashishtha
William Wright
Tony Zhu
Volver al ndice
Acerca de Symantec
Symantec Corporation (NASDAQ: SYMC) es lder mundial en
soluciones de ciberseguridad y ayuda a las compaas, gobiernos
e individuos a proteger sus datos ms importantes en cualquier
lugar. Compaas en todo el mundo buscan a Symantec para
soluciones estratgicas e integradas para defenderse contra
ataques sofisticados en endpoints, en la nube e infraestructura.
Del mismo modo, una comunidad global de ms de 50 millones
de personas y familias dependen de la suite de productos Norton
de Symantec para proteccin en casa y en todos sus dispositivos.
Symantec opera una de las redes civiles de ciberinteligencia ms
grande del mundo, lo que le permite ver y proteger contra las
amenazas ms avanzadas.
Ms informacin
Site Global da Symantec: http://www.symantec.com
ISTR e Symantec Intelligence Resources: https://www.symantec.com/security-center/threat-report
Symantec Security Center: https://www.symantec.com/security-center
Norton Security Center: https://us.norton.com/security-center
Sede Mundial de Para escritorios regionales y
Symantec nmeros de contacto especfico, por
350 Ellis Street favor acceda a nuestra pgina web.
Mountain View, CA 94043 Para obtener ms informacin sobre
USA los productos en los Estados Unidos,
llame al nmero de telfono gratuito
+1 650 5278000 (800) 745 6054.
+1 800 7213934
Symantec.com
04/17
Copyright 2017
Symantec Corporation.