viernes, 30 de agosto de 2013

El 28,4% de los españoles fueron atacados por amenazas online en el segundo trimestre de 2013

Informe Malware. Segundo trimestre 2013


  • Los enlaces maliciosos son el número uno en el ranking de amenazas, con un 91,55% de todas las detecciones antivirus web
  • En el último trimestre, los productos de Kaspersky Lab han detectado un total de 983.051.408 amenazas en todo el mundo
  • Los ataques a través de navegadores son el método principal para la propagación de programas maliciosos en España, sobre todo a través de la explotación de vulnerabilidades en navegadores y sus plug-ins o mediante ingeniería social
  • NetTraveler, Winnti, el ataque al navegador Opera y la red zombi contra Wordpress, son algunos de los principales ataques del segundo trimestre de 2013
Madrid (España), 30 de agosto de 2013  / Seguridad Informática / Gabinete de Prensa.


Kaspersky Lab ha presentado su informe sobre la evolución de las amenazas informáticas en el segundo trimestre de 2013. En dicho informe se refleja que son cada vez más los virus que se detectan, en concreto en el último trimestre. Los productos de Kaspersky Lab han detectado un total de 983.051.408 amenazas.
En cuanto al ranking de amenazas, el primer lugar en el Top 20 en este periodo corresponde nuevamente a los enlaces maliciosos de las listas negras, con un aumento del 0,08% desde el primer trimestre del año, alcanzando el 91,55% de todas las detecciones antivirus web.
Si tenemos en cuenta la división geográfica, un 83% de los recursos en Internet usados para propagar programas maliciosos se concentra en 10 países, casi todos miembros de la ex Unión Soviética, con la excepción de Vietnam. Rusia (52,9%) ocupó la segunda posición en el segundo trimestre.
Los países con la mayor cantidad de servicios de hosting malicioso apenas se modificaron desde el primer trimestre del año. Mientras que EE.UU. (24,4%) y Rusia (20,7%) mantuvieron sus posiciones de líderes, Irlanda salió del Top 10, siendo remplazada por Vietnam en el séptimo lugar, con el 2,1%.
En España, la cifra total de ataques de malware online durante este Q2 es de 5.172.233. El 28,4% de los usuarios en nuestro país, fueron atacados por amenazas online en este periodo. Estos datos sitúan a España en el puesto 43 del mundo en ataques online.
Los ataques a través de navegadores son el método principal para la propagación de programas maliciosos en España, sobre todo a través de la explotación de vulnerabilidades en navegadores y sus plug-ins o mediante ingeniería social.
Las amenazas locales son aquellas derivadas de la propagación de malware a través de unidades extraíbles, como USB, CD y DVD, y otros métodos "offline" y en España están muy presentes. De hecho, en el segundo trimestre de 2013 se detectaron un total de 4,822,201 que afectaron al 24% de los usuarios de este país. España se sitúa en el puesto 138 del mundo, en cuanto a ataques locales.
Todos los países pueden clasificarse en cuatro grupos básicos según su nivel de riesgo de infección:
  1. Riesgo máximo (países en los que más del 60% de los usuarios se enfrentó al menos una vez a una amenaza en Internet) en este último trimestre no hay países incluidos.
  2. Riesgo elevado. Los primeros diez países del Top 20 se enmarcan en este grupo (tres menos que en el primer trimestre de 2013), entre los que están Vietnam y países de la ex Unión Soviética, particularmente Armenia (53,9%), Rusia (52,9%), Kazajistán (52,8%), Moldavia (44,8%), Bielorrusia (44,7%) y Ucrania (43,9%).
  3. Riesgo moderado. Este grupo incluye a los países en los que entre el 21% y 40,9% de los usuarios se enfrentó al menos una vez a una amenaza en Internet. En el segundo trimestre de este año 82 países formaron este grupo, entre los cuales están Italia (29,2%), Alemania (33,7%), Francia (28,5%), Sudán (28,2%), España (28,4%), Qatar (28,2%), EE.UU. (28,6%), Irlanda (27%), Reino Unido (28,3%), Emiratos Árabes Unidos (25,6%) y Holanda (21,9%).
  4. Riesgo bajo. En el segundo trimestre de 2013, este grupo incluyó 52 países cuya participación varió entre el 9% y el 20,9%. Las cifras más bajas (por debajo del 20%) de ataques provenientes de la web se dieron en países africanos cuyo Internet no está plenamente desarrollado. Las excepciones fueron Dinamarca (18,6%) y Japón (18,1%).

Algunos de los ataques que se reflejan en este informe son:
  1. NetTraveller
Se trata de una familia de programas maliciosos utilizados por APT (Advanced Persistent Threat) que ha comprometido a más de 350 víctimas de alto perfil en 40 países distintos. El grupo NetTraveler ha infectado a las víctimas tanto en el sector público como en el privado, incluyendo instituciones gubernamentales, embajadas, la industria del petróleo y gas, centros de investigación, contratistas militares y activistas políticos.
Según el informe de Kaspersky Lab, la amenaza ha estado activa desde 2004; sin embargo, el mayor volumen de actividad se ha dado entre 2010-2013. Recientemente, los principales dominios del grupo NetTraveler mostraron interés por el ciberespionaje, incluyendo la exploración del espacio, la nanotecnología, la producción de energía, la energía nuclear, el láser, la medicina y las comunicaciones.
La  finalidad del ataque es el robo de datos y la cibervigilancia. Los datos robados extraídos del servidor C&C supera los 22 gigabytes. España está entre los diez países con más víctimas detectadas según KSN (Kaspersky Security Network), junto con  Mongolia, Rusia, India, Kazajstán, Kirguistán, China, Tayikistán, Corea del Sur y Alemania.
  1. Winnti:
El grupo Winnti ha estado atacando a empresas de la industria del juego online desde 2009 y actualmente sigue en activo. Los objetivos del grupo son la adquisición de certificados digitales firmados por los proveedores de software, además del robo de propiedad intelectual, incluyendo el código fuente de los proyectos de los juegos online.
El primer incidente que llamó la atención sobre las actividades maliciosas del grupo Winnti se produjo en otoño de 2011, cuando un troyano malicioso fue detectado en un gran número de equipos en todo el mundo. El vínculo común entre todos los usuarios infectados era que jugaban a un popular juego online. Poco después del incidente, se comprobó que el programa malicioso que había infectado los ordenadores de los usuarios formaba parte de una actualización periódica del servidor oficial de la compañía de videojuegos. Los usuarios y los miembros de la comunidad de jugadores sospechaban que el editor del juego instaló el malware para espiar a sus clientes. Sin embargo, más tarde se descubrió que el programa malicioso se instaló por error en los equipos de los usuarios y que el ataque en realidad iba dirigido a la compañía de videojuegos.
  1. Seguridad en la Web y fugas de información
A fines de mayo, Drupal notificó a sus usuarios que un grupo de hackers habían logrado acceder a nombres de usuario, direcciones de correo y al hash de contraseñas resumidas. El desarrollador de sistemas de administración de contenidos respondió reconfigurando todas las contraseñas, como medida de precaución.. La fuga se detectó durante una auditoría de seguridad sobre un exploit en un software de otra marca instalado en su portal web. Según Drupal, los datos de tarjetas de crédito no se vieron comprometidos.
El 29 de junio, el navegador web Opera distribuyó entre sus usuarios actualizaciones maliciosas para el navegador después de que su red interna se viera afectada y robaran el certificado de firma de un código. Aunque el certificado ya había expirado en el momento del ataque, todavía podía derivar en infecciones sucesivas, ya que no todas las versiones de Windows verifican bien los certificados. A pesar del corto tiempo que estuvo activa la carga maliciosa, varios miles de usuarios de Opera pueden haber descargado la actualización maliciosa. Kaspersky Lab detecta el troyano (con capacidades de robo de datos y de espionaje del uso del teclado) que se usa en este ataque como Trojan-PSW.Win32.Tepfer.msdu.

  1. Redes zombi especiales
A principios de abril, GatorHost informó sobre una red zombi con más de 90.000 direcciones IP únicas que se usaba para lanzar un violento ataque a nivel mundial contra las instalaciones de Wordpress. Se supone que el objetivo del ataque era introducir un troyano backdoor en los servidores y capturarlos para la red. En algunos casos, el famoso paquete exploit BlackHole se instaló con éxito.
Acceder a los servidores de Wordpress y abusar de ellos fue el logro de estos ciberdelincuentes que encontraron también la posibilidad de seguir distribuyendo programas maliciosos mediante blogs ya establecidos y con sus lectores habituales.

No hay comentarios: