Informe

Escrito por McAfee Labs

Tabla de contenidos
Operación High Roller Ocultación dinámica de las pruebas Vínculos con campañas europeas y del Asia-Pacífico Malware móvil Amenazas generales de malware Ransomware Amenazas de redes Seguridad de bases de datos Amenazas Web Phishing Direcciones URL de spam Amenazas de mensajería Volumen de spam Desglose de las redes de bots Remitentes de redes de bots nuevos Prevalencia de las redes de bots de mensajería Spam de medicamentos, un tema popular Ciberdelincuencia Exigencia de rescates Herramientas de crimeware Acciones en contra de los ciberdelincuentes Hacktivismo Un toque de ciberguerra Acerca de los autores Acerca de McAfee Labs Acerca de McAfee 4 5 6 7 9 15 16 19 20 23 25 25 26 28 29 31 32 33 33 34 35 36 37 39 39 39

2

Informe de amenazas de McAfee: Tercer trimestre de 2012

En muchos sentidos, el análisis de amenazas tiene algo de ciencia y algo de arte. En McAfee Labs, tratamos de aplicar toda la matemática y el rigor analítico posible en nuestros análisis, pero con frecuencia no podemos ver la situación en su totalidad. También tenemos que interpretar muchas cosas y hacer conjeturas. El filósofo Friedrich Nietzsche escribió: “Los hechos no existen, solo hay interpretaciones”. Este poco de sabiduría nos parece bastante pertinente para el análisis de las amenazas. Según el punto de vista de cada persona, las amenazas pueden significar muchas cosas. El spam, por ejemplo, parece que está disminuyendo en forma constante desde una perspectiva global, pero cuando lo vemos en forma local o por país, apreciamos variaciones enormes. Lo mismo se puede decir sobre muchos de los vectores de amenazas que analizamos en esta edición del Informe de amenazas de McAfee: la perspectiva de cada persona marca la diferencia. Las tendencias dentro del panorama de las amenazas a veces se parecen a la predicción de los patrones del clima o de los precios de las acciones. Sabemos que van a subir y que van a bajar. ¿Pero cuándo y por qué? Estas preguntas no son fáciles de responder en el mundo de la seguridad de la información, especialmente porque no podemos escrutar las mentes ni las intenciones de los atacantes. A veces, tenemos que observar los números en los niveles macro y micro y, simplemente, reconocerlos. Observamos una cantidad de cambios y revocaciones en las amenazas de este trimestre. Las infracciones de base de datos alcanzaron un máximo histórico que superó el año 2011 en su totalidad, mientras que el crecimiento en la cantidad total de malware disminuyó un poco desde el último trimestre. No obstante, detectamos aumentos en algunas categorías de malware como el ransomware y los binarios firmados. Los rootkits y el malware para Mac siguen en aumento. Los troyanos que roban contraseñas y el malware de ejecución automática también presentan una fuerte tendencia al alza. Entre las amenazas Web y de mensajería, observamos un 20% de aumento en las direcciones URL sospechosas durante este trimestre, con una cantidad enorme de URL que hospedan malware. Casi el 64% de las URL sospechosas que se descubrieron recientemente están ubicadas en Norteamérica, lo que ciertamente no es nuevo. Pero al analizarlo a nivel nacional, la distribución varía considerablemente. El crecimiento del volumen de spam y mensajería sigue disminuyendo a nivel macro, pero en algunas regiones vimos aumentos enormes; por ejemplo en Arabia Saudita y en Turquía. Las infecciones de redes de bots globales también disminuyeron bruscamente hacia el final del trimestre, aunque algunos países (como Alemania y España) exhibieron aumentos. El spam de medicamentos fue el asunto más común en el spam de todo el mundo durante este trimestre, aunque detectamos algunos temas de correo electrónico “hot” en Australia, Francia y los Estados Unidos. Este trimestre el malware móvil casi duplicó las cifras del trimestre pasado. Aunque pronosticamos este incremento, igual resulta un poco impactante verlo en acción. Además, observamos algunas funcionalidades nuevas en malware como Android/MarketPay y Android/Backscript.A. Esta es una de las áreas de amenazas más volátiles y preocupantes en la actualidad. El ransomware sigue evolucionando. En los números, presenta un crecimiento significativo, pero también hemos sido testigos de operativos policiales globales para combatirlo. Las herramientas de crimeware como el kit de vulnerabilidad de seguridad Blackhole lanzaron actualizaciones mayores durante este trimestre. También aplaudimos algunas acciones importantes en contra de los ciberdelincuentes en Bulgaria, los Estados Unidos y Corea del Sur. La posibilidad de una guerra cibernética está en aumento y en esta edición actualizamos el análisis sobre la Operación High Roller. Encontramos una gran diversidad en los vectores de ataques de redes, pero también pocos cambios en su origen y los objetivos: siguen muy centrados en los Estados Unidos. En esta edición hemos agregado un nuevo desglose sobre la red Blackhole, con sus servidores de control y las víctimas. Blackhole es uno de los kit de herramientas más peligrosos. A medida que avanzamos por el tortuoso camino del análisis de amenazas, prestemos atención al erudito británico Bertrand Russell, quien advirtió que: “En todas las actividades es saludable, de vez en cuando, poner un signo de interrogación detrás de aquellas cosas que se han dado por sentado durante mucho tiempo”. Parece ser una cosa de perspectiva.
Informe de amenazas de McAfee: Tercer trimestre de 2012

3

Operación High Roller El ataque de fraude financiero llamado Operación High Roller, del cual McAfee Labs realizó un 1 seguimiento extenso y que investigó en forma profunda, recientemente empleó una variante de la plataforma de malware SpyEye para apuntar a una institución financiera multinacional estadounidense muy importante. En este ataque, los ciberdelincuentes configuraron un sistema de transferencias automatizado (ATS). Generalmente, los estafadores usan sistemas de transferencias automatizados para abrir las puertas de las instituciones financieras europeas; este tipo de ataque no es nuevo. Lo nuevo, este trimestre, es el uso de un sistema de transferencias automatizado en contra de un blanco estadounidense. Los ataques con sistemas de transferencias automatizados ya no son solo un problema europeo, sino que se convirtieron en un asunto global; especialmente cuando estos ataques están automatizados y provienen de servidores remotos distribuidos. Un aspecto ingenioso de este ataque es su capacidad de estar dirigido tanto a la banca de negocios como la banca comercial, todo con el mismo marco. Esto significa que con esta variante los atacantes pueden apuntar y poner en peligro en forma selectiva a los usuarios de la banca de negocios y consumidores. El nuevo ataque salió a la luz recientemente en “webinjects” específicos para SpyEye (funciones empaquetadas comerciales creadas por los desarrolladores de SpyEye) que analizó McAfee Labs. Este webinject, destinado a un banco puntual, parece ser una versión híbrida que emplea tanto componentes locales como remotos para llevar a cabo el fraude financiero. Esto puede ser el caso por varios motivos: • El ataque oculta perfectamente las transacciones fraudulentas en el lado cliente, mientras que realiza las transacciones fraudulentas en el lado servidor. • Emplea un componente local para eludir la autenticación fuera de límite mediante mensajes de texto SMS para inscribir un nuevo dispositivo para tener acceso a la banca en línea. Este es un desarrollo importante. Suponemos que ese ataque requiere de este paso debido a que el servidor remoto autenticará con la banca en línea y realizará las transacciones en forma similar a las campañas anteriores de High Roller que hemos observado. El comportamiento de transacciones fraudulentas del ataque nuevo funciona en forma muy similar a los ataques de la Operación High Roller original. Las transacciones falsas se realizan en el servidor, no se llevan a cabo en forma local en el explorador del cliente. En el cliente solo permanecen algunos componentes mínimos: operaciones como el reemplazo de saldos y la ocultación de transacciones, que no se pueden ejecutar en el servidor. La siguiente función en JavaScript, SendLoginInfo(), recolecta la información necesaria de la víctima y la transmite al servidor de transacción en una cadena codificada en Base64. El servidor de transacciones emplea esa información para realizar las operaciones posteriores mediante el uso de lógica del lado servidor. Esta táctica permite que los estafadores utilicen una autenticación bancaria de dos factores para evitar varios tipos de detección de fraudes.

4

Informe de amenazas de McAfee: Tercer trimestre de 2012

El ataque recolectará la siguiente información. Esta es una técnica de fraude poderosa. Ocultación dinámica de las pruebas En los sistemas de transferencia automatizados europeos es común que las pruebas se oculten en forma local después de llevar a cabo el fraude y recibir la información de las transacciones desde una variable local guardada después del fraude. La víctima no verá los fondos deducidos de la cuenta ni tampoco verá que el servidor realizó una transacción (a menos que el servidor de transacciones se desconecte y ya no pueda “hablar” con la máquina de la víctima). los que se usarán para inscribir el servidor de transacciones. GetReplacerData(). existe un componente móvil en este ataque que interceptará el código que se envía mediante un mensaje SMS para validar el servidor de transacciones. La variante estadounidense capta los datos en forma dinámica desde el servidor de transacciones para alimentar las otras funciones que borran las pruebas. algunos bancos utilizan este paso para validar los dispositivos nuevos que no se han visto antes como parte del proceso de inscripción de dispositivos como. Esta interacción le indica al código JavaScript local lo que debe ocultar. El banco puede enviar un código de autenticación de mensaje SMS o enviar un mensaje de correo electrónico a la cuenta. Por lo tanto. La siguiente función. recopila información sobre las transacciones fraudulentas que se deben ocultar. pero la variante estadounidense depende de la interacción en vivo con el servidor de transacciones. El proceso de inscripción con este banco específico es una función necesaria cuando la banca en línea determina que el dispositivo que intenta conectarse no está identificado. Esta es una técnica común para evadir la autenticación fuera de límite cuando las transacciones están ligadas a un código por mensaje SMS. por ejemplo. Es probable que ese componente sea una variante de Spitmo (SpyEye en el móvil). y suponemos que será adoptada por muchos atacantes. el malware requiere de algunas características para eludir esta protección habitual. que permitirá que el servidor cree automáticamente una sesión en paralelo. Según lo que especifica la rutina. además del número telefónico y correo electrónico. el servidor de transacciones se representa con la variable “var link”. Informe de amenazas de McAfee: Tercer trimestre de 2012 5 . con el código para obtener acceso a la banca en línea. Las víctimas ven solo lo que el estafador quiere que vean. cuando un cliente utiliza un computador nuevo para acceder a la banca en línea.Como en esta instancia el servidor de transacciones aparecerá como un dispositivo no identificado. según las transacciones realizadas en el servidor. Esta técnica para eludir la autenticación fuera de límite es un paso nuevo de los atacantes para inscribir un servidor de transacciones remotas en la banca en línea. Sin embargo. Este ataque se diseñó para capturar tanto el número telefónico como el correo electrónico de la víctima.

Después de captar la información desde el servidor de transacciones.bin de SpyEye o Zeus para distribuir esa variante a sus víctimas. Esta función ejecutará a su vez tres funciones adicionales para reemplazar el saldo en la página principal de saldos y en la página de saldos de actividad y para ocultar la transferencia automática que se acaba de realizar. mientras que otros son completamente independientes. frecuentemente nos preguntan qué actores están detrás de los ataques. Una vez que se descifra el archivo config. Este tipo de réplica y análisis minucioso es indispensable para reunir información exacta a partir de las operaciones de análisis de malware. Podemos realizar un seguimiento de estas inserciones Web. la función ejecuta otra rutina que ejecuta la función RunReplacer(). en estas campañas de fraudes financieros con algunas versiones de otros ataques automatizados en su forma habitual. Esta función del lado cliente ejecuta la rutina sustituta. Este es un análisis y trabajo que requieren de mucho tiempo. Es difícil responder esa pregunta. tenemos que buscar pistas abandonadas en los ataques que se puedan rastrear con el paso del tiempo a través de las variantes. Vemos vínculos interesantes.bin y se puede acceder al contenido. Algunos grupos fraudulentos trabajan en conjunto y comparten componentes para maximizar las ganancias. como componentes compartidos entre grupos específicos. 6 Informe de amenazas de McAfee: Tercer trimestre de 2012 . Por lo tanto. Vínculos con campañas europeas y del Asia-Pacífico Cuando hablamos acerca de atribución y desarrollo de enlaces con otras campañas. La función HideTransfer() elimina los conceptos de línea de la tabla del historial de transacciones. Estos ataques automatizados usualmente desarrollan un solo conjunto de inserciones Web para utilizarlos en diversas campañas y los compilan en el archivo config. de acuerdo con algunos atributos únicos que indican si otra variante utiliza la inserción del mismo desarrollador. podemos realizar una búsqueda en las diferentes variantes para descubrir las conexiones con otras campañas.

el malware para Android repuntó y casi se duplicó este trimestre. ya que volvieron a utilizar la misma ubicación para recuperar el script ACD.000 15. De hecho.En nuestra revisión de las campañas de la Operación High Roller. Realizamos seguimientos a cinco campañas anteriores destinadas a bancos europeos que utilizaron la misma URL para el vínculo de ACD. observamos muy pocas amenazas móviles que no se dirigen a los teléfonos Android. a medida que seguimos los vínculos y volvemos a los datos con un valor de huella digital único que aparece en los archivos de configuración de SpyEye. Este es el primer indicador de que esas campañas están relacionadas con el ataque estadounidense reciente. Nuestro análisis vincula esta campaña directamente con campañas anteriores en Europa. Nosotros tampoco. El servidor de transacciones que se utilizó en la campaña actual está alojado en Rusia (lo que no es de sorprender. a partir de ciertas características que pudimos encontrar.000 5. Después de una leve disminución al inicio del año. podemos determinar que el mismo grupo también llevó a cabo ataques automatizados similares en Alemania y Australia. Además. Podemos vincular el ataque de este trimestre a través de la aparición de una URL compartida que aloja el script de Ajax Cross Domain (ACD). Al buscar el vínculo de ACD compartido en una gran recopilación de muestras de SpyEye.000 10. ya que hemos visto muchos hosts de sistemas de transferencias automatizados alojados allí) y está destinado a un solo banco estadounidense. ya que tiene relaciones con bases profundas en Europa y Asia-Pacífico. Las técnicas que se emplean en la Operación High Roller no desaparecerán a corto plazo. un componente que se emplea en prácticamente todos los ataques que hemos analizado. pero que obviamente no está alojado en la misma ubicación para todos los ataques. podemos ver cómo los ataques tienen raíces en los ataques automatizados previos de las regiones europeas y del Asia-Pacífico. aunque con una URL diferente para el servidor de transacciones. observamos cómo estas campañas están relacionadas con otras campañas que afectan a otras regiones del mundo.000 20. en comparación con el segundo trimestre. Esta campaña que está dirigida a este banco puntual no es única. Muestras de malware móvil total en la base de datos 25. Malware móvil La plataforma Android sigue siendo el blanco más importante para el malware y spyware móviles.000 0 2004 2005 2006 2007 2008 2009 2010 2011 2012 Informe de amenazas de McAfee: Tercer trimestre de 2012 7 .

Intercepta y reenvía los códigos de confirmación que envía el mercado y compra las aplicaciones en silencio.Malware móvil total por plataforma Android Symbian Java ME Otros Nuevo malware para Android 9.A es un cliente de red de bots que fue parte de una campaña avanzada más grande de malware de amenaza persistente. El cliente también puede explorar los directorios de los dispositivos Android infectados.A es otro avance en el malware para Android. Recibe comandos para cargar y descargar archivos del servidor del atacante.000 1. emplea un formulario en JavaScript que se ejecuta en Java móvil para reducir el tiempo de desarrollo.000 8. también abundan las redes de bots y otros tipos de malware avanzado.A y descargadores avanzados como Android/MarketPay.A y Android/Backscript. En vez de descargar ejecutables nativos.000 7. Android/Backscript.000 5. Las redes de bots como Android/Funsbot.000 0 T1 2011 T2 2011 T3 2011 T4 2011 T1 2012 T2 2012 T3 2012 Aunque gran parte de las amenazas nuevas son spyware comercial.000 3.A elimina todos los otros mensajes de facturación para que el usuario no se pueda informar.A compra automáticamente aplicaciones en un mercado de terceros de Android. A fueron algunos de los malware más significativos durante este trimestre. MarketPay.000 6. En la actualidad. Android/MarketPay.000 4. 8 Informe de amenazas de McAfee: Tercer trimestre de 2012 . el malware realiza instalaciones de pago por instalación de una aplicación determinada de terceros y se puede actualizar fácilmente para instalar otras aplicaciones al pagar una tarifa. Android/Funsbot. Este cliente de red de bots recibe actualizaciones de nuevos comandos y funcionalidades desde el servidor de control del atacante. el atacante puede recopilar información sobre un blanco determinado y también puede mantener y aumentar el control de ese blanco. De este modo.000 2.

El crecimiento del malware disminuyó este trimestre.000 2.000.000 0 T1 2010 T2 2010 T3 T4 2010 2010 T1 2011 T2 T3 2011 2011 T4 2011 T1 T2 2012 2012 T3 2012 Informe de amenazas de McAfee: Tercer trimestre de 2012 9 .000.000 40. el código y los ataques serán de un orden muy diferente.000. entendemos muy bien el malware.000. Este objetivo produce malware de ciertos tipos y funcionalidades. Por ende. Sin embargo.000. Sabemos cómo funciona y porqué. en el caso de los hacktivistas o los atacantes patrocinados por algún estado.000 6.000. en gran medida.000 100.000 80. Donde nuestro sector carece de una comprensión a fondo es en las condiciones y motivaciones del enemigo: los ciberdelincuentes de hoy y otros tipos de atacantes. En muchos aspectos. mientras que Shamoon siembra el caos y la destrucción.000.000 4. Las motivaciones de los ciberdelincuentes son bastante evidentes: ganar dinero con el malware y los ataques relacionados. El malware de la ciberdelincuencia exhibe comportamientos muy diferentes de Stuxnet.000 60. Sabemos.000. Duqu o Shamoon.000 0 OCT 2011 NOV 2011 DIC 2011 ENE 2012 FEB 2012 MAR 2012 ABR 2012 MAY 2012 JUN 2012 JUL 2012 AGO SEP 2012 2012 Malware nuevo 10. pero el número global en nuestro “zoológico” de malware encabezó las 100 millones de muestras que habíamos pronosticado al inicio de este año. Muestras de malware total en la base de datos 120.000 8.000.000. porque los objetivos de los atacantes son diferentes: el malware de la ciberdelincuencia busca ganancias y (en gran parte) cautela. qué hará y porqué. Estas dinámicas subyacentes conllevan a cambios amplios en la sofisticación que vemos en muchas clases de malware y ataques.000.000 20.Amenazas generales de malware Comprender el crecimiento del malware es como predecir las turbulencias en la dinámica de fluidos: sabemos que ocurrirá pero es casi imposible decir en qué momento. las motivaciones y los objetivos son completamente diferentes. a Stuxnet y Duqu les concierne el sabotaje y espionaje.

000 200.Al igual que en el trimestre anterior. El rootkit TDSS común tiene una tendencia a la baja.000 180. Los rootkits o malware de acción furtiva son una de las clasificaciones más peligrosas de malware que conocemos.000 160. Muestras nuevas de rootkits 350.000 20.000 100. mientras que Koutodoor ha aumentado y disminuido durante este año.000 140. Están diseñados para evadir la detección y así “vivir” en un sistema durante periodos muy prolongados.000 60.000 0 T1 2010 T2 2010 T3 2010 T4 2010 T1 2011 T2 2011 T3 T4 2011 2011 T1 2012 T2 2012 T3 2012 Muestras nuevas de Koutodoor 200.000 150. ZeroAccess está disminuyendo después de su enorme crecimiento acelerado y presentó un cambio desde las técnicas de modo de kernel hacia las de modo de usuario. los rootkits siguen siendo una amenaza problemática.000 0 T1 2010 T2 2010 T3 2010 T4 2010 T1 2011 T2 2011 T3 2011 T4 2011 T1 2012 T2 2012 T3 2012 10 Informe de amenazas de McAfee: Tercer trimestre de 2012 .000 300.000 250.000 40.000 50.000 100.000 80.000 120.

000 200.000 100.000 50.Muestras nuevas de TDSS 300.000 50.000 250.000 0 T1 2010 T2 2010 T3 2010 T4 2010 T1 2011 T2 2011 T3 2011 T4 2011 T1 2012 T2 2012 T3 2012 Muestras nuevas de ZeroAccess 250.000 200.000 0 T1 2010 T2 2010 T3 2010 T4 2010 T1 2011 T2 2011 T3 2011 T4 2011 T1 2012 T2 2012 T3 2012 Informe de amenazas de McAfee: Tercer trimestre de 2012 11 .000 150.000 100.000 150.

000.000 1.000 400.000 200.000 1. el malware destinado a los usuarios de Facebook está disminuyendo.000 0 T1 2010 T2 2010 T3 2010 T4 2010 T1 2011 T2 2011 T3 2011 T4 2011 T1 2012 T2 2012 T3 2012 Muestras nuevas de ladrones de claves 1. antivirus falsos y troyanos que roban claves sigue creciendo.000 1.000 400.000 800.000 200. mientras que Koobface.000 200.000 0 T1 2010 T2 2010 T3 2010 T4 2010 T1 2011 T2 2011 T3 2011 T4 2011 T1 2012 T2 2012 T3 2012 Muestras nuevas de antivirus falsos 1.200.600.000.000 600.El número total de ejecuciones automáticas.000 800.000 1.000 600.000.000 600.000 0 T1 2010 T2 2010 T3 2010 T4 2010 T1 2011 T2 2011 T3 2011 T4 2011 T1 2012 T2 2012 T3 2012 12 Informe de amenazas de McAfee: Tercer trimestre de 2012 .400.200.000 1.000 800.000 400. Muestras nuevas de ejecución automática 1.400.

000 40.200.000 45.000 10. Binarios maliciosos firmados en total 1.000.000 800.000 0 OCT 2011 NOV 2011 DIC 2011 ENE 2012 FEB 2012 MAR 2012 ABR 2012 MAY 2012 JUN 2012 JUL 2012 AGO 2012 SEP 2012 Informe de amenazas de McAfee: Tercer trimestre de 2012 13 .000 20. que usualmente se reserva para los ataques dirigidos y.000 15.000 0 OCT 1 2011 NOV 1 2011 DIC 1 2011 ENE 1 2012 FEB 1 2012 MAR 1 2012 ABR 1 2012 MAY 1 2012 JUN 1 2012 JUL 1 2012 AGO 1 2012 SEP 1 2012 Binarios maliciosos firmados nuevos 140.000 400.000 20. Esta es una técnica muy avanzada.000 1.000 25. aunque sigue siendo un subconjunto muy pequeño de la totalidad del malware.000 35.000 30.000 600.Muestras nuevas de Koobface 50. creció ligeramente durante este trimestre.000 5.000 60.000 120.000 0 T1 2010 T2 2010 T3 2010 T4 2010 T1 2011 T2 2011 T3 2011 T4 2011 T1 2012 T2 2012 T3 2012 El malware firmado. por lo tanto.000 40.000 200.000 100.000 80. no es extraño que las cifras sean bajas.

000 500. En forma reciente. pero los números no mienten.000 0 T1 2010 T2 2010 T3 2010 T4 2010 T1 2011 T2 2011 T3 2011 T4 2011 T1 2012 T2 2012 T3 2012 14 Informe de amenazas de McAfee: Tercer trimestre de 2012 . Malware nuevo para Mac 700 600 500 400 300 200 100 0 T1 2010 T2 2010 T3 2010 T4 2010 T1 2011 T2 2011 T3 2011 T4 2011 T1 2012 T2 2012 T3 2012 Una variedad de malware está destinado al registro de arranque principal (MBR) de un computador.000 400. Suponemos que esta amenaza seguirá en crecimiento. Esto sorprende a muchas personas. que compromete la plataforma de Apple. Cidox y Shamoon aumentaron su frecuencia.000 100. persistencia y penetración. Tidserv. un área que realiza las operaciones clave de inicio.El malware para Mac.000 300. presenta un crecimiento fuerte y continuo. porque este amenaza inspira mucho menos discusión que el malware para PC y los teléfonos móviles. estos ataques que incluyen mebroot.000 Variantes de familias con cargas de MBR conocidas Componentes identificados de MBR 200. el atacante consigue una amplia variedad de control. Nuevo registro de arranque principal: amenazas relacionadas 600. Al comprometer el MBR.

aunque probablemente por anuncios comprometidos y no por los portales mismos.000 50. Generalmente. Las advertencias por parte de la Oficina 4 Federal Alemana para la seguridad de la información y del FBI son solo algunos ejemplos. hemos visto varias advertencias por parte de las autoridades en todo el mundo. los investigadores de seguridad solo podemos ver parte de la imagen. Últimamente. Muestras nuevas de ransomware 250.000 100. los usuarios de algunos portales de vídeo de transmisión por secuencias han sido atacados. una familia de malware que toma como rehén un computador o sus datos para extorsionar dinero de las víctimas. Además de los vínculos en los correos electrónicos o mensajes en redes sociales. l os computadores que ya son parte de una red de bots se siguen infectando con malware adicional y los administradores de los bots reciben dinero por esta actividad. Muchas personas ni siquiera reconocen que fueron víctimas de un delito y que pueden denunciarlo. Para obtener una perspectiva a fondo.Ransomware En forma reciente. Como confirmación de nuestras sospechas del gran número de víctimas y daños. deberían denunciar estos incidentes a la autoridad pertinente o a las instituciones financieras. pero podemos calcular aproximadamente que el porcentaje de víctimas que realmente denuncian estos incidentes es bastante bajo. Esto representa un paso adelante que nosotros respaldamos.000 0 T1 2010 T2 2010 T3 2010 T4 2010 T1 2011 T2 2011 T3 2011 T4 2011 T1 2012 T2 2012 T3 2012 A pesar de todo este crecimiento en malware. por lo que se convierte en una de las áreas de crecimiento más rápido de la ciberdelincuencia. Concretamente. hemos visto un crecimiento importante en el ransomware. Como ocurre siempre con el malware. (Para obtener más información sobre el ransomware. estas personas no saben dónde ni cómo realizar la denuncia con la policía y muchas de ellas no desean hacerlo. La gran cantidad de muestras únicas volvió a aumentar en un 43% el último trimestre. consulte el excelente blog de François Paget. a saber. Las víctimas de estos delitos a menudo quedan con la duda de qué pueden hacer. el número de muestras que recolectamos para el análisis.000 200. La Europol celebró una reunión 3 para combatir la propagación del “ransomware policial”. el “pago por instalación” es un método muy popular. son muchas las formas en que se pueden infectar las víctimas. consultar página 33). En McAfee Labs hemos visto que nuestros amigos y familiares han sido atacados y aún así ellos se niegan a denunciar estos delitos. investigador senior de 2 McAfee Labs. aparte de eliminar las infecciones de los computadores. En este tipo de ataque.000 150. Desde luego. las descargas desapercibidas también han jugado un papel muy importante. Informe de amenazas de McAfee: Tercer trimestre de 2012 15 .

podemos afirmar que los Estados Unidos son el hogar y el blanco de gran parte de la actividad maliciosa en Internet. tanto para los atacantes como para los blancos. cuando se utiliza como el único indicador. donde los ataques de fuerza bruta a MySQL van en aumento. Principales atacantes de inyección de código SQL Estados Unidos Venezuela Reino Unido España China Corea del Sur México Brasil Otros 16 Informe de amenazas de McAfee: Tercer trimestre de 2012 . Y aunque esto es cierto. hemos visto un cambio en este trimestre. La misma tendencia también se repite en otras áreas. y uno muy aproximado. El hecho de revisar las direcciones de IP y donde están “ubicadas” es solo un atributo. Al revisar las amenazas principales. Tanto la llamada a procedimientos remotos y los ataques a los navegadores han superado la inyección de código SQL en frecuencia. Investiguemos algunas áreas recolectadas por la red de McAfee Global Threat ™ Intelligence . también es engañoso. Ataques principales de red Llamada a procedimiento remoto Navegador Inyección de código SQL Otros Scripting entre sitios Estados Unidos obtuvo los primeros lugares en los ataques por inyección de código SQL.Amenazas de redes Cuando dirigimos la mirada hacia las amenazas de redes que seguimos.

que analizamos en mayor detalle en la sección sobre ciberdelincuencia. Indonesia está empatado con los Estados Unidos en la posición principal entre las víctimas. Principales atacantes de Blackhole Estados Unidos Corea del Sur Colombia Turquía Brasil Alemania Otros Principales víctimas de Blackhole Estados Unidos Indonesia Turquía Otros Informe de amenazas de McAfee: Tercer trimestre de 2012 17 .Principales víctimas de inyección de código SQL Estados Unidos China España Reino Unido Alemania Japón Corea del Sur Francia Otros Los servidores y víctimas del kit de vulnerabilidad de seguridad Blackhole. también le valió los primeros lugares a los Estados Unidos.

Principales atacantes maliciosos de PDF Estados Unidos Taiwán Canadá Bélgica Reino Unido Holanda Alemania Otros 18 Informe de amenazas de McAfee: Tercer trimestre de 2012 . Principales servidores de control de redes de bots Estados Unidos Corea del Sur Alemania Rusia China Holanda Reino Unido Turquía Otros Principales víctimas de las red de bots Venezuela Estados Unidos Corea del Sur Reino Unido China Otros Estados Unidos también fue el líder indiscutido entre los países que alojan la mayor cantidad de vulnerabilidades de seguridad de PDF. Ningún país se le puede medir. Los Estados Unidos conservaron el primer lugar entre los servidores de comandos de las redes de bots descubiertas recientemente. según lo que detectaron nuestras tecnologías de redes.Los servidores de control de las redes de bots y las víctimas se desviaron ligeramente de la norma: Venezuela obtuvo el primer lugar como blanco y los Estados Unidos obtuvo el segundo lugar.

un grupo hacktivista que afirma estar asociado con Anonymous indicó que había obtenido más de12 millones de identificadores de dispositivo únicos de Apple. observamos pocas tendencias en las filtraciones de datos nuevas durante este trimestre. Vulnerabilidades nuevas en las principales bases de datos 35 30 Sybase 25 20 15 DB2 10 5 0 ENE 2012 FEB 2012 MAR 2012 ABR 2012 MAY 2012 JUN 2012 JUL 2012 AGO 2012 SEP 2012 Oracle SQL Server PostgreSQL MySQL Informe de amenazas de McAfee: Tercer trimestre de 2012 19 . No tenemos ninguna duda de que las tecnologías biométricas también se convertirán en un blanco deseado para los estafadores. se anunciaron dos problemas del tipo zero-day de Oracle: uno de ellos en el congreso Black Hat y el otro en el congreso de seguridad Ekoparty en septiembre. Recientemente. según la información publicada en privacyrights.Seguridad de bases de datos Además del crecimiento continuo y divulgaciones nuevas.org. estas nuevas tecnologías de defensa se convertirán en blancos más populares. Con un aumento en la autenticación biométrica y multifactorial. Filtraciones de datos que se hicieron públicas 300 250 200 150 100 50 0 2005 2006 2007 2008 2009 2010 2011 2012 En los siguientes meses esperamos cambios tanto en el volumen como en la sofisticación de los ataques. Recordemos que la Operación High Roller prácticamente depende de la autenticación multifactorial para llevar a cabo el fraude. se han divulgado o reparado en forma silenciosa por los desarrolladores cerca de 100 vulnerabilidades nuevas relacionadas con las bases de datos. el número total de filtraciones de datos desde el inicio del año 2012 ya sobrepasó la cantidad de todo el año 2011. En McAfee Labs tratamos de responder las preguntas “¿Cómo se utilizarán los datos robados en los ata ques futuros?” y “¿Cómo podemos prevenir estos tipos de ataques?” Al revisar las vulnerabilidades de las bases de datos durante este trimestre. Desde el comienzo del año. Aunque el volumen de filtraciones de datos no es excepcionalmente alto.

como también en una dirección IP única o incluso en una dirección URL puntual. En septiembre fuimos testigos de la llegada de un nuevo conjunto de dominios cuestionables (con sus URL respectivas). En nuestras bases de datos. lo que puede explicar la tendencia al alza. analizamos más de 500.000. McAfee Labs llevaba la cuenta de más de 43.500.000 dominios.000 2.500.4 millones de URL sospechosas. estas URL y los dominios se clasifican de acuerdo con la calificación de riesgo: Nivel de riesgo de las URL sospechosas Nivel de riesgo de los dominios sospechosos Alto Medio No verificado Mínimo Similar al último trimestre.Todavía no podemos señalar una tendencia de crecimiento en esta área. Al final del mes de septiembre. Amenazas Web Los sitios Web pueden ganar una reputación mala o maliciosa por diversas razones. si tomamos en cuenta el tamaño pequeño de la comunidad de seguridad de bases de datos (en comparación con los dominios de la Web y el malware). Estas URL hacen referencia a 23.000 3.000 1. La reputación se puede basar en dominios completos y en cualquier cantidad de subdominios.7 millones de nombres de dominios. Sin embargo.000. registramos un promedio de 2.000 dominios diferentes. dos vulnerabilidades del tipo zero-day importantes divulgadas en un periodo tan breve es poco común.000 0 FEB 2012 MAR 2012 ABR 2012 MAY 2012 JUN 2012 JUL 2012 AGO 2012 SEP 2012 Direcciones URL Dominios asociados 20 Informe de amenazas de McAfee: Tercer trimestre de 2012 .000. observamos combinaciones de código y funcionalidades cuestionables. un alza de 5% desde el periodo anterior. Las reputaciones maliciosas se ven influidas por el hospedaje de malware.000 en los meses anteriores. lo que representa un aumento de un 20% sobre el segundo trimestre. detrás de una dirección IP única. programas potencialmente no deseados y sitios de phishing. URL sospechosas nuevas 4. A menudo. Estos son solo algunos de los factores que contribuyen a nuestra calificación de la reputación de los sitios.000 2. Este trimestre.7 millones de direcciones URL sospechosas nuevas al mes.000 3. Lo que tenemos claro es que: las bases de datos son blancos importantes. Por ejemplo.000. comparados con 300. descubrimos 110.500.000 1.000 500.

respectivamente. Distribución de las URL sospechosas nuevas Otros URL de malware nuevas Otros URL de phishing nuevas URL de spam de correo electrónico nuevas Los dominios que se asocian con las direcciones URL sospechosas recientes están ubicadas principalmente en Norteamérica (mayormente los Estados Unidos) y en el Europa y Oriente medio (Suiza). vulnerabilidades de seguridad o código que se diseñó específicamente para poner en peligro los computadores.1%.9%) alojan malware. Esta tendencia no es nueva.Muchas de estas direcciones URL sospechosas (90. ya que históricamente Norteamérica aloja una cantidad importante de malware y contenidos sospechosos. Ubicación de los servidores que alojan contenidos sospechosos Norteamérica Europa y Oriente Medio Australia Asia-Pacífico Latinoamérica Informe de amenazas de McAfee: Tercer trimestre de 2012 21 . El phishing y el spam representan un 3.5% y 1.

Cada región tiene un jugador dominante claramente definido: Ubicación de los servidores que alojan contenidos maliciosos África Asia-Pacífico Sudáfrica Seychelles Egipto Otros China Japón Hong Kong Vietnam India Otros Australia y Pacífico Sur Europa y Oriente Medio Australia Nueva Zelanda Otros Suiza Alemania Holanda Reino Unido Francia Otros Latinoamérica Norteamérica Bahamas Brasil Islas Vírgenes Británicas Otros Estados Unidos Canadá México 22 Informe de amenazas de McAfee: Tercer trimestre de 2012 .Al investigar la ubicación de los servidores que alojan contenidos maliciosos en otros países. vemos una gran diversidad global.

Morgan Chase • Citibank • HSBC Subastas en línea • eBay Servicios • Procesamiento automático de datos • AOL Comercio • Amazon • Sears Canada Gobierno • Servicio interno de ingresos de los EE.P.000 100.000 0 FEB 2012 MAR 2012 ABR 2012 MAY 2012 JUN 2012 JUL 2012 AGO 2012 SEP 2012 Phishing Este trimestre McAfee Labs observó una cantidad importante de phishing financiero.000 Direcciones URL 80.000 40.000 20. UU.000 Dominios asociados 60.URL de phishing nuevas 120. Los blancos más populares fueron las instituciones financieras en un abanico de industrias. Aquí vemos las empresas más afectadas en cinco áreas importantes: Finanzas • Wells Fargo • Halifax-Bank of Scotland • Paypal • AMEX • Bank of America • J. Informe de amenazas de McAfee: Tercer trimestre de 2012 23 .

Estados Unidos • eBay • Datos automáticos Procesamiento • Wells Fargo • Paypal • AMEX • Bank of America • J.Blancos de phishing por industria Finanzas Subastas en línea Servicios Comercio Gobierno Otros Las empresas de los Estados Unidos son las más atacadas.P. Morgan Chase • Reino Unido • Halifax-Bank of Scotland • HSBC • Lloyds TSB • Santander Canadá • Sears Canada • Bank of Montreal • Royal Bank of Canada Sudáfrica • ABSA Australia • ANZ • St George Bank • Westpac Bank • National Australia Bank Blancos de phishing por país Estados Unidos Reino Unido Canadá Sudáfrica Australia Otros 24 Informe de amenazas de McAfee: Tercer trimestre de 2012 . Luego vienen empresas del Reino Unido y Canadá.

000 45. Los principales países que alojan estas direcciones URL son los Estados Unidos.6 1.000 Direcciones URL 40.4 1.2 0 OCT NOV DIC ENE FEB MAR ABR MAY JUN JUL AGO SEP 2011 2011 2011 2012 2012 2012 2012 2012 2012 2012 2012 2012 Spam en forma mensual Correo electrónico legítimo Informe de amenazas de McAfee: Tercer trimestre de 2012 25 . Como era de esperar. los niveles de spam están disminuyendo lentamente año tras año. China y Rusia.2 1. Volumen global de correo electrónico.4 0. en billones de mensajes 1.8 0. Direcciones URL de spam nuevas 50.000 25.Direcciones URL de spam Las direcciones URL de spam son aquellas que llegan en los correos electrónicos de spam no solicitados.0 0.000 FEB 2012 MAR 2012 ABR 2012 MAY 2012 JUN 2012 JUL 2012 AGO 2012 SEP 2012 Amenazas de mensajería A pesar de presentar un máximo pasajero en enero.6 0. En esta familia también se incluyen los sitios construidos con el único propósito de enviar spam.000 30. el pequeño aumento que comenzó durante el segundo trimestre ya terminó y la tendencia continúa a la baja. como blogs de spam o spam de comentarios.000 Dominios asociados 35.

000.000. Turquía fue el siguiente más grande.000.000. con un alza en agosto que provocó un aumento de más del 700% durante este periodo.000 10.000 4.000 12.500.000 6. Corea del Sur (64%).000 6.000.000 14.000.000.000.500.000.000. nuestras estadísticas por país muestran diferencias marcadas entre un trimestre y otro.000.000.500.000 10.000 0 OCT NOV DIC 2011 2011 2011 ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 18.000.000 20.000 4.000 16.000.000.000.000 10.000 3.000.000 1.000.000.000 2.000 3.000 5.000 500.000.000 0 OCT NOV DIC 2011 2011 2011 ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP P 2012 2012 2012 4.000 3.000 15.000 25.000.000.000.000 0 OCT NOV DIC 2011 2011 2011 Canadá ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 China 18.000 2. con un 289% de crecimiento y España lideró entre los europeos con un 83%.000.000.000 4.000 15.000 16.000.000 12.000.000.000.000 8.000.000.000 2. Arabia Saudita es el ejemplo más dramático.000 4.000.000 2.000 Colombia ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 Francia 14.000.000.000.000 10.000.000.000.000 6. Rusia (41%) y Japón (38%) celebraron disminuciones importantes.000 9.000 6.000 8.000 10.000.000 0 OCT NOV DIC 2011 2011 2011 ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 16.000 14.000 2.000 8.000.000 4. Volumen de spam Argentina 18.000.000.000 12.000 12.000 0 0 OCT NOV DIC 2011 2011 2011 ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 OCT NOV DIC 2011 2011 2011 2.000 0 OCT NOV DIC 2011 2011 2011 ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 Australia Brasil 30.000.000.000 6.Volumen de spam A pesar de que el volumen global de spam está disminuyendo.000 0 OCT NOV DIC 2011 2011 2011 Alemania ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 26 Informe de amenazas de McAfee: Tercer trimestre de 2012 .000.000 8.000 14.000 1.000.000.000.000.000 2.000.000.000 12.000.000 8.000.000.000 10.000 6.

000 30.000.000 Japón Polonia 25.000 10.000 10.000 4.000.000.000 8.000.000.000 Corea del Sur OCT NOV DIC ENE FEB MAR ABR MAY JUN JUL AGO SEP 2011 2011 2011 2012 2012 2012 2012 2012 2012 2012 2012 2012 España 18.000 0 OCT NOV DIC 2011 2011 2011 ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 OCT NOV DIC 2011 2011 2011 Rusia ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 Arabia Saudita 120.000.000 12.000 15.000 16.000.000 40.000 12.000.000.000.000.000.000.000 20.000 10.000 8.000 Turquía ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 Reino Unido 14.000.000 20.000 2.000.000.000 5.000 40.000 25.000.000.000.000.000 20.000 20.000.000 70.000.000 0 150.000 30.000 20.000.000.000.000.000 6.000 200.000 10.000 60.000 4.000.000 0 100.000.000 0 OCT NOV DIC 2011 2011 2011 ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 50.000.000.000.000 1.000.000.000 500.000.000.000 15.500.000 60.000 100.Volumen de spam India 90.000.000 5.000.000 0 OCT NOV DIC ENE FEB MAR ABR MAY JUN 2011 2011 2011 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 35.000.000.000.000 0 OCT NOV DIC 2011 2011 2011 ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 5.000.000 100.000 10.000.000 80.000 40.000.000.000 60.000.000.000.000 0 OCT NOV DIC 2011 2011 2011 ENE 2012 FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 0 OCT NOV DIC 2011 2011 2011 ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 1.000 2.000.000 15.000.000 6.000.000.000.000 80.000 2.000 25.000 0 OCT NOV DIC 2011 2011 2011 30.000.000 2.000 50.000.000 Estados Unidos OCT NOV DIC 2011 2011 2011 ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 Informe de amenazas de McAfee: Tercer trimestre de 2012 27 .000 250.000 0 10.000 14.500.000.000.000 20.000.000.000.000.000 80.000.

Infecciones globales por redes de bots de mensajería 7.000 2. Rusia y Panamá.000.000.000.000 5. el número volvió al nivel del cuarto trimestre del año 2011. sino que también bajaron bruscamente las infecciones de Cutwail.000 3. Prevalencia de las redes de bots de spam Cutwail Festi Otros Maazben Waledac Lethic Grum 28 Informe de amenazas de McAfee: Tercer trimestre de 2012 . Ucrania. Nuestro propio seguimiento global confirma esto.000 4. algunos expertos en seguridad afirmaron que todos los servidores de control conocidos de la red de bots Grum fueron apagados por las autoridades de Holanda.000.000.Desglose de las redes de bots Las infecciones de las redes de bots de mensajería presentaron una disminución global a partir de mayo.000 0 OCT NOV DIC ENE FEB MAR ABR MAY JUN JUL AGO SEP 2011 2011 2011 2012 2012 2012 2012 2012 2012 2012 2012 2012 El día 18 de julio. Entre julio y septiembre de este año no solo desapareció Grum.000.000.000 1.000 6. En septiembre. Todos los computadores controlados por Grum y que se utilizaron para enviar correos electrónicos de spam ya no reciben órdenes.

000.000 150.000 Maazben Waledac 1.500.000 Lethis Grum 500.000 30. las principales redes de bots de mensajería se redujeron enormemente.000 Cutwail Festi 1.000 40. las estadísticas de las redes de bots dirigidas a países determinados presentan variaciones grandes entre el último trimestre y este trimestre y entre diferentes países.000 200.000 50.000 30. Rusia y Corea del Sur cayeron casi en un 60%. Mientras tanto.000 Alemania ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 Informe de amenazas de McAfee: Tercer trimestre de 2012 29 .000 100.000 10.000 20.000 Australia Brasil 250.000 20.Con la desaparición de Grum y la disminución de Cutwail y Festi.000 12.000 10.000 250.500.000 0 OCT NOV DIC 2011 2011 2011 ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 OCT 2011 NOV DIC 2011 2011 140.000 40.000 200.000 0 OCT NOV DIC 2011 2011 2011 ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 OCT NOV DIC 2011 2011 2011 China 0 ENE FEB MAR ABR MAY 2012 2012 2012 2012 2012 JUN 2012 JUL AGO SEP 2012 2012 2012 Colombia 60.000 4.000 0 OCT 2011 NOV DIC 2011 2011 ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 14.000 50.000 120.000 20.000 0 OCT NOV DIC ENE FEB MAR ABR MAY JUN JUL AGO SEP 2011 2011 2011 2012 2012 2012 2012 2012 2012 2012 2012 2012 Remitentes de redes de bots nuevos Tal como el spam dirigido a países determinados.000 150. España creció en un 40% y el Reino Unido aumentó en un 27%.000 6. el número de remitentes de redes de bots se duplicó.000 50.000 2. Remitentes de redes de bots nuevos Argentina 60.000 100.000 0 OCT NOV DIC 2011 2011 2011 ENE 2012 FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 2.000 80. En Alemania.000 0 40.000. Principales infecciones globales por redes de bots 2.000 700.000 8. Japón en un 26% y la India en un 20%.000 100.000 60.000 50.000 10.

000 30.000 100.000 8.000 70.000 España ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 Turquía 100.000 150.000 80.000 200.000 60.000 10.000 0 OCT NOV DIC 2011 2011 2011 ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 4.000 0 80.000 Vietnam OCT NOV DIC 2011 2011 2011 ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 30 Informe de amenazas de McAfee: Tercer trimestre de 2012 .000 60.000 40.000 20.000 40.000 50.000 0 OCT NOV DIC 2011 2011 2011 Reino Unido ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 Estados Unidos 160.000 80.000 70.000 20.000 140.000 0 OCT NOV DIC 2011 2011 2011 ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 10.000 12.000 35.000 10.000 70.000 30.000 6.000 120.000 50.000 20.000 40.000 40.000 30.000 150.000 25.000 100.000 60.000 100.000 300.000 90.000 60.000 10.000 14.Remitentes de redes de bots nuevos India 350.000 0 OCT NOV DIC 2011 2011 2011 90.000 200.000 60.000 Japón Polonia 80.000 120.000 80.000 30.000 250.000 5.000 20.000 40.000 100.000 50.000 2.000 20.000 15.000 Rusia ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 Corea del Sur 70.000 0 OCT NOV DIC 2011 2011 2011 ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 45.000 50.000 30.000 40.000 0 OCT NOV DIC 2011 2011 2011 ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 20.000 10.000 40.000 0 OCT NOV DIC 2011 2011 2011 ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 16.000 60.000 50.000 10.000 0 OCT NOV DIC 2011 2011 2011 ENE FEB MAR ABR MAY JUN 2012 2012 2012 2012 2012 2012 JUL AGO SEP 2012 2012 2012 0 OCT NOV DIC 2011 2011 2011 50.000 20.

hacemos notar una excepción importante: en China. Cutwail y Festi son los líderes globales. Sin embargo.Prevalencia de las redes de bots de mensajería Nuestro desglose de las redes de bots muestra cómo se representan las cinco familias de redes de bots más extendidas en varios países alrededor del mundo. las “otras” redes de bots sobrepasan el 50%. Remitentes de redes de bots nuevos Australia Brasil China Redes de bots Cutwail Festi Grum Lethic Maazben Otros Waledac Colombia Alemania India Japón Rusia Corea del Sur España Reino Unido Estados Unidos Informe de amenazas de McAfee: Tercer trimestre de 2012 31 . Esto ilustra que China tiene sus atacantes propios con sus propios objetivos.

Australia. descubrimos que el spam de medicamentos fue lejos el más popular en la mayoría de las regiones y países en los que realizamos el seguimiento. notificaciones de estado de entrega hasta spam de phishing: Tipos de spam 419 Scams Trabajos de medicamentos DSN Marketing Boletines Phishing Imitaciones Australia Brasil Colombia Francia Virus Seminarios en línea Alemania India Italia Rusia España Turquía Reino Unido Estados Unidos 32 Informe de amenazas de McAfee: Tercer trimestre de 2012 . Francia y los Estados Unidos fueron excepciones con otros asuntos destacados que van desde el marketing.Spam de medicamentos. un tema popular En nuestro análisis trimestral de los asunto de spam.

redujeron el monto. el equipo pidió 20. acusa al usuario de visitar sitios Web ilegales. • El día 16 de septiembre.000 EUR para no revelar los datos que obtuvieron de los servidores comprometidos. Informe de amenazas de McAfee: Tercer trimestre de 2012 33 .Ciberdelincuencia Exigencia de rescates El ransomware. Estos son cuatro ejemplos de este trimestre: • Después de intentarlo en contra de Elantis. el equipo Rex Mundi amenazó a CreditPret. Sin embargo. en agosto. Las víctimas pueden pagar. un atacante desconocido afirmó que había penetrado en la red de Pricewaterhouse Cooper y robado los registros de las devoluciones de impuestos del candidato presidencial estadounidense Mitt Romney. Gran parte de la actividad ha sido ransomware “policial”.000 EUR. Al principio. que finge provenir de la policía. el atacante exigió 1.000.000 USD convertido en Bitcoins. los documentos se enviarían a los medios de noticias el día 28 de septiembre. de lo contrario. ha generado muchos titulares en los últimos meses. el ransomware a menudo deja otros tipos malware a bordo. los ciberdelincuentes llevan el chantaje a un nuevo nivel. Además. Afirmaron que la empresa no parecía estar dispuesta a pagar el rescate y renovaron su solicitud por 5. bloquea el 5 computador y luego pide el pago de una multa para desbloquear el dispositivo. En Pastebin. que extorsiona a las víctimas para obtener dinero. AGO Interim y AmeriCash Advance durante el trimestre pasado. una empresa financiera francesa. hasta que finalmente revelaron los datos debido a la falta de pago. El 25 de agosto. el equipo Rex Mundi reapareció y reclamó la posesión de los detalles de los clientes de Webassur y que tenía información extraída de las bases de datos de 300 sitios Web diseñados por Webassur. pero sus sistemas no siempre se restauran. • El 4 de septiembre.

7). McAfee Labs detecta una fuerte abuso de esta vulnerabilidad en todo el mundo.500 USD.0 del kit de vulnerabilidad de seguridad. Este es uno de los numerosos motivos porqué la policía advierte a las personas que no respondan a las amenazas de chantaje.000 USD. Herramientas de crimeware Este trimestre. descubrimos que las vulnerabilidades de seguridad antiguas como Flash. a pesar del pago. Una de las razones puede haber sido que las víctimas no tenían ninguna garantía de que recuperarían los datos en forma definitiva y de que el chantaje no se volvería a repetir. no se pudieron reiniciar los sistemas informáticos de la empresa. En el cuarto caso. anunció la disponibilidad de la versión 2. Sakura. Blackhole. respectivamente. Sweet Orange. Al revisar las especificaciones de Blackhole. apareció en los titulares. semana o mes está disponible por 50 USD. desarrollador de Blackhole. byte. Redkit y Neosploit se encuentran en la larga lista de kits de vulnerabilidad de seguridad que atacan esta vulnerabilidad de Java 7 (o 1. Java Atomic (CVE-2012-0507). El arriendo de un servidor por día. El día 12 de septiembre. Paunch. la nueva vulnerabilidad del tipo zero-day en Java SE 7. Echemos un vistazo a las diferentes versiones de Blackhole desde septiembre del año 2010: 34 Informe de amenazas de McAfee: Tercer trimestre de 2012 . En los primeros tres casos. sin cambios en el precio: los clientes pueden comprar una licencia anual por 1. se reportó que la empresa australiana TDC Refrigeration sucumbió a las 6 exigencias de unos hackers extranjeros y pagaron 3. 200 USD o 500 USD.• El 22 de septiembre. PDF LibTiff y MDAC (CVE-2006-0003) son las vulnerabilidades más populares del kit. HCP y PDF se eliminaron. CVE-2012-4681. se publicaron algunos datos personales en Internet porque las víctimas no cumplieron con las exigencias de los chantajistas. una licencia con duración de 6 meses por 1.000 USD o una licencia para 3 meses por 700 USD.

“moderadores regionales”. La policía calificó estas redadas. Las autoridades señalaron que los hackers tenían una jerarquía estricta y presentaban “un alto nivel de organización y coordinación”. las autoridades búlgaras anunciaron el arresto de varias personas pertenecientes al equipo Cyber Warrior Invasion. La siguiente tabla enumera algunas de las vulnerabilidades que atacan. pertenecientes a instituciones financieras. “amigos”. entre otros. En vez del dinero. En un mensaje reciente. “miembros VIP” y “miembros”. 7 El blog de Kahu Security describe la mayoría de ellos.Este trimestre aparecieron o se actualizaron varios kits de vulnerabilidad de seguridad nuevos. Informe de amenazas de McAfee: Tercer trimestre de 2012 35 .collectEmailInfo • CVE-2008-2992: Acrobat util. seguidos por los “moderadores”. “donadores y patrocinadores”. el “equipo de detección”. que tuvieron lugar en nueve ciudades.printf • CVE-2010-0188: Acrobat LibTiff • CVE-2011-2110: Flash AVM • CVE-2012-1723: Java Applet Field Neosploit (agosto) • CVE-2012-1723: Java Applet Field • CVE-2012-4681 KaiXin Exploit Pack (julio) • CVE-2011-3544: Java Rhino • CVE-2012-0507: Java Atomic • CVE-2012-0754: Flash MP4 • CVE-2012-1723: Java Applet Field • CVE-2012-1889: MS XML Core Sakura (agosto) • CVE-2006-0003: MDAC • CVE-2010-0188: PDF LibTiff • CVE-2010-0806: IEPeers • CVE-2010-0842: Java MIDI/Java OBE • CVE-2011-3544: Java Rhino • CVE-2012-0507: Java Atomic • CVE-2012-4681 RedKit (agosto) • CVE-2010-0188: PDF LibTiff • CVE-2012-0507: Java Atomic • CVE-2012-4681 La mayoría de estos kits están disponibles para la venta. Acciones en contra de los ciberdelincuentes Este trimestre observamos varios logros por parte de las fuerzas del orden mundiales: • El día 4 de julio. 8 RedKit recaudó el 5% del tráfico de los clientes para su propio beneficio. Nombre y fecha de publicación CrimeBoss (septiembre) Vulnerabilidades aprovechadas • CVE-2012-4681 • CVE-2011-3544: Java Rhino • “Social Engineering Applet” Kein Exploit Pack (agosto) • CVE-2007-5659: Acrobat Collab. empresas basadas en la Web y organizaciones gubernamentales y no gubernamentales. sin embargo. El grupo había atacado más de 500 sitios Web en todo el mundo. En el nivel más alto se encontraban los “administradores”. nos enteramos de que el desarrollador de RedKit prefiere un pago en especie. como sin precedentes. El grupo empleaba un sistema complejo de servidores “zombie” secuestrados para 9 cubrir sus rastros.

El 17 de julio publicaron en Pastebin las direcciones de correo electrónico y las correspondientes claves codificadas mediante el hash MD5 de varias compañías petroleras como Exxon Mobil. En el mes de julio se arrestaron tres personas más. Posteriormente. se reveló que el error fue causado por una serie de eventos de red internos que dañaron las tablas de datos de 18 los enrutadores. un mensaje a través de Twitter de @Anonymous Own3r se atribuyó la responsabilidad del ataque. Descubrimos un desarrollo judicial sorprendente en Rusia. Microsoft obtuvo la autorización del tribunal de distrito 12 estadounidense para el Distrito Este de Virginia para asumir el control del dominio 3322.000. A pesar del supuesto amor a la verdad de Anonymous. debemos recibir sus anuncios con una buena dosis de escepticismo.000 (877. Los sospechosos fueron acusados de filtrar información personal de cerca de 8. fundador de WikiLeaks. también conocida como Bitcomm. El tribunal de distrito de Tushinsky eliminó algunos cargos de las acusaciones contra Pavel Vrublevsky y sus presuntos cómplices. en India.000 sitios Web alojados que eran dañinos. pero interrumpió el tráfico de los 70. Mediante un software de sistema de nombre de dominio de Nominum. lo que aumenta a 27 el número total 10 de arrestos. 36 Informe de amenazas de McAfee: Tercer trimestre de 2012 . estos datos provenían de la 17 empresa de publicación de aplicaciones BlueToad. Shell. El 3 de septiembre.org. La empresa presentó una demanda civil en contra de Peng Yong. Los 11 oficiales calcularon que los sospechosos ganaron al menos 1. junto con otros tres demandados que no se identificaron. los seguidores de Anonymous anunciaron los resultados de su operación #OpSaveTheArctic: fase II.7 millones de suscriptores (casi la mitad de todos los usuarios de telefonía móvil en Corea del Sur) desde febrero a la fecha. se publicó una supuesta “base de datos filtrada” en línea.” Hacktivismo Durante este trimestre observamos los siguientes eventos interesantes de hacktivismo: • • En el mes de julio. bajo cargos federales sin abrir en el Distrito Sur de Nueva York. El 29 de julio. Los usuarios de Twitter indicaron que los datos eran falsos y que se habían obtenido de un proyecto de código 19 abierto del año 2010.org. viajara a Ecuador. En septiembre. Canadá y Colorado. ya que el estatuto de 13 limitaciones expiró.• • • En el último Informe de amenazas de McAfee analizamos los arrestos de 24 personas en un gran operativo encubierto dirigido al comercio en línea global de números de tarjetas de crédito robadas. En un comentario entregaron la siguiente explicación: “¡Esta operación la lleva a cabo Anonymous y no está 14 afiliada de ninguna forma a GreenPeace! Solo apoyamos su causa”. la policía surcoreana indicó que arrestaron a dos personas por el presunto ataque informático a KT. entre otras. la corte suspendió el caso criminal en contra de los acusados bajo el artículo del Código Criminal que estipula castigo por la creación de programas dañinos.000. Al principio. se llevaron a cabo más ataques en contra de varios sitios Web del gobierno y de medios de comunicación en 16 Suecia. Operación b70: El día 10 de septiembre. GoDaddy no pudo atender a millones de sitios Web alojados en sus servidores. La policía sospecha que los atacantes usaron los datos posteriormente con fines de marketing ilegales. El 10 de septiembre.000 USD). Además. Lanzaron varios 15 ataques DDoS en contra algunos sitios Web del gobierno británico. Todos ellos estuvieron involucrados supuestamente en el ataque de denegación de servicio (DDoS) distribuido del año 2010 contra el sitio Web de Aeroflot. En agosto. Este proceso se conoce como “sinkholing”. después de instar al gobierno del Reino Unido que permitiera que Julian Assange. el propietario del dominio y su empresa Changzhou Bei Te Kang Mu Software Technology. AntiSec afirmó que en marzo había robado 12 millones de identificadores de dispositivo de Apple desde el computador de un agente del FBI. la segunda compañía de telefonía más importante en el país. En realidad. Este trimestre el movimiento Anonymous también probó suerte con la desinformación. Un abogado declaró que “Bajo la apelación de la defensa. Gazprom y Rosneft. Microsoft permitió el tráfico legítimo de los subdominios de 3322. BP. Anonymous tomó cartas en el asunto.

Un grupo que se autodenomina al Rashedon desfiguró el sitio Web de Al Jazeera mediante la publicación de una bandera siria y una declaración que denuncia el apoyo de la red a la oposición siria. por lo que este tipo de análisis resulta imprescindible para combatir los futuros ataques a diferentes blancos y en variadas situaciones. el ataque cibernético a los sitios Web ingleses y arábigos de la red de noticias Al Jazeera vía satélite de Catar resulta indudablemente 23 insignificante. A pesar de los avisos. el ataque cibernético de ofensa pública más famoso a la fecha es probablemente el malware Stuxnet. Durante este trimestre. También observamos notificaciones de ataques en contra de Bank of America. numerosos “guerreros cibernéticos” intentaron crear bullicio a nivel mundial. Según lo que explicó Jeremy Kirk de IDG News Service. que provocó la ira de algunas comunidades musulmanas alrededor del mundo. En comparación con Stuxnet. al uso de la palabra. 24 resulta difícil determinar en forma concluyente si los ataques realmente tuvieron éxito. al apoyar movimientos nacionalistas o extremistas. Estos “patriotas” afirman pertenecer a grupos que ellos mismos llaman ejércitos cibernéticos. Cambridge University Press publicó un manual en borrador que perfila cómo se podrían aplicar las leyes internacionales existentes a los conflictos en el ciberespacio. En estos casos. vinculados con las Brigadas Izz ad-Din al-Qassam. Los investigadores de seguridad además sospechan que otro malware relacionado con Stuxnet también fue desarrollado por naciones con fines ofensivos. Resulta muy difícil definir un incidente de ciberguerra o incluso llegar a un acuerdo sobre una definición de los términos y los críticos se han opuesto. justificadamente. Chase Bank y la Bolsa de Valores de New York como represalia por la película amateur conocida como “Inocencia de los musulmanes”. Echemos una mirada a una lista de algunos de los más activos durante el trimestre pasado: • • • • • • • • • • • • • • • Ejército cibernético argelino Ejército electrónico árabe Ejército cibernético armenio Ejército cibernético bangladesí Ejército cibernético 3xp1r3 (Bangladesh) Ejército cibernético bosnio Ejército cibernético brasileño Ejército cibernético checheno Ejército cibernético circasiano Ejército cibernético egipcio Ejército cibernético indio Ejército cibernético Gujarat (India) Ejército cibernético Naija (Nigeria) Ejército cibernético pakistaní Ejército cibernético filipino Informe de amenazas de McAfee: Tercer trimestre de 2012 37 . así como también 20 las leyes que determinan la conducta de un conflicto armado. En junio. el Manual Tallinn sobre la ley internacional aplicable a la guerra cibernética . Preparado por un grupo de expertos internacionales invitados por el Centro de Excelencia para la Cooperación en Ciberdefensa de la OTAN. el ala militar de Hamas. que dañó las instalaciones de 21 refinamiento de uranio de Irán. las amenazas se originaron en guerreros cibernéticos autoproclamados. examina la legislación internacional actual que permite que los países usen la fuerza legalmente en contra de otras naciones. el 4 de septiembre. Las reglas de la guerra convencional son más difíciles de aplicar en Internet. Algunos dicen actuar en nombre de sus gobiernos. El New York Times informó que los Estados Unidos 22 e Israel desarrollaron Stuxnet para interrumpir el programa nuclear del país.Un toque de ciberguerra Este trimestre. la investigación de 215 páginas.

a la caricatura que apareció en la revista francesa Charlie Hebdo. Los gobiernos. en ciertos casos. de revolución. el hacktivismo y la guerra cibernética se encuentran en un estado constante de evolución y. empresas y consumidores enfrentan una amplia gama de amenazas digitales provenientes de estas fuerzas. 38 Informe de amenazas de McAfee: Tercer trimestre de 2012 . Las áreas de la ciberdelincuencia. a través de la proclamación de su buena fe islámica. han realizado varios ataques en respuesta a “La inocencia de los musulmanes”.No resulta muy difícil encontrar información sobre las actividades de estos grupos (y de muchos otros) con las herramientas de búsqueda en Internet. Muchos de estos grupos. así como también.

Toralv Dirro. El equipo de McAfee Labs de 500 investigadores multidisciplinarios en 30 países hace un seguimiento del espectro completo de amenazas en tiempo real. Vadim Pogulievsky. subsidiaria en propiedad absoluta de Intel Corporation (NASDAQ:INTC).Acerca de los autores Este informe fue preparado y escrito por Sun Bing. Peter Szor y Adam Wosotowsky de McAfee Labs. analizar y correlacionar los riesgos y habilitar correcciones instantáneas para proteger a la empresa y al público. redes y vulnerabilidades). David Marcus. McAfee crea productos innovadores que brindan a los usuarios domésticos. evitar interrupciones.com/labs Acerca de McAfee McAfee. Dan Sommer. François Paget. al identificar las vulnerabilidades de las aplicaciones. proteger sus datos. Respaldado por su incomparable solución Global Threat Intelligence. Web. es la empresa dedicada a la tecnología de seguridad más grande del mundo. www. Jimmy Shah. Paula Greve. Acerca de McAfee Labs McAfee Labs es el equipo de investigación global de McAfee. Con la única organización de investigación dedicada a todos los vectores de amenazas (malware. el sector público y los prestadores de servicios la capacidad de cumplir las regulaciones. identificar vulnerabilidades y supervisar y mejorar continuamente la seguridad. correo electrónico. McAfee proporciona soluciones y servicios comprobados y proactivos que ayudan a proteger sistemas. las empresas. Yichong Lin. McAfee se concentra sin descanso en encontrar nuevas formas de mantener seguros a sus clientes.mcafee. lo que permite que los usuarios se conecten a Internet. naveguen y compren en la Web con mayor seguridad.com Informe de amenazas de McAfee: Tercer trimestre de 2012 39 .mcafee. McAfee Labs reúne información de inteligencia a partir de sus millones ™ de sensores y de su servicio basado en la nube McAfee Global Threat Intelligence . redes y dispositivos móviles en todo el mundo. Ryan Sherstobitoff. Craig Schmugar. www.

aspx?news_item_id=410 19 http://www.mcafee.com/ 8 http://malware.html 23 http://operationleakspin.com/mcafee-labs/police-ransomware-preys-on-guilty-consciences https://www. Los planes.1 http://www.chain.europa.HTML 12 http://blogs.org/249.fbi.uk/news/go-daddy-outage-not-a-hacker-attack-92361 20 http://www.dontneedcoffee.mcafee.net.kahusecurity.abc.eu/content/news/%EF%BB%BF-europol-hosts-expert-meeting-combat-spread-police-ransomware-1583 4 http://www.com/mcafee-labs/police-ransomware-preys-on-guilty-consciences 6 http://www.htm 7 http://www.shtml 16 http://anonsweden.au/local/audio/2012/09/21/3595434.php/en/ccwatch/cc-watch-briefs/1583-bulgaria-most-powerful-hacker-group-busted 10 http://www. el logo McAfee y McAfee Global Threat Intelligence son marcas comerciales registradas o marcas comerciales de McAfee o de sus subsidiarias en los Estados Unidos y otros países.com/newscenter/release-view. se ofrecen sin garantía de ningún tipo.kr/national/2012/07/29/42/0302000000AEN20120729003401315F.nytimes.yonhapnews. 15 http://news.-attorney-and-fbi-assistant-director-in-charge-announce-additional-arrests-aspart-of. Además.gov/newyork/press-releases/2012/manhattan-u.godaddy.mcafee.html 14 El 16 de julio.pcworld.se/wikileaks-supporters-take-down-swedish-government-sites-with-ddos-attacks/ 17 http://redtape.html 122 http://www.html 21 http://www.net/occrp/index.com/us/resources/reports/rp-operation-high-roller.fbi.s. Otras marcas pueden ser reclamadas como propiedad de otros.com/article/261850/manual_examines_how_international_law_applies_to_cyberwarfare.com/2012/09/04/le-site-web-daljazeera-pirate-par-des-hackers-pro-assad/ 24 http://www.com/industries/2012/09/24/lieberman-blame-iran-for-cyber-attacks-on-bank-america-chase/ 2 3 2821 Mission College Boulevard Santa Clara.co. CA 95054 888 847 8766 www.com/b/microsoft_blog/archive/2012/09/13/microsoft-disrupts-the-emerging-nitol-botnet-being-spread-through-an-unsecuresupply.pdf http://blogs. las especificaciones y las descripciones de productos en este documento se proporcionan solo con fines informativos y están sujetos a cambios sin previo aviso. Copyright © 2012 McAfee 55200rpt_quarterly-threat-q3_1112_fnl_ETMG .com/judicial_news/20120914/264674269.html 9 https://reportingproject.technet.softpedia.wordpress.aspx 13 http://rapsinews.com McAfee.com/_news/2012/09/10/13781440-exclusive-the-real-source-of-apple-device-ids-leaked-by-anonymous-last-week 18 http://www.com/news/Anonymous-Attacks-UK-Home-Office-DWP-Ministry-of-Justice-in-OpFreeAssange-287189.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran. los activistas de Greenpeace ocuparon más de 70 estaciones de servicio de Shell en el Reino Unido en protesta por los planes de Shell de perforar pozos en el Ártico.co.europol.nbcnews. sea expresa o implícita.com/2012/09/redkitnomoremoney.ccdcoe.foxbusiness.mcafee.international-cyber-crime-takedown 11 http://english.techweekeurope.gov/news/stories/2012/august/new-internet-scam/new-internet-scam?utm_campaign=emailImmediate&utm_medium=email&utm_source=fbi-top-stories&utm_content=129647 5 http://blogs.

Sign up to vote on this title
UsefulNot useful