III Jornada de Ciberseguridad en Andalucía: Ciberamenazas 2015/Tendencias 2016. Resumen ejecutivo
Resumen Q1 CiberAmenazas 2016
74
CyberThreats_ Telefónica Financial cyber threats Q1 2016 09/05/2016
-
Upload
elevenpaths -
Category
Internet
-
view
180 -
download
0
Transcript of Resumen Q1 CiberAmenazas 2016
CyberThreats_ Telefónica
Financial cyber threats Q1 2016
09/05/2016
2 de 74
09/05/2016
www.elevenpaths.com
Sobre los editores
TDS Telefónica
El Servicio de Ciberamenazas de Telefónica tiene como objetivo principal la generación
de inteligencia, adaptada a las necesidades de nuestros clientes con el fin de
contrarrestar esas amenazas asociadas al entorno digital. Por lo tanto, lo que diferencia
a Telefónica de otros servicios de seguridad tradicionales es nuestra capacidad para
integrar, evaluar y transformar la información y los datos brutos en conclusiones y
escenarios futuros. Este servicio se basa en 3 pilares:
Detección
Análisis e interpretación
Prospectiva y anticipación
Kaspersky Security Network
Este informe utiliza los datos de KSN (Kaspersky Security Network). KSN es una red
distribuida diseñada para el procesamiento en tiempo real de amenazas contra los
usuarios de Kaspersky. El objetivo de KSN es asegurar que todos los usuarios dispongan
de información sobre amenazas de forma rápida. Nuevas amenazas se suman a la base
de datos minutos después de su detección, aun siendo desconocidas previamente. KSN
recupera también información estadística no personal sobre cualquier código malicioso
instalado en los dispositivos de nuestros clientes. Los clientes de Kaspersky Lab, si lo
desean, pueden unirse a KSN.
3 de 74
09/05/2016
www.elevenpaths.com
Principales conclusiones
Este informe analiza las tendencias actuales relacionadas con ciberataques financieros,
phishing y malware bancario, incluyendo ataques a dispositivos móviles, sistemas POS
(puntos de venta) y cajeros automáticos (ATM). Principalmente, se basa en las
estadísticas y los datos de KSN (Kaspersky Security Network), aunque también puede
hacerse referencia a otras fuentes con información fiable. Los datos para este análisis
han sido obtenidos en el periodo de tiempo comprendido entre el 1 de enero de 2016
al 1 de abril de 2016. Las principales conclusiones son:
Phishing
Los países con mayor porcentaje de víctimas atacadas mediante phishing son Brasil y
China. Seguidos de Reino Unido, Japón, India, Australia, Bangladesh, Canadá, Ecuador
y España. México, que fue el país más atacado en el último periodo analizado, no
aparece en esta ocasión en los primeros puestos de países atacados.
Los mensajes de phishing dirigidos al sector financiero (bancos, sistemas de pago y
tiendas online) representaron el 44,16% de todos los ataques de phishing detectados en
las diversas entidades analizadas durante este período, lo que revela un ligero
incremento (+0,78%) en comparación con los datos analizados en el 4T de 2015.
Una de las tendencias más importantes observadas en el área de phishing durante el 1T
de 2016 es la estafa mediante email denominada «Fraude CEO». El aviso publicado en
la web del FBI1 indica que las actuaciones policiales en todo el mundo han recibido
denuncias de víctimas en todos los estados de Estados Unidos, así como en al menos
otros 79 países.
Malware bancario
Uno de los puntos más destacables del 1T de 2016 es la reducción significativa del
porcentaje de usuarios que han sufrido intentos de infección con el troyano Dyre, del
0,422% al 0,159%, entre todos los usuarios de KSN. Las actividades de Dyre se han
reducido significativamente desde finales de noviembre gracias a una exitosa operación
policial en Rusia contra un grupo de delincuentes informáticos2. Contrariamente a la
1 https://www.fbi.gov/phoenix/press-releases/2016/fbi-warns-of-dramatic-increase-in-business-e-mail-scams?utm_source=hs_email&utm_medium=email&utm_content=28140297&_hsenc=p2ANqtz--f0buz9nDeHu9YAI5KYbMmCHIthkKaP7LIvZg0vaXQ0uUOCJWXPSxi1TSlz5gdZ_ZF9OVTPnVsL2mGryCnumjJvUj_GQ&_hsmi=28140297 2 http://www.reuters.com/article/us-cybercrime-russia-dyre-exclusive-idUSKCN0VE2QS
4 de 74
09/05/2016
www.elevenpaths.com
tendencia observada en el porcentaje de intentos de infección con el troyano Zeus en
los últimos tres trimestres y sus variantes, estos decrecieron del 0,071% al 0,108%,
entre todos los usuarios de KSN.
ATM y POS
Nuestras actividades de investigación de incidentes mostraron un gran número de
cajeros automáticos infectados con Backdoor.Win32.Skimer, el cual fue pensado para
dejar de tener actividad. Esta familia afecta a los modelos de Diebold.
El malware POS aún está activo en todo el mundo, mostrando un pico de actividad a
finales de enero.
Malware en el móvil
Como en trimestres anteriores, Android sigue siendo la plataforma móvil más atacada.
El 99,83% de los ataques detectados tenían como destino este SO. La mayor tasa de
usuarios atacados se observan en países como Australia, República de Corea y Rusia.
Las familias de malware bancario móvil más activas en el 1T de 2016 son AndroidOS
Agent (12,37% de todos los usuarios infectados por malware bancario) y Asacub (5,27%).
5 de 74
09/05/2016
www.elevenpaths.com
Tabla de contenidos
SOBRE LOS EDITORES 2
PRINCIPALES CONCLUSIONES 3
TABLA DE CONTENIDOS 5
INTRODUCCIÓN 6
PHISHING 9
MALWARE 18
ACTIVIDAD DE LA DELINCUENCIA INFORMÁTICA 64
RESUMEN DE LAS ÚLTIMAS CAMPAÑAS DE APT 69
CONCLUSIÓN 74
6 de 74
09/05/2016
www.elevenpaths.com
Introducción
Durante el primer trimestre de 2016, el panorama del malware financiero ha ido a
menos con respecto a períodos anteriores en cuanto en términos de nuevas operaciones
y desarrollo de malware.
En este período hemos visto algunos casos concretos que se han hecho públicos actores
APT3 en la implementación de ransomware. Aunque el tema de este informe no es un
delito informático relacionado específicamente con la extorsión, vemos en él un
peligroso patrón a destacar: la proliferación de actores APT que aplican su TTP con
fines económicos.
Generalmente, la intención de estos grupos es obtener información de posibles
objetivos y tener acceso mientras eluden la detección. En estos nuevos casos recientes,
los atacantes desplegaron manualmente ransomware cifrado a través de redes objetivo
además de las herramientas APT típicas.
El ransomware siempre se ha visto más relacionado con grupos delictivos que con los
servicios de inteligencia. Una de las teorías de estos recientes ataques se basa en el
resultado de la brecha a OPM4. El gobierno chino ha dejado de prestar atención
oficialmente a sus operaciones contra Estados Unidos. Una consecuencia directa de
este cambio de política es que los contratistas civiles que trabajan en esta área podrían
perder su puesto de trabajo. Sin embargo, todavía tienen acceso a sus recursos y
probablemente hayan comenzado a emplear ransomware para reponer los ingresos
públicos perdidos. Cuando hablamos de adversarios de APT debemos tener en cuenta
otras hipótesis, como el uso de ransomware para crear una interrupción o abarcar
rastros. En este punto, es pronto para saber cómo evolucionará la situación, pero
debemos estar preparados para adaptarnos a la posible irrupción de operadores APT en
el tradicional campo de la ciberdelincuencia.
En el escenario del malware móvil, ya hemos relatado nuestros temores acerca de los
troyanos para móvil para la obtención de privilegios de superusuario no autorizados
mediante la instalación de aplicaciones maliciosas. En el año 2015, detectamos una red
«botnet de anuncios» específica empleada para la propagación de malware. Así es cómo
se ha expandido uno de los troyanos de móvil más sofisticados jamás analizados,
Backdoor.AndroidOS.Triada (ver detalles en sección Amenazas destacables).
3 http://carnal0wnage.attackresearch.com/2016/03/apt-ransomware.html 4 https://threatpost.com/5-6-million-fingerprints-stolen-in-opm-hack/114784/
7 de 74
09/05/2016
www.elevenpaths.com
Generalmente, concluimos esta sección con un resumen de las operaciones de las LEA
más relevantes de lucha contra la ciberdelincuencia. En este informe, queremos
destacar una iniciativa realizada en febrero de 2016 en la que cuerpos de policía y
órganos judiciales de Bélgica, Dinamarca, Grecia, Holanda, Reino Unido, Rumanía,
España y Portugal, con el con apoyo de otros países, se han unido en la primera acción
europea coordinada contra el 'money mulling' o transporte de dinero5.
Las mulas o transportadores de dinero son personas contratadas por organizaciones
criminales para recibir y transferir dinero obtenido de forma ilegal entre cuentas
bancarias y países. Estos procesos de selección se anuncian a menudo a través de
anuncios online y redes sociales que ofrecen ofertas de trabajo aparentemente legales.
Estas personas reclutadas pueden participar del propio negocio, sin embargo algunos
no son conscientes de que sus acciones pueden estar relacionadas con actividades
delictivas.
Este enfoque multisectorial contra el money mulling marca el punto de partida de una
campaña de prevención en todos los países participantes con el fin concienciar a la
sociedad sobre este fenómeno criminal y sus consecuencias.
Finalmente, en enero pasado Europol informó de una operación internacional para
desmantelar un grupo dedicado al malware en cajeros. Los criminales utilizan el
malware Tyupkin en cajeros6 lo que permite a los atacantes manipular y vaciar
ilegalmente casetes de efectivo de cajeros automáticos de toda Europa.
Esta operación, una de las primeras en Europa contra este tipo de amenazas, condujo
a numerosos registros de viviendas en Rumanía y Moldavia y a la detención de ocho
personas7.
Metodología
Este informe se centra en el período comprendido entre el 1 de enero de 2016 y el 1
de abril de 2016, aunque se incluyen varias referencias a análisis anteriores. Se recogen
datos sobre ataques de phishing, malware financiero y amenazas de móvil, incluyendo
su propagación geográfica y el número de ataques.
Para generar estadísticas sobre malware bancario se han seleccionado una serie de
familias catalogadas tradicionalmente como fraude online, incluyendo algunos
5 https://www.europol.europa.eu/content/europe-wide-action-targets-money-mule-schemes 6 https://securelist.com/blog/research/66988/tyupkin-manipulating-atm-machines-with-malware/ 7 https://www.europol.europa.eu/content/international-criminal-group-behind-atm-malware-attacks-dismantled
8 de 74
09/05/2016
www.elevenpaths.com
veredictos empleados para el robo de credenciales. En el caso del malware dirigido a
los dispositivos en puntos de venta, además de identificar las principales familias,
hemos incluido algunos ejemplos concretos que no encajan en ninguna clasificación de
malware conocido para puntos de venta (POS).
Cabe señalar que nuestras estadísticas se basan en veredictos, las cuales a veces
pueden depender del software antivirus que primero detecta el malware particular.
Por ejemplo, si un motor de análisis heurístico detecta una pieza de código malicioso
con el veredicto "Genérico", los detalles de la familia a la que pertenece pueden no
verse reflejados en las estadísticas.
9 de 74
09/05/2016
www.elevenpaths.com
Phishing
Resumen de los ataques de phishing
Una de las tendencias recientes más interesantes observadas en el área de phishing
durante el 1T de 2016 es la estafa mediante email denominada «Fraude CEO». Un
atacante falsifica el correo electrónico de la empresa o utiliza ingeniería social para
acceder a la identidad del CEO, del abogado de empresa o del vendedor de confianza.
El atacante busca empleados que manejen efectivo utilizando un lenguaje específico
con la empresa objetivo. Entonces, solicita una transferencia fraudulenta por un
importe que no levante sospechas y dé apariencia de normalidad a la operación. En un
aviso publicado en su web, el FBI anuncia desde enero de 2015 que la Agencia ha
detectado un aumento del 270% de víctimas identificadas y expuestas a pérdidas por
estafas de CEO. La alerta informaba de que las actuaciones policiales en todo el mundo
han recibido denuncias de víctimas en todos los estados de Estados Unidos, así como
en al menos otros 79 países8,9.
Imagen 1. Ejemplo de correo electrónico de phishing con solicitud de transferencia
8 https://www.fbi.gov/phoenix/press-releases/2016/fbi-warns-of-dramatic-increase-in-business-e-mail-scams?utm_source=hs_email&utm_medium=email&utm_content=28140297&_hsenc=p2ANqtz--f0buz9nDeHu9YAI5KYbMmCHIthkKaP7LIvZg0vaXQ0uUOCJWXPSxi1TSlz5gdZ_ZF9OVTPnVsL2mGryCnumjJvUj_GQ&_hsmi=28140297 9 http://krebsonsecurity.com/2016/04/fbi-2-3-billion-lost-to-ceo-email-scams/
10 de 74
09/05/2016
www.elevenpaths.com
Concretamente, en la actualidad los ciudadanos y residentes en EE. UU. deben rellenar
el formulario W-2 para informar de los salarios pagados y los impuestos retenidos a los
empleados. En vista de esto, los estafadores envían correos de phishing en nombre del
CEO de una empresa objetivo solicitando a los departamentos de recursos humanos y
contabilidad datos personales de empleados como, por ejemplo, la información
contenida en el formulario W-2. Los defraudadores que se dedican al fraude tributario
aprecian mucho la información del W-2 porque contiene prácticamente todos los datos
necesarios para acceder de forma fraudulenta a los impuestos que uno paga y poder
solicitar así un reembolso importante en su nombre10. A principios de marzo, los
estafadores mediante correo electrónico engañaron a un empleado del gigante de
almacenamiento de datos Seagate Technology haciendo que entregase documentos con
información fiscal del formulario W-2 de todos los empleados actuales y pasados de la
empresa11.
Imagen 2. Ejemplo de correo electrónico de phishing con solicitud de datos
personales
El siguiente gráfico muestra el número de usuarios únicos por día en todo el mundo que
reciben ataques de phishing detectados durante el 1T de 2016, según registros de
Kaspersky Lab mediante el monitoreo de recursos. Como en trimestres anteriores, el
gráfico de distribución de phishing sigue mostrando fluctuaciones entre las campañas.
Cabe señalar, que a mediados de febrero se detectó una alta actividad de phishing.
10 http://krebsonsecurity.com/2016/02/phishers-spoof-ceo-request-w2-forms/ 11 http://krebsonsecurity.com/2016/03/seagate-phish-exposes-all-employee-w-2s/
11 de 74
09/05/2016
www.elevenpaths.com
Puede explicarse por el día de San Valentín, momento en el cual los usuarios son
especialmente vulnerables a los ataques de phishing debido a los regalos de ese día.
Los delincuentes suelen enviar cartas con enlaces maliciosos simulando falsas
declaraciones de amor o malware adjunto enmascarado como tarjetas de felicitación
por San Valentín.
Imagen 3. Evolución del Phishing – 1T 2016
El siguiente mapa muestra los países con el mayor porcentaje de víctimas atacadas por
campañas de phishing (tasa de usuarios atacados con respecto al total de usuarios KSN
en el país con componentes anti-phishing habilitados).
12 de 74
09/05/2016
www.elevenpaths.com
Imagen 4. Propagación geográfica del phishing – 1T 2016
Los países con mayor porcentaje de víctimas atacadas mediante el método conocido
como «phishing» son Brasil (21,5%) y China (16,7%). Seguidos del Reino Unido (14,6%),
Japón (13,7%), India (13,1%), Australia (12,9%), Bangladesh (12,4%), Canadá (12,4%),
Ecuador (12,2%) e Irlanda (11,9%). México, que fue el país más atacado en el último
periodo analizado, no aparece en esta ocasión en los primeros puestos de países
atacados. El siguiente gráfico muestra el porcentaje de víctimas en los países más
atacados.
Imagen 5. Países con mayor porcentaje de víctimas atacadas mediante «phishing» -
1T 2016.
13 de 74
09/05/2016
www.elevenpaths.com
Ataques contra el sector financiero
Estadísticas de ataques contra el sector financiero
Sigue creciendo el porcentaje de mensajes de phishing dirigidos al sector financiero
(bancos, tiendas online y sistemas de pago). En el período analizado suponía el 44,16%
de todos los ataques de phishing detectados en diversas organizaciones, lo que
representa un incremento del 0,78% en comparación con los datos analizados en 4T de
2015.
Imagen 6. Propagación los objetivos de Phishing – 1T 2016
Dentro del área financiera, el número de ataques al sector bancario también sigue
creciendo, y actualmente más de la mitad de los ataques de phishing contra el sector
financiero están dirigidos a los bancos (54,17%). Este porcentaje se ve aumentado en
un 10,6% en comparación con el trimestre anterior.
14 de 74
09/05/2016
www.elevenpaths.com
Imagen 7. Propagación de objetivos de Phishing en el sector financiero - 1T 2016
Ataques contra el sector financiero
La tendencia en el alto porcentaje de ataques de phishing dirigidos a grupos
relativamente pequeños de bancos, mencionado en informes anteriores, sigue estando
vigente. El 62,56% de los ataques de phishing se reparten entre 18 bancos y se sitúa en
el 37,44% de todos los ataques contabilizados de entre todos los bancos monitoreados
en todo el mundo.
El gráfico siguiente muestra la distribución de objetivos entre las principales entidades
atacadas.
15 de 74
09/05/2016
www.elevenpaths.com
Imagen 8. Propagación de objetivos de Phishing –entidades bancarias afectadas–
(último año)
La siguiente tabla muestra los países de origen de los bancos atacados con mayor
frecuencia (no se incluye el resto de bancos atacados). Como en períodos anteriores,
los bancos brasileños son atacados por hackers con mayor frecuencia que otros. Sin
embargo, sigue disminuyendo el porcentaje de ataques y ahora el porcentaje se sitúa
en el 32% en lugar del 36% del 4T 2015. Al mismo tiempo, el porcentaje de ataques
contra bancos en la India creció del 15% al 20% de todos los ataques realizados entre
las entidades bancarias más afectadas, ocupando ahora este país la segunda posición.
El porcentaje de ataques a bancos de Estados Unidos disminuyó del 17% al 14% de todos
los ataques, aunque el número de ataques contra un banco específico de Estados Unidos
(indicado como U.S. bank4) aumentó un 4,47%.
16 de 74
09/05/2016
www.elevenpaths.com
Imagen 9. Propagación de bancos objetivos de phishing por país de origen – 1T 2016
Ataques contra sistemas de pago
En el sector de pago online, las empresas Visa, PayPal, American Express y MasterCard
continúan siendo las más afectadas, al igual que en los años 2014 y 2015. El porcentaje
de ataques a los usuarios de Visa disminuyó pero, al mismo tiempo, aumentó un 4,21%
el porcentaje de ataques a usuarios de American Express, así que ahora se sitúa como
tercer sistema de pago más afectado, relegando a MasterCard a la cuarta posición. A
pesar de ello, los ataques contra sus usuarios aumentaron también (del 10,47% el 4T
2015 al 13,02% en el período actual). Por otra parte, el sistema ruso de pago Qiwi se
ha unido a la lista de principales objetivos de phishing.
Imagen 10. Propagación de objetivos de phishing en el sector de pagos online – 1T
2016
17 de 74
09/05/2016
www.elevenpaths.com
Ataques contra el sector del E-commerce
En el 1T 2016, Apple Store se convirtió en el sistema de E-Commerce más atacado
mediante el sistema de phishing. El porcentaje de ataques de estos servicios aumentó
del 15,76% al 27,82%. Este aumento puede estar relacionado con el hecho de que en el
período actual, Apple lanzó una serie de nuevos productos, como el iPad Pro, el Apple
Watch y el IPhone SE. Por otra parte, Apple anunció cifras récord en sus ingresos
trimestrales y en el beneficio neto trimestral. Steam (distribuidor de juegos online y
plataforma de red social desarrollada por Valve Corporation), concluyó la temporada
de Navidad y ventas de invierno, experimentando un descenso del porcentaje de
ataques de phishing del 41,79% al porcentaje esperado para esta plataforma del 13,23%.
El siguiente cuadro muestra una perspectiva general sobre los ataques de phishing
contra sitios de comercio electrónico (E-Commerce).
Imagen 11. Propagación de objetivos de phishing en el sector de e-commerce – 1T
2016
18 de 74
09/05/2016
www.elevenpaths.com
Malware
Estadísticas globales
Análisis de malware financiero
Esta sección analiza el impacto del malware financiero desde una perspectiva global.
La siguiente tabla muestra la propagación de malware bancario entre los usuarios
globales de KSN durante el 1T de 2016 (las estadísticas incluyen malware para los
puntos de venta descritos en el apartado 0, y no incluye el malware para plataformas
para móvil descrito en el apartado0). Las estadísticas incluyen cualquier malware
financiero, incluyendo algunas familias no dirigidas a bancos, como la minería de
bitcoins. En adelante, se utiliza la terminología siguiente:
«Otro» se refiere a todo el malware relacionado con la propagación de malware
bancario, conocido como descargadores generalmente ligados a las familias de
malware bancario. Sin embargo, no son troyanos bancarios en sí.
«Otros bancos» incluye diferentes troyanos bancarios que no pertenecen a
ninguna familia bancaria determinada. Esta categoría también puede incluir
malware detectado por nuestro motor heurístico y análisis basados en otros
patrones (hashes, comportamiento, técnicas aplicadas, etc.).
«Pequeños banqueros» son familias bancarias reconocidas, pero sin niveles de
propagación elevados en comparación con el malware más popular actualmente.
Uno de los puntos más destacables del 1T de 2016 es la reducción significativa del
porcentaje de usuarios que han sufrido intentos de infección con el troyano Dyre, del
0,422% al 0,159%, entre todos los usuarios de KSN.
19 de 74
09/05/2016
www.elevenpaths.com
Imagen 12. Propagación de malware bancario por familias a nivel mundial – 1T 2016
(% de usuarios KSN)
Imagen 13. Propagación de malware bancario por familias a nivel mundial – 1T 2016
(% de usuarios KSN)
En particular, dio como resultado una redistribución de las posiciones relativas de los
banqueros en general. El porcentaje de malware Dyre entre las familias de malware
financiero ha cambiado del 19% al 8%12. Las actividades de Dyre se han reducido
12 Los porcentajes de familias de malware proporcionados son para el número de usuarios de KSN atacados de cada familia, sin tener en cuenta el solapamiento de usuarios. Es decir, un usuario atacado
20 de 74
09/05/2016
www.elevenpaths.com
significativamente desde finales de noviembre gracias a una exitosa operación policial
en Rusia contra un grupo de delincuentes informáticos13.
Contrariamente a la tendencia observada en el porcentaje de intentos de infección con
el troyano Zeus en los últimos tres trimestres y sus variantes, estos decrecieron del
0,071% al 0,108%, entre todos los usuarios de KSN (más información en el apartado 0).
Gozi es un nuevo troyano bancario descrito más en detalle a continuación (véase
apartado 0). Las estadísticas resultantes se muestran en la siguiente tabla.
Mesa I. Propagación mundial de malware financiero – 1T 2016
Familia % de usuarios KSN |
1T 2016
Diferencia en comparación con 4T
2015 Diferencia en %
Otros banqueros 1,151 +0,273 +31,1% Qhost 0,181 +0,003 +1,7% Dyre 0,159 -0,263 -62,3% Gozi 0,133 0,133 nuevo Minería Bitcoin 0,129 +0.033 +34,4% Familia Zeus 0,108 +0.037 +52,1% Otro 0,028 -0,051 -64,6% Pequeños banqueros 0.106 -0.154 -59,2%
En el subconjunto de familias de la banca pequeña, Tinba todavía muestra la mayor
actividad, sin embargo, sigue disminuyendo el porcentaje de sus ataques y actualmente
el 0,043% de los usuarios de KSN fueron atacados por este malware (en el 4T 2015 era
del 0,210%).
por varios tipos de malware en el 1T 2016 se contabiliza varias veces, una por cada familia de malware que ataca a este usuario. 13 http://www.reuters.com/article/us-cybercrime-russia-dyre-exclusive-idUSKCN0VE2QS
21 de 74
09/05/2016
www.elevenpaths.com
Imagen 14. Propagación de malware financiero - Pequeñas familias bancarias a nivel
mundial – 1T 2016 (% de usuarios KSN)
La red botnet Hlux, que fue desactivada por Kaspersky Lab hace unos años, también
está activo de nuevo y su porcentaje de ataques es del 0,011% entre los usuarios de
KSN (el 4T 2015 era del 0,008%). Las familias de pequeños bancos se distribuyen dentro
del grupo de la siguiente manera.
22 de 74
09/05/2016
www.elevenpaths.com
Imagen 15. Propagación de malware financiero - Pequeñas familias bancarias – 1T
2016
En la siguiente tabla hay más información disponible sobre la propagación de malware
bancario en todo el mundo durante el período analizado.
Mesa II. Propagación global de familias de banca pequeña - 1T 2016
Familia % de usuarios KSN |
1T 2016
Diferencia en comparación con 4T
2015 Diferencia en %
Tinba 0.043 -0,167 -79,5% Hlux 0.011 +0,003 +37,5% Neverquest 0.008 +0.007 +700% Emotet 0.008 +0,005 +166,7% Neurevt 0.007 -0,002 -22% Shiz 0,007 +0,004 +133,3% Carberp 0,006 -0.003 -33,3% Marcher 0,006 0 0
Sinowall 0,004 -0,001 -20%
Metel 0,003 0 0
Tepfer 0,002 -0,179 -98,9%
Svpeng 0,002 0 0
23 de 74
09/05/2016
www.elevenpaths.com
Análisis de troyanos bancarios
El siguiente mapa muestra el porcentaje de usuarios dentro de un país atacado por
troyanos bancarios. Este software malicioso lleva a cabo ataques directos a los usuarios,
incluyendo el robo de dinero o datos de pago.
Imagen 16. Porcentaje de usuarios atacados dentro del país (troyanos bancarios) – 1T
2016
La siguiente tabla muestra el porcentaje de usuarios únicos atacado dentro de los países
con más de 10.000 usuarios de KSN. En España, el 0,84% de los usuarios fueron
atacados por troyanos bancarios, ocupando el puesto 36 en la clasificación mundial.
El Reino Unido ocupa la posición 82, con un 0,48% de usuarios atacados dentro del
país.
Tabla III. Países atacados por troyanos bancarios – 1T 2016
Posición País Porcentaje de usuarios
atacados
1 Brasil
3,86%
24 de 74
09/05/2016
www.elevenpaths.com
Posición País Porcentaje de usuarios
atacados
2 Austria
2,09%
3 Túnez
1,86%
4 Singapur
1,83%
5 Rusia
1,58%
6 Venezuela
1,58%
7 Marruecos
1,43%
8 Bulgaria
1,39%
9 Hong Kong
1,37%
10 Emiratos Árabes
1,30%
… … … …
36 España
0,84%
… … … …
82 Reino Unido
0,48%
El país que encabeza la lista en el 1T de 2016 es Brasil. Uno de los motivos observados
de los ataques activos en el sector de la banca es aparentemente la aparición de
troyanos en varias plataformas bancarias14.
Las familias de troyanos bancarios más extendidas y los números correspondientes de
los usuarios atacados en todo el mundo se muestran en la siguiente tabla.
Tabla IV. Familias de troyanos bancarios más extendidas – 1T 2016
Posición Veredicto Número de usuarios
atacados 1 Trojan-Spy.Win32.Zbot (Zeus) 419.940
2 Trojan-Downloader.Win32.Upatre (Dyre downloader) 177.665
3 Trojan-Banker.Java.Agent (incluyendo Adwind) 68.467
4 Trojan-Banker.Win32.Gozi 53.978
14 https://securelist.com/blog/research/74051/first-step-in-cross-platform-trojan-bankers-from-brazil-done/
25 de 74
09/05/2016
www.elevenpaths.com
Posición Veredicto Número de usuarios
atacados 5 Trojan-Banker.Win32.BestaFera 25.923
6 Trojan.Win32.Tinba 24.964
7 Trojan-Banker.Win32.Banbra 22.942
8 Trojan-Banker.AndroidOS.Agent 19.782
9 Trojan-Banker.AndroidOS.Abacus 13.446
10 Trojan-Banker.Win32.ChePro 9.209
Uno de las amenazas más notables del Top 3 anterior es el malware bancario de la
multiplataforma Java. Por ejemplo, los troyanos de Java son hoy en día ampliamente
utilizados por los delincuentes informáticos brasileños. Además, los expertos de
Kaspersky Lab, revelaron un nuevo malware de Java, que es utilizado con varios fines,
como el robo de información confidencial o Adwind RAT (véase apartado 0 para más
información).
Estadísticas para España y Reino Unido
En total, el 2,32% de todos los usuarios de KSN fueron atacados por malware financiero,
mediante troyanos bancarios, minería de bitcoin, keyloggers y otros malwares, en
relación con amenazas a instituciones financieras. Como en períodos anteriores, la
mayor parte de ellos se encuentran en Rusia (el 19% de los usuarios atacados). Los
usuarios alemanes, indios y brasileños también son atacados con frecuencia (11%, 8% y
7% del total de ataques a usuarios, respectivamente).
Sin embargo, el mayor porcentaje de usuarios atacados dentro del país correspondió a
Tayikistán (13,53%), Uzbekistán (13,43%) y Afganistán (9,79%). Entre los países con
menos de 10.000 usuarios en la plataforma KSN, España ocupó el puesto 107 en esta
clasificación, con el 0,02% de los usuarios atacados. El Reino Unido ocupa la posición
139, con un 0,01% de sus usuarios atacados.
26 de 74
09/05/2016
www.elevenpaths.com
Imagen 17. Porcentaje de usuarios atacados por malware financiero dentro del país –
1T 2016
En la siguiente tabla se muestran los países más atacados por malware financiero con
menos de 10.000 usuarios en plataforma KSN.
Tabla V. Países atacados por malware bancario – 1T 2016
Posición País Porcentaje de
usuarios atacados
1 Tayikistán
13,53%
2 Uzbekistán
13,43%
3 Afganistán
9,79%
4 Turkmenistán
7,87%
5 Yibuti
7,42%
6 Etiopía
6,98%
7 Yemen
6,85%
8 Pakistán
6,63%
9 Somalia
6,39%
27 de 74
09/05/2016
www.elevenpaths.com
Posición País Porcentaje de
usuarios atacados
10 Mongolia
6,01%
… … …
107 España
0,02%
… … …
139 Reino Unido
0,01%
El siguiente gráfico muestra las estadísticas sobre la propagación del malware bancario
en España y Reino Unido (porcentaje de usuarios de KSN atacados).
28 de 74
09/05/2016
www.elevenpaths.com
Imagen 18. Propagación de malware financiero en España – 1T 2016 (% de usuarios de
KSN)
El troyano Tepfer atacó una a una cantidad importante de usuarios de España y Reino
Unido, sin embargo en las estadísticas de distribución global, su porcentaje es muy
pequeño.
29 de 74
09/05/2016
www.elevenpaths.com
Imagen 19. Propagación de malware financiero en España – 1T 2016
Imagen 20. Propagación de malware financiero en RU – 1T 2016
30 de 74
09/05/2016
www.elevenpaths.com
Amenazas destacables
Este apartado analiza algunas de las familias bancarias con un impacto o que han
evolucionado significativamente durante este trimestre.
Zeus
Detectado por primera vez en 2007, el virus troyano Zeus, a menudo denominado Zbot,
se ha convertido en uno de los elementos de software de más éxito de la red botnet en
todo el mundo, afectando a millones de máquinas y generando una gran cantidad de
elementos de malware similares, construidos a partir de su código. Mientras disminuye
la amenaza planteada por Zeus al retirarlo supuestamente su creador en 2010, han
aparecido en escena una serie de variantes al hacerse público su código fuente,
haciendo que este malware en concreto sea especialmente relevante y peligroso una
vez más.
En el 1T de 2016, el troyano Zeus fue la familia de malware más propagada entre los
troyanos bancarios en número de usuarios a nivel mundial (para el veredicto Trojan-
Spy.Win32.Zbot, véase apartado Análisis de troyanos bancarios). El porcentaje de
usuarios de KSN atacado por todos los malware de la familia Zeus conocidos aumentó
un 52.1% en comparación con el porcentaje del 4T 2015.
La eliminación del troyano Zbot familia fue uno de los primeros malwares, el cual
funciona inyectando en la web códigos que comprometen los datos de pago de los
usuarios de la banca online y modifican el contenido de las páginas web de los bancos.
Utilizan varios niveles de cifrado para sus archivos de configuración y, al mismo tiempo,
el archivo de configuración descifrado se almacena en la memoria completamente,
cargándose por partes.
El siguiente gráfico muestra el número de infecciones por Trojan-Spy.Win32.Zbot.
31 de 74
09/05/2016
www.elevenpaths.com
Imagen 21. Número de usuarios atacados (Trojan-Spy.Win32.Zbot) – 1T 2016
La mayoría de los ataques de Zbot se registraron en Rusia, India y Alemania. El siguiente
mapa muestra el porcentaje de usuarios atacados dentro de los países.
Imagen 22. Porcentaje de usuarios atacados (Trojan-Spy.Win32.Zbot) – 1T 2016
32 de 74
09/05/2016
www.elevenpaths.com
Los principales países más atacados por Zbot, con al menos 10.000 usuarios en la
plataforma KSN, se muestran en la siguiente tabla. Entre estos países, España ocupa la
posición 116, mientras que el Reino Unido lo encontramos en el puesto 121.
Tabla VI. Países atacados por Trojan-Spy.Win32.Zbot – 1T 2016
Posición País Porcentaje de
usuarios atacados
1 Túnez 1,115%
2 Venezuela 0,932%
3 Hong Kong 0,914%
4 Camboya 0,827%
5 Singapur 0,825%
6 Libia 0,811%
7 Taiwán 0,674%
8 Pakistán 0,658%
9 Emiratos Árabes 0,652%
10 Indonesia 0,628%
… … …
116 España
0,135%
… … …
121 Reino Unido
0,123%
Gozi
En el 1T de 2016, detectamos una alta actividad de una modificación del troyano Gozi,
la muestra más activa en tres meses. Un troyano Gozi modular, denominado Papras,
está activo desde 2006. El desarrollador de este malware se detuvo en 201515; sin
embargo, como se puede observar en las tablas más abajo, las modificaciones de esta
familia de malware siguen infectando a los usuarios.
15 https://threatpost.com/alleged-gozi-co-author-pleads-guilty-as-alleged-citadel-dridex-attacers-arrested/114566/
33 de 74
09/05/2016
www.elevenpaths.com
El siguiente gráfico muestra el número de infecciones a cargo de Trojan-
Banker.Win32.Gozi.
Imagen 23. Número de usuarios atacados (Trojan-Banker.Win32.Gozi) – 1T 2016
La mayoría de los usuarios afectados por ataques de Gozi corresponden a Brasil. El
porcentaje de usuarios correspondientes a este país (14,12%) es casi dos veces mayor
que el porcentaje de México (8,24%), que le hace ocupar la segunda posición en la
clasificación. España se encuentra en la 4.ª posición, con un 6,63% de usuarios atacados
dentro del país.
El siguiente mapa muestra el porcentaje de usuarios atacados dentro del país. Los
países con mayor porcentaje de usuarios atacados son Guatemala (0,726%), Nicaragua
(0,678%) y Honduras (0,669%). El 0,404% de usuarios españoles fueron ataques de Gozi.
34 de 74
09/05/2016
www.elevenpaths.com
Imagen 24. Porcentaje de usuarios atacados dentro del país (Trojan-
Banker.Win32.Gozi) – 1T 2016
Los principales países más atacados por el malware Gozi, con al menos 10.000 usuarios
en la plataforma KSN, se muestran en la siguiente tabla. Entre estos países, España
ocupa la posición 17, mientras que el Reino Unido se va al 104.º lugar.
Tabla VII. Países atacados por Trojan-Banker.Win32.Gozi – 1T 2016
Posición País Porcentaje de
usuarios atacados
1 Guatemala
0,726%
2 Nicaragua
0,678%
3 Honduras
0,669%
4 Argentina
0,666%
5 Portugal
0,653%
6 Turquía
0,650%
7 Brasil
0,553%
35 de 74
09/05/2016
www.elevenpaths.com
Posición País Porcentaje de
usuarios atacados
8 El Salvador
0,542%
9 México
0,530%
10 Panamá
0,522%
… … …
17 España
0,404%
… … …
104 Reino Unido
0,052%
Pequeño banquero (Tinba) Tinba sigue siendo la familia de malware más activa entre el grupo de «familias de la
pequeña banca»; sin embargo, como se mencionaba anteriormente, su actividad es
significativamente menor en comparación con el 4T de 2015. El pico de intentos de
infección de Tinba fue detectado a comienzos de enero y, posteriormente, no se ha
detectado ninguna actividad importante. El siguiente gráfico muestra la distribución
de infecciones el 1T de 2016.
Imagen 25. Número de usuarios atacados (Trojan-Banker.Win32.Gozi) – 1T 2016
Los ataques de Tinba se registraron sobre todo en Alemania. Este país continúa
liderando el porcentaje de ataques, seguido a mucha distancia por Italia y España
(6,31% de los usuarios atacados por Tinba).
36 de 74
09/05/2016
www.elevenpaths.com
En cuanto a porcentaje de usuarios atacados dentro del país, Emiratos Árabes, Namibia
y Qatar presentan los porcentajes de usuarios atacados más altos (0,186, 0,171% y
0,165%, respectivamente). También hemos registrado intentos de infección en un
0,074% de los usuarios españoles.
Imagen 26. Porcentaje de usuarios atacados dentro del país (Trojan.Win32.Tinba) – 1T
2016
Entre los países con menos de 10.000 usuarios en la plataforma KSN, España ocupa la
posición 22 por el índice de ataques de Tinba, mientras que el Reino Unido se sitúa en
el puesto 97.
Tabla VIII. Países atacados por Trojan.Win32.Tinba – 1T 2016
Posición País Porcentaje de
usuarios atacados
1 Emiratos Árabes
0,186%
2 Namibia
0,171%
3 Qatar
0,165%
4 Serbia
0,155%
37 de 74
09/05/2016
www.elevenpaths.com
Posición País Porcentaje de
usuarios atacados
5 Rumanía
0,136%
6 Croacia
0,130%
7 Sudáfrica
0,124%
8 Macedonia
0,109%
9 Líbano
0,106%
10 Austria
0,101%
… … …
22 España
0,074%
… … …
97 Reino Unido
0,009%
Archivos de configuración del troyano bancario
Este apartado analiza los archivos de configuración utilizados por troyanos bancarios.
Estos archivos de configuración contienen una lista de objetivos y detalles sobre cómo
debe interactuar el malware con ellos. Generalmente, estos virus redireccionan a sus
víctimas a otras webs de phishing o maliciosas examinando uno de los objetivos de la
lista, o inyectan un código en el navegador para solicitar datos adicionales. Las
inyecciones de códigos más avanzadas buscan realizar operaciones maliciosas de forma
automática (AMTs) sin el conocimiento de la víctima.
Los datos analizados incluyen configuraciones de las principales familias de troyanos,
en el período comprendido entre el 1 de enero de 2016 y el 1 de abril de 2016. Hay
algunos puntos acerca del análisis de la configuración del troyano que cabe señalar:
Un único archivo de configuración puede ser reutilizado varias veces.
Cada archivo de configuración incluye datos de docenas de objetivos así como
información sobre el comportamiento de cada uno de ellos.
Estos archivos de configuración pueden cambiar dependiendo de la ubicación de
la víctima.
38 de 74
09/05/2016
www.elevenpaths.com
En primer lugar, podemos ver los países donde tienen sus bases las entidades atacadas.
Imagen 27. Número de entidades en los archivos de configuración por país de origen –
1T 2016
Debemos tener en cuenta que la misma referencia puede aparecer varias veces.
El siguiente gráfico muestra la distribución de objetivos por entidades. Obviamente,
las grandes entidades que ofrecen un mayor servicio tendrán una mayor presencia en
los archivos de configuración. En este gráfico, hay diversas entradas idénticas en los
archivos de configuración que se contabilizan una única vez. Se ha obviado el nombre
de las entidades, haciéndose referencia únicamente a sus países de origen:
39 de 74
09/05/2016
www.elevenpaths.com
Imagen 28. Principales entidades atacadas por país de origen – 1T 2016
En este caso podemos observar un fuerte aumento en el interés de los atacantes por
los bancos de EE. UU. y Reino Unido, incluso más de lo habitual.
Las principales características de estos archivos de configuración son:
Grupo de entidades atacadas: Es frecuente que muchas de las entidades
atacadas aparezcan juntas en los archivos de configuración.
Reutilización: Relacionado con la característica de agrupación descrita
anteriormente, los delincuentes informáticos tienden a mantener sus objetivos
en los mismos archivos de configuración para volver a usarlos repetidamente.
Coherencia del objetivo: Se producen muy pocos cambios entre las entidades
atacadas en estos archivos de configuración. Aun cuando los objetivos dejan de
ser operativos, no se produce ningún beneficio real eliminando tales objetivos,
más allá de reducir el tamaño del archivo de configuración. Esto puede sugerir
que muchos de los grupos que hay detrás de estos troyanos funcionan de forma
automática y prestan poca atención a maximizar el rendimiento de sus redes
botnet. Aunque hemos visto una bajada constante del número de enlaces rotos
durante 2015, todavía existe un gran número de ellos.
40 de 74
09/05/2016
www.elevenpaths.com
Los gráficos siguientes muestran el número total de entradas por país de origen de la
entidad afectada en los archivos de configuración. Tenga en cuenta que una entidad
podría ser referenciada varias veces dependiendo de lo popular que sea entre los
archivos de configuración del troyano bancario.
Imagen 29. Número de entradas en los archivos de configuración por país de la
entidad atacada – 1T 2016
Malware en cajeros automáticos
Existen nueve familias de malware en la recolección de malware de Kaspersky Lab
diseñadas específicamente para atacar cajeros automáticos (ATM). Este tipo de
malware es capaz de dispensar dinero y recopilar datos acerca de las tarjetas utilizadas
en los cajeros automáticos. La familia más popular y generalizada sigue siendo
Backdoor.Win32.Tyupkin16, descubierta en marzo de 2014.
Sin embargo, el primero fue Backdoor.Win32.Skimer, descubierto en marzo de 2009.
Skimer cuenta con funciones para la recopilación de información de las tarjetas,
además de dispensar dinero y soportar los principales fabricantes de ATM. Kaspersky
Lab ha encontrado 26 modificaciones de este malware, cuya última versión fue
descubierta en noviembre de 2015. Este malware se propagó masivamente entre 2010
y 2013. Posteriormente, Tyupkin se convirtió en el principal software malicioso para
16 https://securelist.com/blog/research/66988/tyupkin-manipulating-atm-machines-with-malware/
41 de 74
09/05/2016
www.elevenpaths.com
cajeros automáticos, mientras pudimos observar una caída en la actividad de Skimer
en las respuestas a las incidencias de los bancos. Nuestra teoría hasta la fecha fue que,
al parecer, los delincuentes de Internet sustituyeron Skimmer por Tyupkin ya que era
mucho más fácil de usar y puede emplearse en un mayor número de cajeros
automáticos. Utilizaba XFS para manipular directamente el cajero automático. Esta
familia afecta a los modelos de Diebold. Por desgracia, parece que perdimos un gran
número de cajeros automáticos infectados con Skimer. No sólo eso, sino que en sus
últimas variantes Skimer cuenta con capacidad para inyectar virus siendo capaz de
parchear el archivo ejecutable responsable del servicio XFS de los cajeros automáticos.
En base a los datos de KSN, apenas conocemos casos aislados de infecciones en tres
países: China, Francia y Rusia. Sin embargo, nuestras investigaciones sobre incidentes
demuestran que el número real de cajeros automáticos infectados (que no podrían usar
la protección de punto final de Kaspersky o que no podrían conectarse a KSN) es mucho
mayor. Además, la detección de este malware puede resultar extremadamente
complicada, ya que podría trabajar en cajeros automáticos durante años sin mostrar
signos de su actividad (cuando se utiliza para el robo de datos de tarjetas o skimming
y no para dispensar dinero). Recomendamos el uso de los productos de Kaspersky Lab
para la detección y tratamiento de cajeros automáticos (ATM) infectados.
Malware de punto de venta
Estadísticas generales
La siguiente imagen muestra las detecciones para un veredicto genérico Trojan-
Spy.Win32.POS que contiene algunas de las familias de malware de puntos de venta
(POS) conocidas17.
17 El eje «Usuarios» de la gráfica corresponde a la cantidad de dispositivos atacados.
42 de 74
09/05/2016
www.elevenpaths.com
Imagen 30. Número de dispositivos atacados (Trojan-Spy.Win32.POS) – 1T 2016
Se detectó actividad de malware entre el 18 y el 20 de enero. La mayor parte de las
víctimas pertenecen a Rusia y Ucrania. Por otra parte, en estos países los hosts atacados
se reparten de manera casi uniforme entre todas las regiones. La mayoría de intentos
de infección fueron detectados por módulos de Scanner On-Access y bajo demanda. El
malware se propaga a través de webs de phishing, que redirigen a los usuarios al recurso
malicioso kdjalsdkjapi[punto]ru. Los usuarios descargaron programas maliciosos
disfrazados de juegos (game-trainer.exe), actualizaciones (svchost.exe, update.exe),
software de cliente, etc. Rusia, Ucrania y Brasil ocupan las 3 primeras plazas en el
ranking mundial de dispositivos atacados. Cabe señalar que no todas estos intentos de
infección afectan realmente a dispositivos de POS.
Los porcentajes más altos de usuarios atacados dentro del país se encuentran en
Macedonia (0,0068%), Ucrania (0,006%) y Kirguizistán (0,0041%). El 0,0002% de usuarios
españoles fueron atacados por el malware POS (posición 48 en la clasificación de países
con más de 10.000 usuarios de KSN). El Reino Unido ocupa la posición 42 de la
clasificación (el 0,0003% de sus usuarios fueron atacados).
43 de 74
09/05/2016
www.elevenpaths.com
Imagen 31. Porcentaje de usuarios atacados dentro del país (Trojan-Spy.Win32.POS) –
1T 2016
Tabla IX. Países atacados por Trojan-Spy.Win32.POS – 1T 2016
Posición País Porcentaje de
usuarios atacados
1 Macedonia
0,0068%
2 Ucrania
0,0060%
3 Kirguizistán
0,0041%
4 Irak
0,0036%
5 Armenia
0,0034%
6 República Dominicana
0,0032%
7 Rumanía
0,0031%
8 Israel
0,0028%
44 de 74
09/05/2016
www.elevenpaths.com
Posición País Porcentaje de
usuarios atacados
9 Perú
0,0027%
10 Nueva Zelanda
0,0026%
… … …
42 Reino Unido
0,0003%
… … …
48 España
0,0002%
A continuación se describe una de las familias de malware de puntos de venta más
destacables en este trimestre (Backoff).
Backoff
Backoff es todavía la familia de malware más activa en los puntos de venta. En el 4T
de 2015, hubo dos picos en las estadísticas y en el 1T se observan cuatro picos. Por otra
parte, el número de intentos de infección en los picos de enero y marzo es casi igual al
pico de diciembre, mientras que la cantidad de intentos de infección de febrero es
aproximadamente dos veces mayor que el valor de diciembre.
Imagen 32. Número de dispositivos atacados (Backdoor.Win32.Backoff) – 1T 2016
Turquía, país donde la mayoría de los ataques fueron detectados en el período anterior,
ahora ocupa la cuarta posición, en una clasificación liderada por Italia con el 14,29%
de todos los intentos de infección con Backoff. Seguido de Alemania y Emiratos Árabes,
con el 11,29% y el 9,82%, respectivamente. España ocupa el puesto 8 en la calificación
45 de 74
09/05/2016
www.elevenpaths.com
mundial de los ataques de Backoff, con el 2,39% de los usuarios atacados durante el 1T
de 2016.
El mayor porcentaje de usuarios atacados dentro del país correspondió a Estonia, con
el 0,135% de los usuarios atacados. Seguido a una distancia importante por Armenia
(0,075%) y Emiratos Árabes (0,07%). También hemos detectado ataques en el 0,0054%
de usuarios españoles (puesto 51 en la clasificación de países con más de 10.000
usuarios de KSN). Además, el 0,0019% de usuarios del Reino Unido fueron atacados por
el malware Backoff (93.ª posición).
Imagen 33. Porcentaje de usuarios atacados dentro del país (Backdoor.Win32.Backoff)
– 1T 2016
Tabla X. Países atacados por Backdoor.Win32.Backoff – 1T 2016
Posición País Porcentaje de
usuarios atacados
1 Estonia
0,135%
2 Armenia
0,075%
46 de 74
09/05/2016
www.elevenpaths.com
Posición País Porcentaje de
usuarios atacados
3 Emiratos Árabes
0,070%
4 Albania
0,063%
5 Bahrein
0,046%
6 Líbano
0,046%
7 Maldivas
0,042%
8 Namibia
0,040%
9 Qatar
0,039%
10 Letonia
0,028%
… … …
51 España
0,0054%
… … …
93 Reino Unido
0,0019%
Amenazas de banca móvil
Estadísticas generales
Como en trimestres anteriores, Android sigue siendo la plataforma móvil más atacada.
El 99,83% de los ataques detectados tenían como destinatario este sistema operativo.
Este valor sigue creciendo y, en particular, en el 4T de 2015 el porcentaje fue del
99,78% mientras que en el 3T de 2015 fue del 99,41%.
En el 1T de 2016, los expertos de Kaspersky Lab descubrieron lo siguiente:
Se detectaron 2.045.323 paquetes de instalación maliciosos.
Se encontraron 357.197 nuevas aplicaciones maliciosas para dispositivos móviles.
Se descubrieron 4.146 nuevos troyanos bancarios para móvil.
El número de códigos maliciosos de banca móvil en nuestra base de datos alcanza
las 29.412 muestras.
El número de nuevos códigos maliciosos únicos para dispositivos móviles continúa
creciendo. El 31 de diciembre de 2015, el número de códigos maliciosos conocido fue
de 25.266, mientras que el valor actual es de 29.412 (un incremento del 16,4%).
47 de 74
09/05/2016
www.elevenpaths.com
Imagen 34. Estadísticas sobre el número de códigos maliciosos conocido
El siguiente mapa muestra el porcentaje de usuarios dentro de los distintos países
infectados por troyanos de banca móvil y veredictos relacionados.
Imagen 35. Distribución geográfica de usuarios atacados dentro del país – 1T 2016
Australia cuenta con el mayor porcentaje de usuarios atacados por malware de banca
online (13,4%) entre todos los usuarios de móvil. Es seguido a gran distancia por Corea
48 de 74
09/05/2016
www.elevenpaths.com
del Sur (6,3%) y Rusia (5,1%). El Reino Unido ocupa la 4 plaza, con un 1,6% de usuarios
de móvil atacados. En España, el 0,83% de los usuarios de móvil de banca móvil fue
atacado por malware, situando al país en el puesto 18 de la clasificación. Los 10
primeros de dicha calificación global se muestran en la tabla siguiente.
Tabla XI. Usuarios de dispositivos móviles atacados por malware móvil – 1T 2016
Posición País Usuarios de soluciones
KL para dispositivos móviles atacados
1 Australia
13,4%
2 República de Corea
6,3%
3 Rusia
5,1%
4 Reino Unido
1,6%
5 Burkina Faso
1,5%
6 Turquía
1,4%
7 Singapur
1,3%
8 Tayikistán
1,3%
9 Austria
1,3%
10 Francia
1,3%
… … …
18 España
0,83%
Las familias de malware bancario móvil más activas el 1T de 2016 son Trojan-
Banker.AndroidOS.Agent (12,37% de todos los intentos de infección por malware
bancario) y Trojan-Banker.AndroidOS.Asacub (5,27%). Rusia también ocupa el primer
lugar en porcentaje de usuarios atacados por Agente (2,38%) y Asacub (0,0112%) dentro
del país.
49 de 74
09/05/2016
www.elevenpaths.com
Imagen 36. Distribución geográfica de usuarios atacados (Trojan-
Banker.AndroidOS.Agent) – 1T 2016
En España, el 0,037% de los usuarios de móvil fueron atacados con el malware Agent.
Se sitúa en el puesto 40 del ranking mundial. El RU se sitúa en la clasificación con un
0,057% de usuarios de móvil atacados.
Tabla XII. Países atacados por Trojan-Banker.AndroidOS.Agent – 1T 2016
Posición País Porcentaje de
usuarios atacados
1 Rusia
2,38%
2 Turquía
0,99%
3 República de Corea
0,86%
4 Australia
0,77%
5 Kirguizistán
0,27%
6 Austria
0,27%
7 Uzbekistán
0,24%
50 de 74
09/05/2016
www.elevenpaths.com
Posición País Porcentaje de
usuarios atacados
8 Tayikistán
0,24%
9 Ucrania
0,23%
10 Japón
0,23%
… … …
34 Reino Unido
0,057%
… … …
40 España
0,037%
A continuación, se muestran las estadísticas del malware Asacub. Este malware destaca
por el hecho de combatir los mecanismos de seguridad estándar del sistema operativo.
Una de modificaciones de Asacub superpone la ventana estándar del sistema que
contiene la solicitud de derechos administrativos con otra ventana falsa que contiene
botones del troyano. De esta manera, el malware oculta la obtención de otros derechos
del usuario, obligándole a confirmar tales derechos18.
18https://securelist.com/blog/research/73211/the-asacub-trojan-from-spyware-to-banking-malware/
51 de 74
09/05/2016
www.elevenpaths.com
Imagen 37. Distribución geográfica de usuarios atacados (Trojan-
Banker.AndroidOS.Asacub) – 1T 2016
Tabla XIII. Países atacados por Trojan-Banker.AndroidOS.Asacub – 1T 2016
Posición País Porcentaje de
usuarios atacados
1 Rusia
0,0112%
2 Israel
0,0012%
3 España
0,0010%
4 República de Corea
0,0010%
5 Qatar
0,0008%
6 Italia
0,0008%
7 Ucrania
0,0007%
8 Bielorrusia
0,0005%
52 de 74
09/05/2016
www.elevenpaths.com
Posición País Porcentaje de
usuarios atacados
9 República Checa
0,0004%
10 Portugal
0,0004%
… … …
23 Reino Unido
0,0001%
Amenazas destacables
Las tendencias en el área de malware móvil, identificadas por los expertos de Kaspersky
Lab en el año 201519, siguen siendo válidas. Cabe señalar las siguientes conclusiones
principales:
Aumento del número de elementos maliciosos que el usuario es incapaz de
eliminar;
Los delincuentes informáticos utilizan activamente ventanas de phishing para
ocultar aplicaciones legítimas;
Aumento del volumen de ransomware;
Programas con derechos de superusuario para mostrar publicidad agresiva;
Aumento de la cantidad de malware para iOS.
Al mismo tiempo, los expertos continúan detectando nuevos códigos maliciosos
avanzados para dispositivos móviles. Según se menciona en informes anteriores, en
2015 se observó un aumento de la cantidad de troyanos capaces de obtener privilegios
de superusuario en la instalación de aplicaciones legítimas y mostrar publicidad. En su
momento indicamos que estos troyanos podrían comenzar a propagar malware más
sofisticado a través de dispositivos móviles y ahora nuestras advertencias se han hecho
realidad.
Hemos descubierto que los desarrolladores de estos troyanos como Leech, Ztorg o
Gorpo (así como la nueva familia de malware Trojan.AndroidOS.Iop) están trabajando
juntos. Los dispositivos infectados por estos programas maliciosos forman una especie
de «red botnet de publicidad». En el año 2015, esta botnet fue utilizada para distribuir
malware representando una amenaza directa para el usuario. Lo detectamos en el
troyano Triada.
Una característica que distingue a la aplicación maliciosa es el uso del proceso Zygote
que ejecuta su código en el contexto de todas las aplicaciones del dispositivo. El
19 https://securelist.com/analysis/kaspersky-security-bulletin/73839/mobile-malware-evolution-2015/
53 de 74
09/05/2016
www.elevenpaths.com
proceso Zygote es el proceso principal en todas las aplicaciones de Android. Contiene
bibliotecas y marcos del sistema utilizados por casi todas las aplicaciones. Este proceso
cuenta con una plantilla por cada nueva aplicación, lo que significa que una vez que el
troyano entra en el proceso, este se convierte en parte de la plantilla terminando en
cada aplicación ejecutada en el dispositivo. Es la primera vez que nos encontramos con
esta técnica salvaje; Zygote apenas se había utilizado previamente en pruebas de
concepto. Como resultado, una vez Triada ha infectado el dispositivo, penetra en casi
todos los procesos en ejecución permaneciendo solamente en la memoria. Además,
todos los procesos de troyanos que se ejecutan por separado se ocultan ante el usuario
y otras aplicaciones. En consecuencia, es extremadamente difícil tanto para el usuario
como para las soluciones antivirus detectar y eliminar el troyano.
La función principal del troyano es redirigir las transacciones financieras a través de
SMS cuando el usuario realiza pagos online para comprar contenido adicional en
aplicaciones legítimas. El dinero es redirigido a los atacantes en lugar del desarrollador
de software. Dependiendo si el usuario recibe o no el contenido que ha comprado, el
troyano puede robar el dinero del usuario (si el usuario no recibe el contenido) o de los
desarrolladores de software legítimos (si el usuario recibe el contenido). La información
ampliada sobre este malware está disponible en el portal securelist.com20.
El siguiente gráfico muestra el número de infecciones durante el 1T de 2016 con
programas de descarga (detectado por nuestro equipo como
Backdoor.AndroidOS.Triada), el cual es utilizado para descargar y activar módulos
adicionales (Trojan-Downloader.AndroidOS.Triada, Trojan-SMS.AndroidOS.Triada,
Trojan-Banker.AndroidOS.Triada).
20 https://securelist.com/analysis/publications/74032/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/
54 de 74
09/05/2016
www.elevenpaths.com
Imagen 38. Infecciones de Triada - 1T 2016
La mayoría de intentos de infección están relacionados con usuarios de Rusia, India,
Argelia y Ucrania. Sin embargo, los países con mayor porcentaje de usuarios atacados
son Colombia (0,070% de todos los usuarios de móvil en este país), Argelia (0,063%) y
Bulgaria (0,056%). El siguiente mapa muestra la propagación geográfica de Triada.
Imagen 39. Propagación de Triada - 1T 2016
55 de 74
09/05/2016
www.elevenpaths.com
Tabla XIV. Países atacados por Triada – 1T 2016
Posición País Porcentaje de
usuarios atacados
1 Colombia
0,070%
2 Argelia
0,063%
3 Bulgaria
0,056%
4 Argentina
0,056%
5 Indonesia
0,051%
6 Guatemala
0,051%
7 Chile
0,050%
8 Irak
0,048%
9 Hungría
0,047%
10 Ecuador
0,045%
… … …
77 España
0,031%
… … …
105 Reino Unido
0,0001%
Otra de las tendencias en malware móvil es la interceptación de conversaciones entre
usuarios de aplicaciones de mensajería móvil segura. Hay algunos implantes
desarrollados por Hacking Team para infectar dispositivos móviles con sistema
operativo iOS (Apple), Android, Blackberry y Windows Mobile. Hacking Team no es el
único grupo que desarrolla implantes para móvil. Hay varias campañas con diferentes
raíces, que han estado invirtiendo en el desarrollo de malware para móvil, que lo han
utilizado en ataques dirigidos a nivel regional e internacional.
Trojan-Spy.AndroidOS.Mekir es un troyano para móvil que aprovecha las debilidades
del algoritmo de cifrado utilizado en mensajes de texto. En realidad, no importa qué
aplicación está utilizando la víctima. Una vez que el punto final móvil es infectado, los
responsables de la amenaza son capaces de leer todos los mensajes enviados y recibidos
por la víctima. Aun en el caso de que la aplicación de mensajería utilizada por la víctima
56 de 74
09/05/2016
www.elevenpaths.com
sea realmente segura y se haya aplicado una sólida codificación end-to-end, pero todos
los mensajes enviados y recibidos son almacenados localmente, los responsables de la
amenaza todavía tendrían la capacidad de decodificar dichos mensajes. Los atacantes
pueden robar una base de datos junto con la clave de cifrado que se almacena en el
dispositivo de la víctima y descifrar todo el contenido. Esto incluye todos los elementos
de la base de datos, no solo la información de texto, sino también localizaciones
geográficas compartidas, imágenes, archivos y otros datos.
Actualmente este malware no está muy extendido, sin embargo el número de
infecciones puede crecer pronto. Hoy por hoy, los usuarios de Rusia, China, Italia,
Alemania y Francia son los más afectados.
Imagen 40. Propagación de Mekir - 1T 2016
Trojan.OSX.IOSInfector es un troyano que infecta a dispositivos iOS mientras la víctima
carga el móvil empleando un Jailbreak previo para el dispositivo. En otras palabras, si
las víctimas generalmente cargan sus teléfonos móviles mediante cable USB, el equipo
previamente infectado puede obligar a realizar un Jailbreak completo del dispositivo
y, una vez finalizado el proceso, se instala el implante anteriormente mencionado.
Entre otras acciones de inspección previas, este implante también comprueba el
nombre del dispositivo móvil y el modelo exacto, así como el estado de la batería, los
datos de la conexión Wi-Fi y el número IMEI, que es único para cada dispositivo. Una
parte fundamental de las técnicas de espionaje es combinar el mundo real de la víctima
57 de 74
09/05/2016
www.elevenpaths.com
con el mundo digital en el que vive. En otras palabras, el objetivo es no solo para robar
información almacenada en el teléfono móvil, sino también espiar conversaciones
convencionales realizadas fuera de línea. Como, por ejemplo, habilitando la cámara
frontal y el micrófono en dispositivos hackeados.
IOSInfector tampoco es muy activo a día de hoy. Italia, Alemania, Rusia y China son los
países con más usuarios atacados.
Imagen 41. Propagación de IOSInfector - 1T 2016
Puede verse más información adicional sobre implantes móviles específicos en el portal
securelist.com21.
Expertos de Kaspersky Lab descubrieron nuevas modificaciones del malware Trojan-
Banker.AndroidOS.Marcher dirigidas a 40 aplicaciones de banca, principalmente
utilizadas en Europa. A diferencia de la mayoría de troyanos para móvil, Marcher utiliza
páginas web de phishing para solapar aplicaciones bancarias en lugar de sus propias
ventanas.
El porcentaje de usuarios infectados dentro de los países está disponible en el siguiente
mapa.
21 https://securelist.com/blog/research/73305/targeted-mobile-implants-in-the-age-of-cyber-espionage/
58 de 74
09/05/2016
www.elevenpaths.com
Imagen 42. Porcentaje de usuarios atacados dentro del país (Trojan-
Banker.AndroidOS.Marcher) – 1T 2016
Tabla XV. Países atacados por Triada – 1T 2016
Posición País Porcentaje de
usuarios atacados
1 Australia
0,063%
2 Tayikistán
0,029%
3 Rusia
0,023%
4 Turkmenistán
0,018%
5 Polonia
0,017%
6 Uganda
0,012%
7 Grecia
0,011%
8 Finlandia
0,010%
59 de 74
09/05/2016
www.elevenpaths.com
Posición País Porcentaje de
usuarios atacados
9 Alemania
0,009%
10 Uzbekistán
0,009%
11 Reino Unido
0,006%
… … …
17 España
0,0035%
Otra de las tendencias en malware móvil es la interceptación de conversaciones entre
usuarios de aplicaciones de mensajería móvil segura. Hay algunos implantes
desarrollados por Hacking Team para infectar dispositivos móviles con sistema
operativo iOS (Apple), Android, Blackberry y Windows Mobile. Hacking Team no es el
único grupo que desarrolla implantes para móvil. Hay varias campañas con diferentes
raíces, que han estado invirtiendo en el desarrollo de malware para móvil, que lo han
utilizado en ataques dirigidos a nivel regional e internacional.
Trojan-Spy.AndroidOS.Mekir es un troyano para móvil que aprovecha las debilidades
del algoritmo de cifrado utilizado en mensajes de texto. En realidad, no importa qué
aplicación está utilizando la víctima. Una vez que el punto final móvil es infectado, los
responsables de la amenaza son capaces de leer todos los mensajes enviados y recibidos
por la víctima. Aun en el caso de que la aplicación de mensajería utilizada por la víctima
sea realmente segura y se haya aplicado una sólida codificación end-to-end, pero todos
los mensajes enviados y recibidos son almacenados localmente, los responsables de la
amenaza todavía tendrían la capacidad de decodificar dichos mensajes. Los atacantes
pueden robar una base de datos junto con la clave de cifrado que se almacena en el
dispositivo de la víctima y descifrar todo el contenido. Esto incluye todos los elementos
de la base de datos, no solo la información de texto, sino también localizaciones
geográficas compartidas, imágenes, archivos y otros datos.
Actualmente este malware no está muy extendido, sin embargo el número de
infecciones puede crecer pronto. Hoy por hoy, los usuarios de Rusia, China, Italia,
Alemania y Francia son los más afectados.
60 de 74
09/05/2016
www.elevenpaths.com
Imagen 43. Propagación de Mekir - 1T 2016
Trojan.OSX.IOSInfector es un troyano que infecta a dispositivos iOS mientras la víctima
carga el móvil empleando un Jailbreak previo para el dispositivo. En otras palabras, si
las víctimas generalmente cargan sus teléfonos móviles mediante cable USB, el equipo
previamente infectado puede obligar a realizar un Jailbreak completo del dispositivo
y, una vez finalizado el proceso, se instala el implante anteriormente mencionado.
Entre otras acciones de inspección previas, este implante también comprueba el
nombre del dispositivo móvil y el modelo exacto, así como el estado de la batería, los
datos de la conexión Wi-Fi y el número IMEI, que es único para cada dispositivo. Una
parte fundamental de las técnicas de espionaje es combinar el mundo real de la víctima
con el mundo digital en el que vive. En otras palabras, el objetivo es no solo para robar
información almacenada en el teléfono móvil, sino también espiar conversaciones
convencionales realizadas fuera de línea. Como, por ejemplo, habilitando la cámara
frontal y el micrófono en dispositivos hackeados.
IOSInfector tampoco es muy activo a día de hoy. Italia, Alemania, Rusia y China son los
países con más usuarios atacados.
61 de 74
09/05/2016
www.elevenpaths.com
Imagen 44. Propagación de IOSInfector - 1T 2016
Puede verse más información adicional sobre implantes móviles específicos en el portal
securelist.com22.
Expertos de Kaspersky Lab descubrieron nuevas modificaciones del malware Trojan-
Banker.AndroidOS.Marcher dirigidas a 40 aplicaciones de banca, principalmente
utilizadas en Europa. A diferencia de la mayoría de troyanos para móvil, Marcher utiliza
páginas web de phishing para solapar aplicaciones bancarias en lugar de sus propias
ventanas.
El porcentaje de usuarios infectados dentro de los países está disponible en el siguiente
mapa.
22 https://securelist.com/blog/research/73305/targeted-mobile-implants-in-the-age-of-cyber-espionage/
62 de 74
09/05/2016
www.elevenpaths.com
Imagen 45. Porcentaje de usuarios atacados dentro del país (Trojan-
Banker.AndroidOS.Marcher) – 1T 2016
Tabla XVI. Países atacados por el malware Trojan-Banker.AndroidOS.Marcher – 1T
2016
Posición País Porcentaje de
usuarios atacados
1 Australia
0,063%
2 Tayikistán
0,029%
3 Rusia
0,023%
4 Turkmenistán
0,018%
5 Polonia
0,017%
6 Uganda
0,012%
7 Grecia
0,011%
63 de 74
09/05/2016
www.elevenpaths.com
Posición País Porcentaje de
usuarios atacados
8 Finlandia
0,010%
9 Alemania
0,009%
10 Uzbekistán
0,009%
11 Reino Unido
0,006%
… … …
17 España
0,0035%
64 de 74
09/05/2016
www.elevenpaths.com
Actividad de la delincuencia informática
Los expertos de Kaspersky Lab analizaron las tendencias en la actividad de la
delincuencia informática y revelaron lo siguiente:
Los atacantes desarrollan nuevos dispositivos para luchar contra el fraude
bancario. En particular, se espera una segunda oleada de pruebas preventa de
skimmers biométricos. Estará dirigida a la región de Europa. La primera oleada
tuvo lugar en septiembre de 2015. Como resultado de la primera prueba, los
desarrolladores detectaron varios errores. Sin embargo, el problema principal
era el uso de módulos GSM para la transferencia de datos biométricos, ya que
los datos obtenidos resultaban demasiado amplios. Las nuevas versiones de
skimmers utilizan otras tecnologías para la transferencia de datos. Los
defraudadores comenzaron a crear estos dispositivos tras lograr información
sobre la posibles incorporación de escáneres biométricos en los cajeros
automáticos.
Los delincuentes trabajan en nuevos planes de ataque con phishing. El
mercado del phishing está adoptando actualmente nuevos formatos de ataque,
basados en campañas de entidades financieras (tales como campañas de
publicidad, marcas compartidas, etc.). Estos métodos han sido utilizados en
contadas ocasiones previamente, aunque hoy por hoy los estafadores han
comenzado a desarrollar activamente estas técnicas.
Se espera un incremento de los ataques de ingeniería social. En diciembre,
apareció un estafador en las comunidades clandestinas que trataba de vender
acceso a conversaciones de empresas en las redes sociales. La comunidad de
estafadores rusa (donde fue publicada la oferta por primera vez) no confió en
este método de ataque contra empresas y prohibió al supuesto vendedor publicar
información engañosa (como pensaban, esto comprometía las cuentas de las
empresas, no las cuentas en redes sociales). Sin embargo, la primera reacción
de otros mercados clandestinos fue positiva.
El intercambio de datos de tarjetas robados se está extendiendo. Después de
la temporada de vacaciones, la cantidad de estafadores que intercambian datos
de tarjetas robados ha crecido de manera significativa. Podría explicarse por lo
tradicional del despliegue y reducción de skimmers en esta época. Algunos
estafadores actualizaron sus skimmers con cryptors y comenzaron a alquilarlos.
Otra tendencia en el área de skimming son los pequeños dispositivos diseñados
para ser insertados en la ranura del lector de tarjetas.
65 de 74
09/05/2016
www.elevenpaths.com
Ha aumentado la cantidad de recursos en materia de fraude. En diciembre,
existían aproximadamente 2.500 recursos en materia de fraude, que incluían
cerca de 700 recursos zombie (inactivos, nuevos mensajes con apariencia
extremadamente rara) y cerca de 600 que no representan un alto riesgo para las
entidades financieras (spam, fraude en la datación, etc.). Por ahora, conocemos
unos 3.100 recursos en materia de fraude.
La siguiente tabla muestra la clasificación global en términos de exposición de los
bancos a las comunidades de estafadores electrónicos (según el servicio LeakReporter).
El ranking tiene en cuenta la exposición de información comprometida sobre tarjetas,
documentación interna, órdenes de infiltrados para penetrar en el perímetro de la red,
datos sobre los empleados (que podrían utilizarse para chantaje u otros fines),
credenciales de empresa comprometidas, cuentas de correo electrónico personal, etc.
Tabla XVII. Valoración de los bancos entre las comunidades de estafadores (según
datos de LeakReporter) – 1T 2016
Posición Banco Ubicación 1 Citigroup Banco internacional (sede en EE. UU.) 2 HSBC Banco internacional (sede en EE. UU.) 3 Wells Fargo Banco internacional (sede en EE. UU.) 4 Bank of America Banco internacional (sede en EE. UU.) 5 BNP Paribas Banco internacional (sede en Francia) 6 Deutsche Bank Banco internacional (sede en Alemania) 7 Banco Agrícola de China Banco chino 8 UniCredit Banco internacional (sede en Italia) 9 Commerzbank Banco internacional (sede en Alemania)
10 Banco Agrícola de China Banco internacional (sede en China)
11 Banco Industrial y Comercial de
China Banco internacional (sede en China)
12 Barclays Banco internacional (sede en Reino Unido) 13 Crédit Agricole Banco internacional (sede en Francia) 14 JPMorgan Chase Banco internacional (sede en EE. UU.) 15 Sberbank Banco internacional (sede en Rusia) 16 Japan Post Bank Banco japonés 17 Banco do Brasil Banco internacional (sede en Brasil) 18 Banco Popular Chino Banco chino
19 Société Générale Banco internacional (sede en Francia)
20 Mizuho Bank Banco internacional (sede en Japón)
66 de 74
09/05/2016
www.elevenpaths.com
Los ataques a dispositivos bancarios y sistemas de banca a distancia siguen siendo
reales23. En los últimos meses se han producido varios incidentes de seguridad notables
en el sector de la banca, como los siguientes.
El 8 de febrero de 2016, NCR lanzó una alerta de seguridad sobre ataques de skimming
en tarjetas por cable de red. A los cables de red de los cajeros automáticos son
conectados dispositivos externos de skimming que interceptan datos de la tarjeta del
cliente24, 25. Los cajeros automáticos Diebold y NCR son los más atacados. El ataque
descrito presenta los siguientes factores: el dispositivo se coloca en el cable de red del
cajero automático para interceptar los datos de la tarjeta y solapa el teclado o esconde
una cámara oculta para capturar el PIN.
Imagen 46. Skimming a través del cable de red de los cajeros automáticos
23 http://thisissecurity.net/2015/11/05/low-cost-point-of-sales-pos-hacking/ 24 http://strange.pl/atm-network-skimmer.jpg 25 http://krebsonsecurity.com/2016/02/skimmers-hijack-atm-network-cables/
67 de 74
09/05/2016
www.elevenpaths.com
Kaspersky Lab es consciente de los diversos incidentes de seguridad producidos por los
denominados dispositivos Black Box, que se conectan directamente al controlador del
cajero. Los expertos reciben información sobre los ataques a cajeros automáticos NCR
o Personas, así como algunos modelos de la serie SelfServ, incluyendo 6632 y Wincor
Nixdorf ProCash. Cabe señalar que pueden afectar también a otros cajeros
automáticos. Se considera que los modelos de cajeros automáticos más afectados son
NCR 5877 y Wincor ProCash 2000xe\2100xe. Por otra parte, posiblemente hay ingenieros
técnicos o de mantenimiento en connivencia con los atacantes. Como consecuencia de
ello, los delincuentes pueden acceder a los cajeros automáticos sin rotura física de los
dispositivos de bloqueo.
Imagen 47. Esquema de ataques con dispositivos de Black Box
Somos conscientes también de un incidente producido por un ataque de suplantación
de identidad a un centro de procesamiento. Este ataque se puede implementar, si un
cajero carece de mecanismos de protección de red o de firma de mensajes MAC,
enviados al centro de procesamiento.
68 de 74
09/05/2016
www.elevenpaths.com
Imagen 48. Esquema de ataques con centro de procesamiento fraudulento
69 de 74
09/05/2016
www.elevenpaths.com
Resumen de las últimas campañas de APT
Carbanak
En febrero de 2015, Kaspersky Lab publicó los detalles de los ataques contra entidades
principalmente financieras, realizados por un grupo conocido como Carbanak26. El 2 de
septiembre de 2015, CSIS publicó un post27 en el que se detallaba la existencia de una
nueva variante de Carbanak, que afectó a uno de sus clientes.
En diciembre de 2015, se observa una actividad sospechosa que podemos confirmar
relacionada con un subgrupo del grupo Carbanak original. En ese caso, infectaban a
diversas compañías de telecomunicación de Ucrania. Creemos que esta idea podría
tener varias ventajas para el grupo, como el poder utilizar estas infecciones como proxy
para sus ataques o para albergar su infraestructura. Sin embargo, siempre puede ser
que el grupo tenga objetivos diferentes.
Kaspersky Lab recibió en marzo de 2016 una serie de códigos de diferentes socios
relacionados con una potencial actividad de Carbanak durante los primeros meses de
2016. Estos códigos nunca se hicieron públicos y afectaban al menos a una institución
financiera en Europa y a una compañía de petróleo y gas de Estados Unidos. Después
de analizarlos, confirmamos que estos códigos eran en efecto de Carbanak. En uno de
los casos códigos empleados por los atacantes no incluyeron ninguna novedad, según
datos de enero de 2016. Sin embargo, en otro de los casos, los códigos incluían una
nueva capa de cifrado basada en MSIL, que no habíamos visto antes.
También hemos podido hundir diversos dominios y recuperar algunas estadísticas
acerca de potenciales víctimas durante varios días. Los datos son bastante interesantes,
mostrando una amplia distribución geográfica de los posibles objetivos del grupo.
26 https://securelist.com/blog/research/68732/the-great-bank-robbery-the-carbanak-apt/ 27 https://www.csis.dk/en/csis/blog/4710/
70 de 74
09/05/2016
www.elevenpaths.com
Imagen 49. Distribución geográfica de los posibles objetivos del grupo
Los datos de sinkhole podrían incluir algunos blancos no víctimas, incluso habiendo
limpiado los datos del buscador y la información relativa a los datos obtenidos por otros
buscadores en Oriente Medio28. Sin embargo, de los códigos compartidas originalmente,
sabemos con certeza que ciertas instituciones importantes fueron objetivos del grupo
Carbanak en Europa y Estados Unidos.
En paralelo, diversas publicaciones han detallado una nueva actividad supuestamente
relacionada con este grupo29. ¿Está entonces relacionada toda esta actividad con la
banda original? Sin duda, los códigos analizados están relacionados con los artefactos
originales de Carbanak. Sin embargo, existen diversos aspectos que todavía nos
sorprenden. En primer lugar, la aparentemente salvaje propagación del grupo cuando
en un principio eran cuidadosos con llegar solamente a víctimas específicas en una
región geográfica muy concreta. En segundo lugar, el uso de nuevos artefactos nunca
antes vistos en la actividad del grupo. Por último, y lo que resulta todavía más extraño,
la aparente falta de profesionalidad dejando sin registrar algunos dominios como C&Cs.
Gracias a esto pudimos hundir parte de su infraestructura.
Hasta que aclaremos si el grupo original está aún detrás o si hay un nuevo grupo con
los mismos artefactos, recomendamos tener los sistemas internos actualizados con los
últimos indicadores de compromiso y estar muy alerta ante cualquier actividad
sospechosa.
GCMan
Kaspersky Lab es consciente de una nueva oleada de ataques contra entidades
financieras. El grupo que hay detrás de estos ataques busca obtener acceso a la red
28 https://www.proofpoint.com/sites/default/files/proofpoint-threat-insight-carbanak-group-en.pdf 29 http://www.infosecurity-magazine.com/news/carbanak-cyber-thieves-back-on-the/
71 de 74
09/05/2016
www.elevenpaths.com
interna del banco a través del spear phishing como método principal, tratando de
conseguir una infección inicial utilizando el malware Gcman30. Una vez una víctima ha
sido infectada utilizan diferentes herramientas para moverse por la red interna. Según
la fecha y hora de los códigos, junto con la actividad de C&C, indican el inicio de la
actividad del grupo en torno a marzo de 2015. La campaña está aún en curso.
Según nuestras fuentes, los atacantes fueron descubiertos antes de la salida de
efectivo, así que no podemos confirmar todavía si hay dinero robado a las víctimas.
Hemos observado a dos víctimas (ambas instituciones) de este ataque en Rusia. En
ambos casos, los mensajes de spear phishing fueron escritos en un buen nivel de ruso.
Adwind
Nos detectado un inusual programa malicioso encontrado en algunos bancos de
Singapur. Este malware se conoce bajo diferentes nombres: Adwind RAT (Remote
Access Tool), AlienSpy, Frutas, Unrecom, Sockrat, Jsocket y jRat. El código malicioso
es básicamente una backdoor o puerta trasera disponible para compras y escrito
puramente en Java, que lo convierte en multiplataforma. El componente backdoor,
conocido como el servidor, puede ejecutarse en plataformas Windows, Mac OS, Linux
y Android, según los autores. Proporciona capacidades completas para control remoto,
recopilación de datos, exfiltración de datos y movimiento lateral.
Aunque es utilizado principalmente por atacantes oportunistas y, a veces, distribuido
en campañas de spam masivo, son indicadores de que algunos códigos Adwind han sido
utilizados en ataques dirigidos. En agosto de 2015, AlienSpy apareció en news1 en
relación con el ciberespionaje realizado contra el fiscal argentino que fue encontrado
muerto en enero de 2015.
El código malware que analizamos fue enviado por correo electrónico a algunos bancos
de Singapur haciéndose pasar por un gran banco de Malasia. La dirección IP del
remitente del correo electrónico apunta a un servidor en Rumanía mientras que el
servidor de correo y la cuenta utilizados pertenecen a una empresa con sede en Rusia.
Nuestra investigación derivó en un individuo nigeriano que llevaba a cabo campañas de
malware y fraude desde Malasia contra una serie de bancos de Europa y Asia.
Backdoor.Java.Adwind es una Backdoor dirigida contra los sistemas de soporte del
entorno de ejecución de Java. Este malware envía información del sistema y acepta las
órdenes de un atacante remoto. Los comandos pueden ser utilizados para mostrar
30 https://securelist.com/blog/research/73638/apt-style-bank-robberies-increase-with-metel-gcman-and-carbanak-2-0-attacks/
72 de 74
09/05/2016
www.elevenpaths.com
mensajes en el sistema, abrir una URL, actualizar el malware, descargar/ejecutar
archivos y descarga/cargar plugins, entre otras acciones. Los plugins descargables para
el malware pueden ofrecer funciones adicionales considerables, como opciones de
control remoto y ejecución de comandos de shell", según indica Brad Duncan,
investigador de seguridad de Rackspace.
Nos gustaría animar a las empresas a revisar la finalidad de uso de la plataforma Java
y desactivar todas las fuentes no autorizadas. Adwind sigue usándose de forma activa.
Jsocket.org solo contaba con más de 500 suscriptores de pago activos a finales de 2015.
Según nuestro análisis, Adwind RAT se utiliza principalmente contra pequeñas y
medianas empresas como parte de escenarios de compromiso de correos electrónicos
comerciales, pero sin limitarse a estos y fue descubierto en intentos de ataque contra
grandes empresas energéticas, compañías de servicios públicos, finanzas,
investigación, sector de las telecomunicaciones así como particulares.
Operación Blockbuster
En el pasado, publicamos nuestra investigación31 sobre malware que fue públicamente
atribuida al pirata de Sony Pictures (SPE). En base a esos datos, Kaspersky Lab llevó a
cabo una investigación más enfocada a una serie de campañas relacionadas que se
remonta a varios años antes del incidente de SPE. Ese grupo de campañas implica a
varias familias de malware, así como campañas que no han recibido atención de los
medios y que anteriormente se consideraba que no tenían relación. Centrándose sobre
todo en casos de reutilización de códigos, hemos podido detectar de forma proactiva
nuevas variantes de malware desarrollados por el mismo responsable de la amenaza,
con nombre clave «El grupo de Lázaro» de Novetta. Por ejemplo, actividades pasadas
y actuales que atribuimos al Grupo Lázaro incluyen Wild Positron, también conocido
públicamente como Duuzer.
Las actividad del Grupo Lázaro abarcan varios años, retrotrayéndose hasta el año 2009.
Sin embargo, su pico de actividad comenzó en 2011. El grupo desplegó múltiples
familias de malware a lo largo de los años, incluyendo malware asociado con la
Operación Troya y DarkSeoul, el malware Hangman (2014-2015) así como Wild
Positron/Duuzer (2015). El grupo es conocido por ataques de spear phishing, que
incluyen CVE-2015-658532 cuyo día 0 fue el de su descubrimiento.
31 https://securelist.com/blog/research/67985/destover/ 32 https://www.fireeye.com/content/dam/fireeye-www/global/en/blog/threatresearch/FireEye_HWP_ZeroDay.pdf
73 de 74
09/05/2016
www.elevenpaths.com
Durante nuestro análisis del malware responsable del ataque a SPE así como las familias
de malware relacionadas anteriormente mencionadas, observamos ciertos rasgos
específicos compartidos entre las muestras utilizadas en ataques separados. En
general, tales semejanzas son casos de código compartido e indican la existencia de
una relación entre las familias de malware, que se pueden utilizar para dibujar un
cuadro más completo de una amenaza.
En base a los perfiles de los anteriores objetivos de los ataques del Grupo Lázaro,
compilamos el siguiente conjunto de industrias más propensas a la exposición al riesgo:
entidades financieras, estaciones de medios de comunicación, empresas de
fabricación.
74 de 74
09/05/2016
www.elevenpaths.com
Conclusión
Las estadísticas analizadas durante el 1T 2016 demuestran que Dyre no es el único
troyano en el ámbito del malware y que nuevas familias de software malicioso, como
Gozi, amplían su área de influencia. Hay varios puntos de interés a destacar:
Las campañas de phishing son temporales. No se observó ninguna campaña de
phishing dirigida a un país concreto.
Un alto porcentaje de ataques de phishing contra usuarios de Steam en el
período anterior y contra clientes de la tienda de Apple en el período actual
están correlacionados con los registros de ingresos de estas empresas. Los
defraudadores están preparados para crear ataques de phishing sofisticados sin
importar la complejidad de la plataforma de destino.
El porcentaje de ataques de Dyre se redujo drásticamente y nuevos códigos de
malware bancario aumentan el número de ataques.
El malware de POS, especialmente relacionado con la familia de Backoff, sigue
mostrando un notable incremento de actividad. Los atacantes siguen propagando
el malware de POS utilizando métodos de phishing e ingeniería social.
Los dispositivos Android han sido los móviles más afectados por el malware
durante dos años consecutivos. Observamos nuevos desarrollos y técnicas
maliciosas para hacer explotar estos smartphones pero tal vez uno de los puntos
más relevantes en esta área concreta sea la diversificación del delito a otros
esquemas como el Ransomware, el cual será una tendencia a observar en el año
2016.
Los propietarios de estos troyanos como Leech, Ztorg o Gorpo forman una
especie de red «botnet de publicidad». Esta botnet fue utilizada para distribuir
el malware Triada representando una amenaza directa para el usuario.
Continúan evolucionando sofisticadas campañas del estilo APT sobre las
infraestructuras de los bancos.
