SECURE COMPUTING REPORTA LAS PRINCIPALES AMENAZAS EN LA PRIMERA MITAD DEL 2007 Y PREDICE LAS TENDENCIAS
18 de agosto del 2007 | por Martha Olavarrieta
Secure Computing Corporation, Proveedor líder de soluciones integrales de seguridad a nivel de los Gateways, anuncio hoy un incremento de ataques con Malware a los servidores web, principalmente motivados por cuestiones financieras, en un reporte donde se detallan los principales ataques a nivel mundial, que afectaron tanto a las empresas como a los usuarios residenciales en la primera mitad del 2007, estos resultados fueron identificados por el equipo de investigación de Secure Computing.
El reporte emitido por Secure Computing, identificó primero que las amenazas de robo de información, así como las de backdoor (Puerta trasera) continúan siendo las mayores y están en incremento. Las estadísticas muestran que este ha sido el método predominante por el cual los atacantes han impactado a las compañías y a los usuarios residenciales.
El malware para robo de información obtuvo ahora aproximadamente un 10% entre todas las amenazas analizadas; esto se incrementa del 8% obtenido en Enero. El reporte muestra también, una tendencia anticipada del malware adjuntado directamente a los correos electrónicos, hacia mensajes que vinculan hospedajes Web.
Los Troyanos continúan dominando la escena del malware, con más de un 63% de variantes recién descubiertas. Esto es inclusive más alto que el 58% obtenido en Enero y los archivos ejecutables de Windows continúan como los más populares para la distribución de nuevos ataques.
Para el final de Julio del 2007, los principales tipos de malware (con sus nuevas variantes), tanto para web, como para correos electrónicos, excluyendo el auto-replicable, comprenden principalmente: Downlaoder (Trojan) 41.6%, Otros Troyanos 30.4% , Ad-Spyware 10.6%.
La plaga de spyware y phishing está aumentando como agresores convertidos en ataques silenciosos (pocos pero más dirigidos), intentando robar información personal o financiera. Gartner también plantea que ataques dirigidos motivados por la cuestión financiera, usando malware no detectable infectará a más del 75% de las compañías para finales del 2007.
Hoy en día el adware esta continuamente identificado como un spyware para vigilancia, o programas que son dejados en el sistema de un usuario e instalados sin su conocimiento. Adicionalmente las ligas vía spam para explotar Web Sites, donde el spyware esta instalado, se ha convertido en un problema creciente entre los consumidores.
“Las amenazas mezcladas como el spam de emails conteniendo ligas a sitios web que hospedan malware, indican la creciente sofisticación en los ataques Content-borne”, dijo Chenxi Wang, Analista Principal, de Seguridad y Administración de Riesgos para Forrester Research. “Para protegerse mejor, los usuarios deberían considerar utilizar una solución capaz de un análisis Cross-Channel y una evaluación de reputación tanto para los remitentes de correos electrónicos, como para los URLs.”
“Hoy las amenazas son más rápidas y más complejas que nunca. Las soluciones de seguridad Web gateway de Secure Computing basadas en reputación, están óptimamente posicionadas para proteger a los clientes del phishing, malware y amenazas mezcladas,” dijo Paul Judge, Chief Technology Officer de Secure Computing. “Nuestro compromiso es entregar herramientas de seguridad completas e integradas, lo mejor de la tecnología en dispositivos de seguridad utilizando nuestro avanzado sistema global de reputación TrustedSource™ y nuestra tecnología de detección Anti-Malware Webwasher.”
RESEÑA DE AMENAZAS CLAVE Y ATAQUES:
• El año comenzó con una gran escala de envíos masivos de correos electrónicos con troyanos en Enero. Con encabezados como “230 dead as storm batters Europe,” se conoció como el “Storm worm.” Durante sus más duras fases, nuevas variantes fueron creadas en intervalos de 15 minutos – atentando con dificultar la detección basada en firmas. Esta técnica, apodada “Serial variant attacked,” se volvió una propagación indeseable en los siguientes meses de 2007 – alteraciones de spanning de los contenidos maliciosos en si mismos.
• Cuando el Super Bowl de Estados Unidos llego a su etapa final en Febrero, con los equipos finalistas, los sitios web atraían muchos visitantes, El Web site del estadio de los “Miami Dolphins”, fue puesto en peligro. Los atacantes utilizaron una reciente vulnerabilidad en el Explorer de Internet entregando documentos de Marcas de Vector de Lenguaje (VML, por sus siglas en ingles) (MS07-004), infectando las computadoras de sus visitantes con un troyano que robaba la contraseña (password).
• El primer incidente de alta escalabilidad en el año en envíos masivos que estaban ligados a un malware hospedado en el web, emergió a finales de Marzo, cuando correos electrónicos con fotografías de Britney Spears y Paris Hilton tentaban a los usuarios a visitar un sitio web con una vulnerabilidad zero-day en Windows’ motivada con archivos de Cursores Animados (ANI, por sus siglas en ingles). Esta vulnerabilidad, una recurrencia de una similar (MS05-002) nos traslada al año 2005, en el cual aparentemente no se llego a completar el ataque y el cual también afecto a aquellos usuarios que habían comprado la nueva marca Windows® Vista®. Afortunadamente, Microsoft emitió un parche para esta vulnerabilidad crítica antes del Patchday. Como una acotación adicional, uno de los primeros servidores que hospedaba esas explosiones zero-day ANI, fue el mismo (localizado en China) que estuvo involucrado en el taque del Dolphins Stadium unas semanas antes.
• Los ataques de malware hospedado en un Web, incluyen una alarmante cantidad de sitios web Europeos comprometidos (más de 10,000) en Junio. Los así llamados “hidden IFRAME’s” fueron introducidos en los sitios web, referenciando a los visitantes a un sitio malicioso, usando una herramienta llamada MPack. Esta usa tanto el ataque vector tradicional (Internet Explorer y su dañina funcionalidad ActiveX), como usuarios objetivo de los buscadores Firefox y Opera, aprovechando la vulnerabilidad (MS06-006) de Windows Media Player. Una explotación exitosa puede desarrollar una infección por “Torpig” un Troyano bancario.
• El malware de robo de información, como la última variante del GpCoder “ransomware” así como la familia de OnlineGames de ladrones de contraseñas (passwords), han sumado más del 10% de todas las amenazas analizadas. Algunos ataques fueron regionales, como lo fue la ultima oleada de “iBill” factura falsa donde los Troyanos fueron enviados masivamente primeramente en Alemania. Los usuarios que abrieron el malware adjuntado a esos correos electrónicos (en la línea del asunto venia “PayPal E-TAN Software Nr”) fueron infectados por el Troyano BZub.IF, el cual monitoreaba las llaves principales y robaba las contraseñas desde paginas que necesitan registros.
• Los Troyanos de puerta trasera, continúan significativamente afectando a los usuarios domésticos en todo el mundo. Por ejemplo la nueva ola de correos masivos de malware “Storm”, que por si mismo reporta cuentas cercanas a las 100,000 computadoras infectadas. Los emails que viene con el encabezado en la línea del asunto tales como «Ha recibido un tarjeta postal de un miembro de su familia!” dirigen a los usuarios a explotación de sitios web que contiene diversas vulnerabilidades; infectan las computadoras de los usuarios y les anexan el “storm” familia de botnet P2P.
En un esfuerzo por afrontar estos ataques y más, los investigadores de Secure Computing recomendaron que tanto empresas como consumidores se aseguren que su software y sus parches estén actualizados y que implementen un solución con enfoque multi-capas que detecte los ataques proactivamente y los bloquee. Los equipos que utilizan el sistema de reputación global TrustedSource™ y la tecnología de detección anti-malware Webwasher® de Secure Computing, colocan a las compañías un gran paso adelante, de aquellas que no se protegen de amenazas existentes y malware nuevo o sus variantes. El producto de tecnología anti-malware va más allá de la protección en contra de amenazas entrantes en el gateway, pero usan técnicas pendientes de patentizarse, que permitan detección y bloqueo de acciones de envío (salida) “phone home” de las computadoras, que podrían haber sido previamente infectadas—como es el caso de las laptops que se reconectan a la red corporativa.
Para mayores informes sobre TrustedSource, Webwasher® y otras tecnologías, productos y soluciones de Secure Computing, visite www.securecomputing.com o envíe un correo a la siguiente dirección info@securecomputing.com .