CyberThreats_ Telefónica
Financial cyber threats Q3 2016
11/11/2016
2 de 57
21/10/2016
www.elevenpaths.com
Sobre los editores
TDS Telefónica
El Servicio de Ciberamenazas de Telefónica tiene como objetivo principal la
generación de inteligencia, adaptada a las necesidades de nuestros clientes con el fin
de contrarrestar las amenazas asociadas al entorno digital. Por lo tanto, lo que
diferencia a Telefónica de otros servicios de seguridad tradicionales es nuestra
capacidad para integrar, evaluar y transformar la información y los datos brutos en
conclusiones y escenarios futuros. Este Servicio se basa en tres pilares:
Detección
Análisis e interpretación
Prospectiva y anticipación
Kaspersky Security Network
Este informe utiliza los datos de KSN (Kaspersky Security Network). KSN es una red
distribuida diseñada para el procesamiento en tiempo real de amenazas contra los
usuarios de Kaspersky. El objetivo de KSN es asegurar que todos los usuarios
dispongan de información sobre amenazas de forma rápida. Las nuevas amenazas se
suman a la base de datos minutos después de su detección, aunque fueran
desconocidas previamente. KSN recopila también información estadística no personal
sobre cualquier código malicioso instalado en los dispositivos de nuestros clientes. Los
clientes de Kaspersky Lab, si lo desean, pueden unirse a KSN.
3 de 57
21/10/2016
www.elevenpaths.com
Principales conclusiones
Este informe analiza las tendencias actuales relacionadas con ciberataques
financieros, phishing y malware bancario, incluyendo ataques a dispositivos móviles,
POS (puntos de venta) y cajeros automáticos (ATM). Principalmente, se basa en las
estadísticas y los datos de KSN (Kaspersky Security Network), aunque también puede
hacerse referencia a otras fuentes con información fiable. Los datos para este análisis
han sido obtenidos en el periodo de tiempo comprendido entre el 1 de julio de 2016 y
el 1 de octubre de 2016. Las principales conclusiones son:
Phishing
Al igual que en el periodo anterior, las mayores probabilidades de ataques de phishing
eran para los usuarios de China y Brasil. Les seguían los residentes de los Emiratos
Árabes Unidos, Australia y Arabia Saudí. En este punto debe destacarse que los
Emiratos Árabes Unidos, clasificados en tercera posición entre los países más
proclives a los ataques, no estaban incluidos en el top ten de los países más atacados
durante el periodo anterior.
En el pasado trimestre, los mensajes de phishing dirigidos a los clientes del sector
financiero (bancos, sistemas de pago y tiendas online) representaron el 50,96 % de
todos los ataques de phishing detectados en las diversas entidades analizadas, lo que
revela un incremento de un 4,73 % en comparación con los datos analizados en el
segundo trimestre de 2016.
Por lo que se refiere al tercer trimestre, cabe destacar que los atacantes se
mostraron precavidos ante el uso del malware para fines de phishing, por lo que se
decantaron por las páginas web fraudulentas y la interacción directa con las víctimas.
Malware bancario
El tercer trimestre de 2016 estuvo marcado por la mayor actividad de intentos de
ataque mediante el malware de la familia Zeus. En el último trimestre, alrededor del
0,481 % de los usuarios de KSN sufrieron ataques; y durante el segundo trimestre este
valor llegó al 0,514 %. La mayor dinámica de cambio en el número de usuarios de KSN
se mostró por la familia Nymaim, con un incremento del valor que casi representaba
el doble (del 0,058 % al 0,120 %).
4 de 57
21/10/2016
www.elevenpaths.com
Cajeros automáticos y POS
Previendo las festividades de Año Nuevo, se ha incrementado la actividad maliciosa
en las modalidades de carding y skimming.
El malware dirigido a los terminales POS permanece activo en todo el mundo. La
proporción de intentos de ataque mediante malware dirigidos a los terminales POS
representó el 6 % de todos los ataques detectados contra los usuarios de KSN.
Durante el trimestre, aparecieron nuevas muestras de software malicioso para los
ATM, además de un nuevo tipo de dispositivos de skimming.
Malware en el móvil
Al igual que en los trimestres anteriores, Android se mantiene como la plataforma
móvil más proclive a los ataques: El 99,68 % de todos los ataques comunicados iba
dirigido a este sistema operativo. La mayor parte de los usuarios víctimas se
identificaron en la Federación Rusa, Australia y Ucrania.
La familia más activa de programas de malware bancario, durante el tercer trimestre
de 2016, fue Trojan-Banker.AndroidOS.Svpeng.
Ciberdelincuencia
Los ataques contra el sistema SWIFT siguen produciéndose. En agosto, los expertos de
Kaspersky Lab registraron y bloquearon un ataque contra el Banco de Indonesia.
Hubo, presuntamente, nuevos ataques en Bangladés y la India. La actividad del grupo
se limita al Sudeste Asiático, pero también puede haber víctimas en otros países.
En la India, Europa del Este y la Comunidad de Estados Independientes (CEI/CIS) se detectaron ataques a instituciones financieras presuntamente asociadas con el grupo Carbanak. Los atacantes son activos usuarios del software Cobalt Strike durante el desarrollo del ataque en la infraestructura bancaria, y también lo utilizan para retirar fondos de los cajeros automáticos a través del acceso directo al expendedor.
5 de 57
21/10/2016
www.elevenpaths.com
Tabla de contenidos
SOBRE LOS EDITORES 2
PRINCIPALES CONCLUSIONES 3
TABLA DE CONTENIDOS 5
INTRODUCCIÓN 6
METODOLOGÍA 9
PHISHING 10
MALWARE 26
ACTIVIDAD DE CIBERDELINCUENCIA 51
ATAQUES DIRIGIDOS CONTRA ENTIDADES FINANCIERAS 54
CONCLUSIÓN 57
6 de 57
21/10/2016
www.elevenpaths.com
Introducción
Más de 700 sistemas de pago Oracle MICROS fueron hackeados. Los hackers infectaron
los terminales POS y consiguieron acceder al portal online para atención al cliente de
Oracle, utilizado para facilitar la resolución a distancia de problemas relacionados
con el funcionamiento de las terminales bancarias. El daño infligido por el ataque
contra el sistema de pago puede ser sustancial, considerando que esta solución se
utiliza por más de 330.000 restaurantes, tiendas y hoteles en 180 países de todo el
mundo. Los expertos que llevaron a cabo la investigación opinan que el grupo
Carbanak es responsable del hackeo del sistema1.
Los expertos de Kaspersky Lab identificaron una nueva versión del ransomware RAA
(veredicto de Kaspersky Lab: Trojan-Ransom.JS.RaaCrypt.ag). El cuerpo de la nueva
versión del ransomware RAA está escrito en JScript (un archivo con la extensión .js).
Se envía un script malicioso a las víctimas en potencia como archivo comprimido, con
la contraseña «111», que se adjunta al correo spam. El ataque se dirige
principalmente a los usuarios persona jurídica. Se ha diseñado de manera que parece
un correo electrónico dirigido a empresas sobre asuntos financieros. Además, el
ransomware contiene el troyano bancario Pony, que puede robar carteras de Bitcoin a
las víctimas2 .
Los expertos de Kaspersky Lab identificaron una nueva versión de troyano de banca
móvil Gugi (veredicto de Kaspersky Lab: Banker.AndroidOS.Gugi.c) capaz de eludir los
dos mecanismos de protección nuevos de Android 6. Gugi bloquea las aplicaciones con
ventanas de phishing, con el fin de robar los datos utilizados para la banca móvil,
además de los datos de la tarjeta de crédito. También roba los mensajes de SMS y los
contactos, emite peticiones USSD y puede enviar mensajes de SMS desde el servidor
dominante. El Trojan Gugi principalmente ataca a los usuarios situados en Rusia3 .
El Servicio Secreto de los Estados Unidos advierte a propietarios de bancos y cajeros
automáticos acerca del nuevo desarrollo técnico en skimming de cajeros automáticos,
el denominado «periscope skimming», que utiliza dos dispositivos conectados entre sí
por cable. El primero, la sonda de periscope skimming, se instala a través de un
orificio preexistente en el marco del lector de tarjetas motorizado. La sonda se
coloca para conectar con la placa de circuito y, de ahí, directamente con el teclado
que transfiere los datos de titular de tarjeta almacenados en la banda magnética del
dorso de las tarjetas de pago del cliente. La sonda se mantiene fija en el lugar con
1 http://krebsonsecurity.com/2016/08/data-breach-at-oracles-micros-point-of-sale-division/ 2 https://securelist.com/blog/research/76039/a-malicious-pairing-of-cryptor-and-stealer/ 3 https://securelist.ru/blog/issledovaniya/29240/banking-trojan-gugi-evolves-to-bypass-android-6-protection/
7 de 57
21/10/2016
www.elevenpaths.com
cola extrafuerte de pegado rápido que la adhiere al marco del lector de tarjeta. La
única parte visible de este dispositivo de skimming, una vez abierta la tapa superior,
es el cable que va de la sonda de periscopio y llega hasta la segunda parte de este
skimmer, denominado «dispositivo de control por skimming». En el segundo
dispositivo se hallan el alimentador de batería (que puede permanecer activo hasta
14 días) y la unidad de almacenamiento de datos (que puede almacenar los datos de
hasta 32.000 tarjetas de pago), y que de apariencia se asemeja a un pequeño disco
duro externo. Se han hallado dispositivos de periscope skimming en dos cajeros de los
Estados Unidos4 .
El 10 de julio, se publicó la noticia acerca de la filtración de más de 324.000 registros
de pago, incluido CVV. La filtración pudo tener lugar seguramente debido a un error
humano durante el tratamiento de datos realizado por la empresa Regpack. Regpack
ofrece a los titulares de sitios web servicios de registro de usuario en línea. Los datos
de pago incluyen nombres, direcciones físicas, direcciones de correo electrónico,
direcciones IP, números de teléfono, los últimos cuatro dígitos de las tarjetas de
crédito, CVV y las facturas de compra en línea de los usuarios5 .
El 1 de agosto de 2016, la plataforma comercial TheRealDeal publicó un lote con
datos de 200 millones de usuarios de Yahoo obtenidos en 2012. Los periodistas de
Motherboard informaron de que podían contactar con el atacante6 . En la entrevista
personal, explicó que durante algún tiempo había intentado vender la información en
privado, pero que, al no tener éxito, finalmente decidió ofrecer los datos en venta
pública. Más tarde, el 22 de septiembre, Yahoo informó de la filtración de datos de
500 millones de usuarios que se habían robado a finales de 2014.7 La filtración de
datos de los usuarios de Dropbox también fue noticia. Cuando los delincuentes
hackearon Dropbox en 2012, pudieron obtener los datos de registro de más de 68
millones de usuarios. El hackeo de la herramienta de almacenamiento en línea que
tuvo lugar hace cuatro años se ha confirmado desde hace mucho tiempo. Sin
embargo, la magnitud de la filtración causada por el ataque no se conoció hasta el 30
de agosto de 2016, cuando la caché de cinco gigabytes, según Motherboard, empezó a
hacer aparecer sitios web comerciales en las cuentas de la base de datos.8
Recientemente, la propagación de spam en el troyano Dridex se ha originado cada vez
más a partir de sitios web legítimos que se vieron comprometidos por los hackers.
Previamente, los agentes de código malicioso utilizaron la botnet del troyano Necurs,
pero, según parece, los agentes de Dridex ahora prueban nuevas tácticas. Debido al
4 http://krebsonsecurity.com/2016/09/secret-service-warns-of-periscope-skimmers/ 5 https://www.troyhunt.com/someone-just-lost-324k-payment-records-complete-with-cvvs/ 6 http://motherboard.vice.com/read/yahoo-supposed-data-breach-200-million-credentials-dark-web 7 http://www.businesswire.com/news/home/20160922006198/en/ 8 http://motherboard.vice.com/read/hackers-stole-over-60-million-dropbox-accounts
8 de 57
21/10/2016
www.elevenpaths.com
cambio de patrón, el spam malicioso vuelve a ser capaz de eludir los filtros. Otro
cambio, también diseñado para engañar a los filtros, es el uso de documentos
protegidos por contraseña. Los archivos RTF maliciosos (documentos de Word) están
protegidos por una contraseña que se especifica directamente en el correo
electrónico. Así los sistemas automáticos no pueden recuperar los contenidos y
escanearlos para comprobar la presencia de código malicioso, ya que la mayor parte
no pueden detectar la contraseña y desencriptar el documento. 9
No hace mucho, los atacantes empezaron a utilizar los cajeros automáticos de Bitcoin
con más frecuencia para retirar fondos de cuentas en compromiso. Los artífices de la
estafa que hackean la cuentas bancarias de las empresas suelen retirar los fondos
robados realizando nuevos ingresos en la cuenta en compromiso bajo el nombre de
intermediario financiero («mula del dinero»). Los anuncios de los que se sirven los
atacante para captar intermediarios tienden a parecer bastante inocentes, con
ofertas para cubrir vacantes en las que se utiliza la terminología siguiente: «agente
de proceso de pagos», «agente de transferencias de fondos» o, con carácter mucho
más general, «representante administrativo». Se les suele solicitar que retiren fondos
y que los transfieran a los atacantes. Sin embargo, cada vez se les ha pedido más que
transfieran el dinero robado a través de los cajeros automáticos de Bitcoin. Es
probable que enviar fondos a través de los cajeros automáticos de Bitcoin permita a
los atacantes recibirlos de un modo más rápido y evitar los costos asociados a la
selección de un gran número de «mulas» que transfieran los fondos al país de origen
de los defraudadores. 10
La empresa francesa de seguridad digital Oberthur Technologies ha desarrollado la
tecnología de MotionCoce, con la que se modifica el código CVV. Al dorso de la
tarjeta con tecnología MotionCode integrada hay una pantalla en la que aparece un
código de seguridad de tres dígitos que cambia aproximadamente cada hora. Así, si se
robaron datos de tarjeta, el código CVV se invalidará rápidamente.11
El sistema SWIFT anunció la introducción de un estándar de seguridad propio, además
de la implementación del sistema de supervisión de cumplimiento. Dicho conjunto de
requisitos incluye 16 controles, y será obligatorio para todos los clientes conectados a
SWIFT, incluidos los que están conectados a través de la oficina de servicios de
SWIFT. El nuevo estándar se publicará oficialmente y entrará en vigor al final de
marzo de 2017. A partir del segundo trimestre de 2017, todos los clientes de SWIFT
9 https://www.malwaretech.com/2016/09/dridex-returns-to-the-uk-with-updated-ttps.html 10 https://krebsonsecurity.com/2016/09/money-mule-gangs-turn-to-bitcoin-atms/ 11 http://www.thememo.com/2016/09/27/oberthur-technologies-societe-generale-groupe-bpce-bank-this-high-tech-card-is-being-rolled-out-by-french-banks-to-eliminate-fraud/?utm_content=bufferf73c4&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer
9 de 57
21/10/2016
www.elevenpaths.com
deberán aportar un informe anual sobre los resultados de la autoevaluación en cuanto
a la conformidad de sus sistemas con los nuevos requisitos. A partir de enero de 2018,
la información comunicada se dará a conocer a los homólogos del cliente y, en caso
de incumplimiento de los requisitos, a las autoridades reguladoras de la actividad del
cliente. Además, también a partir de enero de 2018, SWIFT se reserva el derecho a
solicitar ratificación adicional del nivel de cumplimiento de los requisitos, en forma
de resultados de una auditoría interna o externa. 12
Metodología
Este informe se centra en el período comprendido entre el 1 de julio de 2016 y el 1
de octubre de 2016, aunque se incluyen varias referencias a análisis anteriores. Se
recogen datos sobre ataques de phishing, malware financiero y amenazas de móvil,
incluyendo su distribución geográfica y el número de ataques.
Para generar estadísticas sobre malware bancario se han seleccionado una serie de
familias habituales en las estafas online, incluyendo algunos veredictos empleados
para el robo de credenciales. En el caso del malware dirigido a los dispositivos en
puntos de venta, además de identificar las principales familias, hemos incluido
algunos ejemplos concretos que no encajan en ninguna clasificación conocida del
malware de puntos de venta (POS).
Cabe señalar que nuestras estadísticas se basan en veredictos, que a veces pueden
depender del software antivirus que primero detecta el malware particular. Por
ejemplo, si un motor de análisis heurístico detecta una pieza de código malicioso con
el veredicto "Genérico", los detalles de la familia a la que pertenece pueden no verse
reflejados en las estadísticas.
12 https://www.swift.com/insights/press-releases/swift-introduces-mandatory-customer-security-requirements-and-an-associated-assurance-framework
10 de 57
21/10/2016
www.elevenpaths.com
Phishing
Resumen de los ataques de phishing
En el 3T de 2016 el número de ataques de phishing registrado por Kaspersky Lab
mediante el monitoreo de recursos se ha incrementado en un 1,8 %. En general, la
proporción de ataques a usuarios en todo el mundo durante el trimestre ascendió al
7,38 %. El gráfico de a continuación muestra la dinámica de la proporción de los
usuarios únicos de todo el mundo que fueron víctimas de ataques de phishing durante
el tercer trimestre. Como en los trimestres anteriores, el gráfico muestra
fluctuaciones que se corresponden con empresas de phishing individuales.
Imagen 1. Evolución del Phishing – 3T 2016
El siguiente mapa muestra los países con el mayor porcentaje de usuarios víctimas de
campañas de phishing (tasa de usuarios atacados con respecto al total de usuarios KSN
en el país con componentes anti-phishing habilitados).
11 de 57
21/10/2016
www.elevenpaths.com
Imagen 2. Propagación geográfica del phishing – 3T 2016
Los países con mayor porcentaje de víctimas de phishing son China (20,20 %, -0,10 %
respecto al 2T) y Brasil (18,23 %, -2,09 % respecto al 2T). Les seguían los residentes
de los Emiratos Árabes Unidos (11,07 %), Australia (10,48 %) y Arabia Saudí (10,13 %).
Cabe destacar que los Emiratos Árabes Unidos, en tercer lugar entre los países con el
porcentaje más elevado de usuarios atacados, no estaban incluidos entre los diez
primeros países durante el último trimestre. En el Reino Unido y España, las
proporciones de usuarios afectados por ataques de phishing son 6,42 % y 4,00 %,
respectivamente. El siguiente gráfico muestra los porcentajes de usuarios víctimas de
ataques de phishing en los países con el porcentaje más elevado de usuarios
atacados.
Imagen 3. Países con mayor porcentaje de víctimas - 3T 2016
12 de 57
21/10/2016
www.elevenpaths.com
Ataques contra el sector financiero
Estadísticas de ataques contra el sector financiero
El porcentaje de mensajes de phishing dirigidos al sector financiero (bancos, tiendas
online y sistemas de pago) ha crecido durante varios trimestres consecutivos. En el
periodo del que se informa, llegó al 50,96 % del número total de ataques de phishing
contra diversas organizaciones notificados, lo que representa un 4,73 % más con
respecto al segundo trimestre de 2016.
Imagen 4. Distribución de los objetivos del phishing – 3T 2016
En el ámbito financiero, observamos un incremento de la proporción de ataques
contra sistemas de e-commerce (+4,26 %) en comparación con el segundo trimestre
de 2016.
Imagen 5. Distribución de objetivos de phishing en el sector financiero - 3T 2016
13 de 57
21/10/2016
www.elevenpaths.com
Ataques contra el sector bancario
La situación descrita en informes anteriores, en los que una parte importante de los
ataques de phishing tiene como objetivo un grupo relativamente reducido de bancos,
sigue siendo significativa. El 63,81 % de todos los ataques de phishing (-1,51 % en
comparación con el segundo trimestre) comprende 19 bancos. El restante 36,19 % de
los ataques se dirigía bancos de otras partes del mundo, cuyas estadísticas se
actualizan por Kaspersky Lab. El gráfico siguiente muestra la distribución del número
de ataques de phishing entre los bancos que con más frecuencia son víctimas.
Imagen 6. Propagación de objetivos de phishing –entidades bancarias afectadas–
(último año)
14 de 57
21/10/2016
www.elevenpaths.com
El diagrama de a continuación muestra los países donde se registran los bancos más a
menudo atacados (los otros bancos no se incluyen). Como en los periodos informados
anteriores, los bancos brasileños son los más atacados: el porcentaje de ataques a los
bancos del país pasó del 26,1 % al 31,61 %. Los bancos estadounidenses ocupaban el
segundo lugar, pero el porcentaje de ataques contra estos disminuyó en el 3,82 %, y
ahora está situado en el 13,12 %. Por primera vez, los Países Bajos (2,32%) y Suecia
(1,56%) estaban incluidos en la lista, en el séptimo y noveno lugar respectivamente.
El porcentaje de ataques a bancos de España y del Reino Unido disminuyó, aunque
ambos países siguen ocupando los lugares tercero y cuarto.
Imagen 7. Distribución de bancos víctima de phishing por país de origen – 3T 2016
En las ilustraciones siguientes vemos ejemplos de sitios web de phishing que tienen
como objetivo los clientes de Sberbank de Rusia, Alfa Bank, UniCredit, Wells Fargo,
Capital One, Itau Unibanco, además de ANZ Bank utilizando el dominio del Gobierno
de Brasil.
15 de 57
21/10/2016
www.elevenpaths.com
Imagen 8. Phishing contra el sitio web de Sberbank de Rusia
16 de 57
21/10/2016
www.elevenpaths.com
Imagen 9. Página de web de phishing dirigida contra los clientes de Alfa Bank
Imagen 10. Página web de phishing que imita el sitio web del banco UniCredit
utilizando un dominio perteneciente a Google Inc
17 de 57
21/10/2016
www.elevenpaths.com
Imagen 11. Página web de phishing que imita el sitio web de Wells Fargo
Imagen 12. Página web de phishing que imita el sitio web de Capital One
18 de 57
21/10/2016
www.elevenpaths.com
Imagen 13. Página web de phishing que imita el sitio web de Itau Unibanco
Imagen 14. Sitio web de phishing dirigido a atacar a los clientes de ANZ, utilizando el
dominio del Gobierno de Brasil
19 de 57
21/10/2016
www.elevenpaths.com
Ataques contra sistemas de pago
Al igual que en los trimestres anteriores de 2016, los sistemas de pago internacional
de Visa, PayPal, American Express y Mastercard siguen siendo los objetivos principales
de los ataques en el sector del pago en línea. Dichos sistemas de pago representan
más del 94 % de todos los ataques detectados. En la calificación de los sistemas de
pago atacados, Qiwi, que en el trimestre anterior ocupaban el puesto número 10, han
pasado ahora a ocupar el número 8, representando el 0,44 % de todos los ataques
(+0,36% en comparación con el segundo trimestre).
Imagen 15. Distribución de objetivos de phishing en el sector de los pagos online – 3T
2016
Concretamente, nuestros expertos han identificado recursos phishing dirigidos a los
usuarios de Qiwi, American Express, PayPal y Skrill.
20 de 57
21/10/2016
www.elevenpaths.com
Imagen 16. Un sitio web de phishing dirigido a los usuarios de Qiwi
Imagen 17. Un sitio web de phishing dirigido a los usuarios de American Express
21 de 57
21/10/2016
www.elevenpaths.com
Imagen 18. Un sitio web de phishing dirigido a los usuarios de PayPal, ejemplo #1
Imagen 19. Un sitio web de phishing dirigido a los usuarios de PayPal, ejemplo #2
22 de 57
21/10/2016
www.elevenpaths.com
Imagen 20. Un sitio web de phishing dirigido a los usuarios de Skrill
Ataques contra el sector del e-commerce
Apple Store, en el trimestre anterior víctima de la mayoría de los ataques, en este
trimestre se situó en segundo lugar. Recibió el 14,63 % de todos los ataques (-13,41%
en comparación con el trimestre anterior). Al mismo tiempo hemos observado un
aumento significativo del porcentaje de ataques de phishing a Amazon.com (+29,82 %
respecto al 2T). El mayor interés por Amazon.com puede atribuirse a la gran venta de
Prime Day realizada el 12 de julio. La imagen global de los ataques de phishing en el
área del e-commerce se muestra en el gráfico siguiente.
23 de 57
21/10/2016
www.elevenpaths.com
Imagen 21. Distribución de objetivos de phishing en el sector del e-commerce – 3T
2016
En la siguiente imagen hay un ejemplo de una web de phishing dirigida contra los
usuarios de Lojas Americanas.
Imagen 22. Página web de phishing que imita el sitio web de Lojas Americanas
24 de 57
21/10/2016
www.elevenpaths.com
Tendencias en la actividad de phishing
El número de artimañas de ingeniería social utilizados por los artífices de la estafa
crece día a día. El crecimiento más activo en el número de ataques ejecutados
mediante el uso de sistemas de ingeniería social tuvo lugar en septiembre.
El tema de las elecciones presidenciales en los Estados Unidos puede aprovecharse
para ataques de phishing. Una posible víctima recibe una llamada. El artífice de la
estafa le solicita que responda a unas cuantas preguntas para fines de investigación
política. Se le promete a la persona que atiende a la llamada una tarjeta regalo u
otro tipo de retribución a cambio. Tras responder todas las preguntas, el llamante le
pide que le proporcione el número de tarjeta de crédito, ya que, presuntamente,
será necesario para pagar la entrega del regalo o el impuesto. El número de tarjeta y
los datos personales que se le proporcionen se utilizarán más tarde por los
scammers13.
En el ejemplo anterior se muestra un ataque de phishing activo, con contacto directo,
en el que el scammer interactúa directamente con la víctima. Este tipo de phishing se
ha popularizado, ya que los scammers se muestran precavidos en cuanto al uso del
malware; y es habitual en muchos recursos, principalmente en el caso de los
financieros. Algunos de los atacantes que renunciaron al malware empezaron
utilizando sitios web fraudulentos, pero también pasaron al phishing activo mediante
contacto directo.
Si bien las redes neuronales y el aprendizaje automático no han adquirido todavía
gran popularidad en el mundo de la ciberdelincuencia, la situación puede cambiar
pronto. Para probar esta teoría, los expertos de la empresa ZeroFox han creado la
herramienta SNAP_R, a la que formaron específicamente para los ataques de phishing
dirigidos14. SNAP_R estudia minuciosamente a la víctima y su entorno; a continuación
crea un mensaje que pueda captar la atención del objetivo. Los investigadores
llevaron a cabo un experimento para comprobar la eficiencia de la herramienta. El
phishing dirigido básico funciona entre un 5 y un 10 % de los casos. El aprendizaje
automático permitía a SNAP_R crear mensajes de modo automático, consiguiendo la
respuesta de la víctima en casi el 40 % de los casos. Loes especialistas de ZeroFox han
publicado la versión más reciente de SNAP_R, con acceso abierto a la herramienta, a
fin de ayudar a los profesionales del sector de la seguridad en la información a
13 http://www.bbb.org/council/news-events/bbb-scam-alerts/2016/09/scammers-get-political-with-survey-phishing-con/ 14 https://www.blackhat.com/docs/us-16/materials/us-16-Seymour-Tully-Weaponizing-Data-Science-For-Social-Engineering-Automated-E2E-Spear-Phishing-On-Twitter-wp.pdf
25 de 57
21/10/2016
www.elevenpaths.com
examinar los ataques de esta índole y desarrollar métodos de protección efectiva
contra los mismos.
Imagen 23. Ejemplo de tuit creado por SNAP_R
El modelo de negocio «Delito como servicio» cada vez es más popular. Las estafas por
phishing como tipo de servicio se presentan en el sitio web ruso «Fake-Game».
Ofrece servicios de phishing a cualquier usuario registrado en el sitio web. Se pide a
los scammers que completen el proceso de registro, tras lo cual pueden seleccionar
qué credenciales quieren robar. Si, por ejemplo, se selecciona Gmail, el sitio web
crea un enlace gmail.disland.xyz link, al final del cual se añade un ID único del
«suscriptor», para que este pueda a continuación realizar seguimiento de las
credenciales robadas. Todo lo que el atacante tiene que hacer es enviar un enlace
fraudulento a la víctima. El enlace reenviará a la víctima a una página web
fraudulenta, que será una imitación exacta de cierto tipo de servicio. El sitio web
suele ofrecer servicios de modo gratuito. Los operadores de Fake-Game monetizan su
negocio ofreciendo cuentas VIP de pago con funciones avanzadas. Fake-Game cuenta
con 61.269 suscriptores como mínimo, y atrae a nuevos usuarios con programas de
asociado y descuentos propios.
Imagen 24. Campo utilizado para seleccionar el tipo de credenciales
26 de 57
21/10/2016
www.elevenpaths.com
Malware
Estadísticas globales
La siguiente tabla muestra la distribución de malware bancario entre los usuarios
globales de KSN durante el 3T de 2016 (las estadísticas incluyen malware para puntos
de venta, y no incluyen el malware para plataformas móviles).
El tercer trimestre de 2016 estuvo caracterizado por un incremento en el porcentaje
de usuarios de KSN atacados por troyanos bancarios de la familia Zeus (del 0,481 % al
0,514 %), de la familia Nymaim (del 0,058 % al 0,120 % de los usuarios de KSN), y por
troyanos de la familia Gozi (del 0,096 % al 0,129 %).
Imagen 25. Distribución de malware bancario por familias a nivel mundial – 3T 2016 (%
de usuarios de KSN)
27 de 57
21/10/2016
www.elevenpaths.com
Imagen 26. Propagación de malware bancario por familias a nivel mundial – 3T 2016
Desde el punto de vista de la prevalencia relativa del malware bancario, la
proporción de Zeus no ha variado (16 %), mientras que el porcentaje de Qhost ha
incrementado del 5 % al 7 %15. En la tabla siguiente se muestra un resumen de los
datos estadísticos.
Tabla I. Propagación mundial de malware financiero – 3T 2016
Familia % de usuarios de KSN
| 3T 2016
Diferencia en comparación con 2T
2016 Dynamics (%)
Otros troyanos bancarios 0,945 % -0,159 -14,4% Familia Zeus 0,514% +0,033 +6,9% Qhost 0,143% -0,022 -13,3% Malware dirigido a los terminales POS 0,138% +0,008 +6,4% Gozi 0,129% +0,033 +34,4% Nymaim 0,120% +0,062 +106,2% Shiotob 0,076% +0,010 +14,5% ChePro 0,059% +0,001 +1,1% BestaFera 0,048% -0,015 -23,6%
15 Los porcentajes de familias de malware proporcionados se refieren al número de usuarios de KSN atacados de cada familia, sin tener en cuenta el solapamiento de usuarios. Es decir, un usuario atacado por varios tipos de malware en el 3T 2016 se contabiliza varias veces, una por cada familia de malware que ataca a este usuario.
28 de 57
21/10/2016
www.elevenpaths.com
Dentro del grupo de pequeñas familias de malware bancario, la más activa es Banbra.
Sin embargo, en el tercer trimestre el porcentaje de usuarios atacados por este
troyano descendió, de modo que actualmente abarca el 0,040 % de todos los usuarios
de KSN (en el trimestre anterior, el porcentaje era del 0,052 %).
Imagen 27. Propagación de malware financiero - Pequeñas familias bancarias – 3T
2016 (% de todos los usuarios de KSN)
Las pequeñas familias de bankers se distribuyen dentro del grupo de la siguiente
manera.
29 de 57
21/10/2016
www.elevenpaths.com
Imagen 28. Propagación de malware financiero - Pequeñas familias bancarias – 3T
2016
En la siguiente tabla hay más información disponible sobre la distribución del
malware bancario menos extendido en todo el mundo durante el período analizado.
Tabla II. Propagación global de pequeñas familias bancarias - 3T 2016
Familia % de usuarios de KSN
| 3T 2016
Diferencia en comparación con 2T
2016 Dynamics (%)
Banbra 0,040% -0,012 -22,7% Neurevt 0,026% +0,006 +30,7% Shiz 0,022% +0,003 +14,3% Shade 0,020% +0,006 +38,4% Tinba 0,016% -0,005 -22,6% Gbot 0,012% +0,001 +13,1% Qbot 0,008% -0,002 -19,4% Carberp 0,006% -0,001 -15,4% Shifu 0,006% -0,008 -56,3% Sinowal 0,005% -0,001 -20,6% Cridex 0,005% +0,001 +23,9% Emotet 0,005% -0,002 -27,8%
En el mapa siguiente se muestra el porcentaje de usuarios KSN atacados por troyanos
bancarios, por países.
30 de 57
21/10/2016
www.elevenpaths.com
Imagen 29. Porcentaje de usuarios atacados dentro del país (troyanos bancarios) – 3T
2016
La tabla siguiente presenta el porcentaje de usuarios atacados por troyanos bancarios
en relación con el número total de usuarios de KSN en los países respectivos (solo
para los países en los que están registrados más de 10 mil usuarios únicos). El país que
encabeza la lista en el 3T de 2016 es Rusia. En España, el 0,611 % de los usuarios
fueron atacados por troyanos bancarios, ocupando el puesto 98 en la clasificación
mundial. El Reino Unido ocupa el puesto 140 (ha sufrido ataques el 0,272 % de los
usuarios).
Tabla III. Países atacados por troyanos bancarios – 3T 2016
Posición País Porcentaje de
usuarios atacados
1 Rusia
4,201%
2 Sri Lanka
3,479%
3 Brasil
2,859%
4 Turquía
2,767%
5 Camboya
2,590%
31 de 57
21/10/2016
www.elevenpaths.com
Posición País Porcentaje de
usuarios atacados
6 Tayikistán
2,151%
7 Etiopía
2,082%
8 Kirguizistán
2,012%
9 Ucrania
1,904%
10 República Bolivariana de Venezuela
1,901%
… … …
98 España
0,611%
… … …
140 Reino Unido
0,272%
Estadísticas para España y Reino Unido
El siguiente gráfico muestra las estadísticas sobre la distribución del malware
bancario en España y Reino Unido (porcentaje de usuarios de KSN atacados).
Imagen 30. Dinámica de la distribución del malware bancario en España (% de los
usuarios de KSN)
32 de 57
21/10/2016
www.elevenpaths.com
Imagen 31. Dinámica de la distribución del malware bancario en el Reino Unido (% de
los usuarios de KSN)
En España, los troyanos Gozi y Shiotob están más presentes que en el resto del
mundo. Sin embargo, en España y en el Reino Unido, la actividad de otras familias y
la mayoría de los troyanos bancarios más comunes es reducida, respecto a las
estadísticas mundiales.
33 de 57
21/10/2016
www.elevenpaths.com
Imagen 32. Propagación de malware financiero en España – 3T 2016
Imagen 33. Distribución del malware financiero en el Reino Unido– 3T 2016
34 de 57
21/10/2016
www.elevenpaths.com
Imagen 34. Distribución del malware financiero en España y en el mundo – 3T 2016 (%
de usuarios de KSN)
Imagen 35. Distribución del malware financiero en el Reino Unido y en el mundo – 3T
2016 (% de usuarios de KSN)
35 de 57
21/10/2016
www.elevenpaths.com
Las estadísticas resultantes se muestran en la siguiente tabla.
Tabla IV. Distribución del malware financiero en España – 3T 2016
Familia % de usuarios de KSN
| 3T 2016
Diferencia en comparación con 2T
2016 en %
Diferencia en comparación con los datos globales de 3T
en % Otros banqueros 0,495% -13,0% -47,6% Gozi 0,215% -26,2% +65,9% Familia Zeus 0,148% -20,1% -71,3%
Shiotob 0,080% +4603,1% +4,5%
Qhost 0,043% -16,4% -70,2%
Familias relacionadas con POS 0,030% -17,0% -78,6% ChePro 0,023% -57,1% -61,0%
BestaFera 0,006% -51,1% -86,9%
Nymaim 0,004% nuevo -96,3%
Dyre 0,002% +10,5% +33,5%
Tabla V. Distribución del malware financiero en el Reino Unido – 3T 2016
Familia % de todos los
usuarios de KSN | 3T 2016
Diferencia en comparación con 2T
2016 en %
Diferencia en comparación con los datos globales de 3T
en % Otros banqueros 0,212% -1,6% -77,6%
Gozi 0,030% -21,6% -76,8%
Familia Zeus 0,223% +6,4% -56,6%
Shiotob 0,003% +1139,9% -95,8%
Qhost 0,013% 1,3% -90,6%
Familias relacionadas con POS 0,021% -19,9% -84,4%
ChePro 0,005% -4,7% -91,9%
BestaFera 0,005% -41,0% -89,3%
Nymaim 0,027% nuevo -77,7%
Dyre 0,002% 7,3% -3,5%
Amenazas destacables
Este apartado analiza algunas de las familias bancarias que han tenido más impacto o
que han evolucionado significativamente durante este trimestre.
Gozi
El malware de la familia Gozi es uno de los troyanos bancarios que hace más tiempo
que funcionan. El malware de esta familia se caracteriza por las siguientes
funcionalidades extensivas: robo de los datos introducidos en diversos formularios de
36 de 57
21/10/2016
www.elevenpaths.com
pantalla; registro de pulsaciones en el teclado; incrustación de contenidos
extranjeros en las páginas web visualizadas; recepción de acceso remoto al escritorio
del dispositivo infectado; lanzamiento del servidor proxy SOCKS a través de la orden
emitida por los scammers; descarga e instalación de plug-ins. En 2007 se registró por
primera vez un representante de esta familia. Los atacantes dieron a conocer el
código fuente del troyano en 2010. En 2013, Gozi pudo entrar en el sector MBR del
disco duro y, durante el año pasado, el troyano se perfeccionó con características de
inyección mejoradas. En julio de 2016, apareció una nueva versión del software
malicioso Dreambot. Se comunica con el servidor de comando ubicado en la zona
.onion (Tor).
El porcentaje de usuarios de KSN atacados por todas las variedades conocidas de la
familia Gozi aumentó un 34,4 % en comparación con el porcentaje del 2T 2016.
Por lo que se refiere a la prevalencia de este malware en diversos países, vemos en el
mapa siguiente el porcentaje por países de usuarios de KSN atacados, en relación con
el número total de usuarios de KSN existente en dichos países (porcentaje).
Imagen 36. Porcentaje de usuarios atacados en cada país – 3T 2016
Los principales países más atacados por Gozi, con al menos 10.000 usuarios en la
plataforma KSN, se muestran en la siguiente tabla. Entre estos países, España ocupa
37 de 57
21/10/2016
www.elevenpaths.com
el puesto 25, y el Reino Unido, el 134.
Tabla VI. Países atacados por Trojan-Banker.Win32.Gozi – 3T 2016
Posición País Porcentaje de
usuarios atacados
1 Argentina 1,052%
2 Uruguay 0,470%
3 Turquía 0,428%
4 Honduras 0,394%
5 Guatemala 0,375%
6 México 0,370%
7 Rumanía 0,366%
8 Portugal 0,361%
9 Nicaragua 0,350%
10 Brasil 0,347%
… … …
116 España
0,215%
… … …
121 Reino Unido
0,030%
Nymaim
En el tercer trimestre, el porcentaje de usuarios de KSN atacados por todas las
variedades conocidas de la familia Nymain casi se ha duplicado (de 0,058 % a 0,120
%), y la incidencia geográfica de los ataques cometidos por este malware se ha
expandido.
Como en el trimestre anterior, Alemania sigue siendo el país con la tasa más elevada
de usuarios de KSN atacados por Nymaim; el porcentaje de usuarios atacados
ascendía al 0,922 %. Le siguen Austria y Suiza, con porcentajes muy inferiores de
usuarios atacados (0,057 % y 0,037 %, respectivamente).
38 de 57
21/10/2016
www.elevenpaths.com
Imagen 37. Porcentaje de usuarios atacados en cada país (Trojan.Win32.Nymaim) – 3T
2016
Entre estos países, España ocupa el puesto 33, y el Reino Unido, el 34.
Tabla VII. Países atacados por Trojan.Win32.Nymaim – 3T 2016
Posición País Porcentaje de
usuarios atacados
1 Alemania 0,922%
2 Austria 0,057%
3 Suiza 0,037%
4 Hungría 0,035%
5 Croacia 0,033%
6 Montenegro 0,030%
7 Noruega 0,023%
8 Dinamarca 0,021%
9 Finlandia 0,021%
39 de 57
21/10/2016
www.elevenpaths.com
Posición País Porcentaje de
usuarios atacados
10 República de Macedonia 0,021%
… … …
33 España 0,004%
34 Reino Unido 0,004%
Neurevt
El malware de la familia Neurevt (veredicto - Trojan.Win32.Neurevt) consiste en
robots multifuncionales. Permite a los atacantes obtener cookies, contraseñas
almacenadas en navegadores; datos introducidos al rellenar formularios. Además,
Neurevt se utiliza por dichos atacantes para descargar otros programas y ejecutarlos
en el ordenador en compromiso. Mediante el uso de malware de esta familia, los
atacantes pueden agrupar los ordenadores infectados, y sí crear un botnet.
Durante el tercer trimestre, el mayor porcentaje víctimas de Neurevt se registró en
Turquía, el 0,106 %. Le seguían Marruecos y Líbano (0,081 % y 0,077 %,
respectivamente).
Imagen 38. Porcentaje de usuarios atacados en cada país (Trojan.Win32.Neurevt) – 3T
2016
40 de 57
21/10/2016
www.elevenpaths.com
Entre los países con 10.000 usuarios como mínimo en la plataforma KSN, España
ocupa la posición 76, y el Reino Unido se sitúa en el puesto 94.
Tabla VIII. Países atacados por Trojan.Win32.Neurevt – 3T 2016
Posición País Porcentaje de
usuarios atacados
1 Turquía
0,106%
2 Marruecos
0,081%
3 Líbano
0,077%
4 Kuwait
0,063%
5 República Árabe de Siria
0,056%
6 Taiwán
0,053%
7 Hong Kong
0,053%
8 Palestina
0,050%
9 Serbia
0,047%
10 Emiratos Árabes Unidos
0,044%
… … …
90 España 0,010%
… … …
124 Reino Unido 0,007%
Shade
Una pequeña familia Shade (veredicto - Trojan-Ransom.Win32.Shade) son troyanos
codificadores. Existen dos formas básicas conocidas por las que el malware se
transfiere al ordenador de una víctima: correo spam y uso de vulnerabilidades del
software. El Trojan-Ransom.Win32.Shade, una vez que ha penetrado en el sistema, se
conecta con el servidor de comandos ubicado en la red Tor, notifica que el dispositivo
está en compromiso y pide la clave pública RSA-3072, la cual utiliza para encriptar
archivos. Si no se pudo establecer la conexión, el troyano selecciona una de las 100
claves públicas contenidas en su cuerpo, las cuales se han creado precisamente para
estos casos. El malware encripta los archivos y a continuación solicita que ransom los
desencripte. Además, tras el encriptado de los archivos, el troyano Shade ejecuta un
41 de 57
21/10/2016
www.elevenpaths.com
bucle infinito, cuando solicita una lista de direcciones de malware al servidor de
comandos. A continuación descarga e instala este malware en el sistema. Se trata de
una funcionalidad habitual para robots de carga (loader bots). En 2016 se identificó
una nueva versión de troyanos. Esta comprueba si el ordenador participa en un
proceso contable y, de ser así, instala en él herramientas de gestión a distancia en
lugar de ejecutar el encriptado de archivos estándar.
El porcentaje de usuarios de KSN atacado por todas las variedades conocidas de la
familia Shade aumentó un 0,006 % en comparación con el porcentaje del 2T 2016.
Imagen 39. Porcentaje de usuarios atacados en cada país (Trojan.Win32.Shade) – 3T
2016
Entre estos países, España ocupa el puesto 76, y el Reino Unido, el 109.
Tabla IX. Países con mayor prevalencia de Trojan-Ransom.Win32.Shade - T3 2016
Posición País Porcentaje de
usuarios atacados
1 Italia 0,103%
2 Rusia 0,065%
3 Túnez 0,053%
42 de 57
21/10/2016
www.elevenpaths.com
Posición País Porcentaje de
usuarios atacados
4 Albania 0,020%
5 Croacia 0,019%
6 Yemen 0,016%
7 Bulgaria 0,016%
8 Kazajistán 0,016%
9 Serbia 0,016%
10 Líbano 0,015%
… … …
76 España 0,003%
… … …
109 Reino Unido 0,001%
Archivos de configuración de los troyanos bancarios
Este apartado analiza los archivos de configuración utilizados por troyanos bancarios.
Estos archivos de configuración contienen una lista de objetivos y detalles sobre cómo
debe interactuar el malware con ellos. Generalmente, estos virus redireccionan a sus
víctimas a otras webs de phishing o maliciosas examinando uno de los objetivos de la
lista, o inyectan un código en el navegador para solicitar datos adicionales. Las
inyecciones de códigos más avanzadas intentan realizar operaciones maliciosas de
forma automática (AMT) sin el conocimiento de la víctima.
Los datos analizados incluyen configuraciones de las principales familias de troyanos
en el período comprendido entre el 1 de julio de 2016 y el 1 de octubre de 2016. Hay
algunos puntos acerca del análisis de la configuración del troyano que cabe señalar:
Un archivo de configuración puede utilizarse en diversas ocasiones.
Cada archivo de configuración incluye información sobre docenas de objetivos
y sobre el comportamiento de cada uno de ellos.
Estos archivos de configuración pueden cambiar dependiendo de la ubicación
de la víctima.
En el gráfico siguiente se muestra la estadística de objetivos de ataque (nombre de
dominio) hallados en los archivos de configuración de malware, para diversos países.
Cabe mencionar que Irlanda, Argentina y los Países Bajos entran en la estadística por
43 de 57
21/10/2016
www.elevenpaths.com
primera vez. No se hallaron objetivos de ataque con ubicación en Dinamarca y las
Filipinas.
Imagen 40. Distribución de entidades en los archivos de configuración por país de
origen – 3T 2016
La imagen siguiente refleja la dinámica de cambios en el número de objetos de
ataque por países, en comparación con el trimestre anterior de 2016 (porcentaje).
Debe mencionarse que el número de objetos atacados ubicados en Canadá se ha
duplicado.
Imagen 41. Dinámica del número de entidades en los archivos de configuración por
país de origen – 3T 2016
44 de 57
21/10/2016
www.elevenpaths.com
Hay que tener en cuenta que la misma referencia puede aparecer varias veces. Las
principales características de estos archivos de configuración son:
Agrupamiento de objetivos. Muchos objetos de ataque incluidos en los archivos
de configuración siempre se agrupan con otros objetos.
Uso repetido. Los ciberdelincuentes, por norma general, mantienen la lista
completa de objetos de ataque en los mismos archivos de configuración que
puedan reutilizarse. Coherencia en la selección de los objetos de ataque.
Fueron muy pocos los cambios identificados en la composición de los objetivos
atacados incluidos en los archivos de configuración. Incluso cuando ciertos
objetivos ya no se consideran objetivos de ataque significativos, los atacantes
no obtienen ningún beneficio de retirar los datos antiguos, con la excepción de
una ligera reducción del tamaño del archivo de configuración. Ello puede
implicar que ciertos grupos de delincuentes que controlan el malware troyano
trabajen con los recursos disponibles «tal cual» y se centren poco en maximizar
los beneficios de sus redes de robots.
Malware en cajeros automáticos
En junio de 2016, Kaspersky Lab recibió un mensaje procedente del Banco de Rusia en
el que se comunicaba que la entidad había sido víctima de un ataque dirigido. Los
atacantes pudieron controlar los cajeros automáticos y cargar en ellos malware. Una
vez obtenido el dinero por los scammers, el malware se eliminó. Los especialistas del
banco no pudieron restaurar los archivos de programa maliciosos debido a la
fragmentación del disco duro subsiguiente al ataque. El sistema del banco se hizo
vulnerable al código malicioso debido a la alteración de la infraestructura bancaria.
De la investigación llevada a cabo se desprendía que se habían robado datos
utilizando una nueva familia ATMitch de malware para cajeros automáticos. Todas las
máquinas de cajero automático que utilicen la biblioteca XFS pueden verse afectadas
por este malware. Desafortunadamente, se desconocen los datos de la interrupción
de la infraestructura bancaria, por lo que no es posible todavía clasificar ATMitch
como ningún grupo determinado de malware.
Entre el 1 y el 8 de agosto, los hackers atacaron 21 cajeros automáticos
pertenecientes a la Caja de Ahorros del Gobierno tailandés (GSB), y robaron más de
12 millones de baht (aproximadamente 346.000 $). Los representantes de la entidad
vieron que todos los cajeros atacados habían sido fabricados por NCR, y es probable
que los atacantes hubiesen utilizado un gusano o malware que pusiese en compromiso
los cajeros de esta empresa16 . NCR ha publicado un boletín con cantidades hash del
malware detectado, además de recomendaciones para la identificación y eliminación
16 https://xakep.ru/2016/08/25/thai-bank-heist/
45 de 57
21/10/2016
www.elevenpaths.com
de las versiones conocidas de este programa17. Los investigadores de FireEye creen
que los cajeros automáticos se infectaron con el nuevo malware Ripper. Este utiliza la
misma tecnología para recibir fondos que las familias Tyupkin, SUCEFUL y
GreenDispenser. De modo similar a GreenDispense, Ripper puede controlar el lector
de tarjeta, y también utiliza la herramienta «sdelete» para no dejar ningún rastro. El
nuevo troyano es similar a Tyupkin en cuanto se refiere a capacidad para desactivar
la interfaz de red local. Además, fuerza al cajero a entregar billetes de 40, que es la
cantidad máxima autorizada. Ripper se distingue por la interacción con un cajero
automático mediante la introducción de una tarjeta creada especialmente con el chip
EMV, que se utiliza como mecanismo de autenticación. Si bien se trata de una
tecnología ya utilizada por la familia Skimmer, la incidencia es poco habitual18.
Malware de punto de venta
En este apartado se incluyen datos estadísticos mundiales sobre la prevalencia del
malware dirigido a los terminales POS. El mapa siguiente presenta el porcentaje de
dispositivos conectados a la red KSN, con respecto a los cuales se registraron en el
tercer trimestre de 2016 los intentos de infección por un tipo específico de malware.
Imagen 42. Porcentaje de usuarios atacados en cada país (malware de POS) – 3T 2016
17 https://www.ncr.com/sites/default/files/ncr_security_alert_-_2016-12_network_malware_attack_in_thailand_-_sdms_160829_final_for_review.pdf 18 https://www.fireeye.com/blog/threat-research/2016/08/ripper_atm_malwarea.html
46 de 57
21/10/2016
www.elevenpaths.com
Los países con mayor frecuencia de ataques (entre los países en los que están
registrados 10.000 usuarios de KSN como mínimo) y los indicadores pertinentes se
muestran a continuación. En el tercer trimestre, Sri Lanka y Etiopía encabezaban la
lista. En España, el 0,027 % de los usuarios de KSN han sido atacados por malware
de POS, y ocupa el puesto 123 en la clasificación mundial. El Reino Unido ocupa el
puesto 137, con un 0,019 % de usuarios atacados.
Tabla X. Países atacados por malware de POS – 3T 2016
Posición País Porcentaje de
usuarios atacados
1 Sri Lanka 2,713%
2 Etiopía 1,713%
3 Camboya 1,281%
4 Angola 0,389%
5 República Islámica de Irán 0,295%
6 Jordania 0,259%
7 Vietnam 0,185%
8 Taiwán 0,182%
9 Iraq 0,182%
10 Maldivas 0,179%
… … …
125 España
0,027%
… … …
133 Reino Unido
0,019%
A principios de agosto, la empresa PandaLabs publicó un artículo sobre el nuevo
malware PosCardStealer19 . El programa LogMeIn, a menudo utilizado para el acceso
remoto al sistema, estaba instalado en todos los sistemas atacados. En uno de los
incidentes, PosCardStealer se utilizó para conectar con LogMeIN y descargar otro
malware para terminales de POS, Multigrain. El malware Multigrain para terminales
POS se especializa en el robo de información de las tarjetas bancarias mientras utiliza
19 http://www.pandasecurity.com/mediacenter/malware/poscardstealer-malware-pos/
47 de 57
21/10/2016
www.elevenpaths.com
la tecnología RAM Scraping (comunica directamente con la RAM de ciertos procesos
con el fin de obtener información sobre las tarjetas). Ha devenido un método muy
popular, puesto que la legislación internacional prohíbe almacenar esta información
en un disco (ni tan solo provisionalmente).
A finales de septiembre, la empresa Trend Micro publicó el artículo sobre el malware
FighterPOS20 que actúa como un gusano que se expande por toda la red de terminales
POS. La gran diferencia entre este malware y el resto de malware para terminales
POS reside en que los datos robados no se registran en el disco ni se almacenan en la
memoria RAM, sino que se envían inmediatamente a los scammers una vez pulsada la
tecla Intro en los terminales afectados. La transferencia puede llevarse a cabo de
modo que sea posible perderla en el tráfico principal de un navegador web de la red
de la víctima, y así se invisible para todas las consultas, excepto las consultas
específicas. Otra característica de FighterPOS es la verificación de los códigos de
servicio que determinan cómo y cuándo puede utilizarse la tarjeta. El malware
solicita estos datos para asegurarse de que la tarjeta no necesite el uso de un chip
EMV (de haberlo) y de que la tarjeta sea apta para el uso individual.
Los especialistas de FireEye publicaron una relación detallada de las actividades del
grupo de hackers Vendetta Brothers21 formado por dos atacantes, conocidos con los
alias Insider y p0s3id0n. Se dirigen contra los sistemas de POS y los cajeros
automáticos de Finlandia, Suecia, Noruega, Dinamarca y Estados Unidos. Los
scammers externalizan algunas de las tareas, para liberarse de las aburridas y con
poco margen de rentabilidad. La externalización de algunos aspectos de las
operaciones puede interferir en la investigación. La separación entre líderes y
ejecutores mientras otros buscan los sistemas que quieren poner en riesgo, además
de la compra de servicios de spam para la distribución de malware, probablemente
resultará en que las autoridades atrapen a los colaboradores de Vendetta Brothers en
lugar de atrapar a estos. A principios de 2016, la tienda vendió datos de 9.400
tarjetas de pago correspondientes a más de 639 bancos de 40 países de todo el
mundo.
Amenazas de banca móvil
Como anteriormente, el SO de Android sigue siendo la plataforma más atacada del
tercer trimestre de 2016. Fue el objetivo en el 99,68 % de los ataques detectados
contra plataformas móviles.
En el 3T de 2016, los expertos de Kaspersky Lab han descubierto lo siguiente:
20 http://blog.trendmicro.com/pos-malware-old-dog-learns-new-tricks/ 21 https://www.fireeye.com/content/dam/fireeye-www/current-threats/pdfs/rpt-vendetta-bros.pdf
48 de 57
21/10/2016
www.elevenpaths.com
Se han detectado 1.520.931 paquetes de instalación maliciosos.
Se detectaron 30.167 nuevas muestras de malware dirigido a banca móvil
para el SO de Android.
Imagen 43. Estadísticas sobre el número de códigos maliciosos conocido
La imagen siguiente muestra el porcentaje de usuarios de las soluciones de Kaspersky
Lab para dispositivos móviles con respecto a los cuales se registraron intentos de
infección de malware de banca móvil, en diferentes países del mundo.
Imagen 44. Distribución geográfica de usuarios atacados según país – 3T 2016
49 de 57
21/10/2016
www.elevenpaths.com
Como en el trimestre anterior, Rusia encabeza la lista con un 3,12 % de víctimas, en
comparación con todos los usuarios de las soluciones móviles de Kaspersky Lab
registrados en el país. Le siguen Australia (1,42 %) y Ucrania (0,95 %). Los países más
atacados por el malware de banca móvil, junto con los indicadores pertinentes, se
muestran a continuación.
Tabla XI. Usuarios de dispositivos móviles atacados por malware móvil – 3T 2016
Posición País Usuarios de soluciones
KL para dispositivos móviles atacados
1 Rusia 3,12%
2 Australia 1,42%
3 Ucrania 0,96%
4 Uzbekistán 0,61%
5 Tayikistán 0,56%
6 Kazajistán 0,51%
7 China 0,49%
8 Letonia 0,47%
9 República de Corea 0,41%
10 Bielorrusia 0,38%
… … …
25 Reino Unido 0,146%
… … …
38 España 0,090%
En el tercer trimestre, Trojan-Banker.AndroidOS.Svpeng.q pasó a ser el troyano más
activo. Se trata de un malware que se carga como última aplicación update.apk de
navegador en el dispositivo de la víctima, a través de Google AdSense, utilizado por
muchos sitios web para mostrar publicidad dirigida a los usuarios. Los propietarios del
sitio web introducen tales anuncios porque reciben un beneficio cada vez que un
usuario hace clic en los mismos. Cualquiera puede registrar un anuncio en Google
AdSense, siempre que pague un precio determinado. El troyano se carga
inmediatamente después de que el usuario visita una página con el anuncio.
50 de 57
21/10/2016
www.elevenpaths.com
Imagen 45. Ejemplo de cómo se carga el malware cuando un usuario visita un sitio
web de noticias que utiliza AdSense
Instalado y lanzado, los troyanos de la familia Svpeng se ocultan de la lista de
aplicaciones instaladas, y solicitan los derechos de administrador del sistema al
usuario (para que sea más difícil eliminarlos mediante el software antivirus o por
acción del usuario). Svpeng puede robar información sobre tarjetas bancarias del
usuario mediante ventanas de phishing, además de interceptar, borrar y enviar
mensajes de texto. Por otra parte, Svpeng recopila información del teléfono del
usuario: historial de llamadas, mensajes de texto y multimedia y favoritos del
navegador.
51 de 57
21/10/2016
www.elevenpaths.com
Actividad de ciberdelincuencia
En relación con el tercer trimestre de 2016, cabe destacar las siguientes tendencias
en actividad de ciberdelincuencia:
El número de scammers dedicados al ámbito del fraude financiero ha aumentado hasta aproximadamente 188.000, pero algunas comunidades, como la árabe, cuentan con menos miembros. Existen más de 2.400 chats y conferencias online. Hay más de 3.000 recursos disponibles para scammers de perfiles diversos en la parte pública de Internet, así como en la red TOR, lo que significa un número inferior al del segundo trimestre. Es preciso mencionar que se han clausurado muchos foros de scammers. Algunos de ellos, por conflictos con otros foros; otros por la menor actividad. Por ejemplo, los recursos en los que se detectaron «hackers éticos» (especialistas en seguridad del ordenador). Por idéntica razón, muchos foros de scammers tienen acceso restringido a zonas privadas.
La actividad maliciosa en el área de carding ha crecido desde el momento en que han aparecido nuevos scammers en el mercado financiero a la sombra que ofrece el primer lote de datos de tarjeta de modo gratuito. Una vez verificados estos datos, los scammers pueden adquirir datos de pago adicionales. Tales recursos de estafa están desarrollando y ampliando el surtido de oferta de datos de tarjeta, credenciales de sistemas bancarios a distancia, credenciales de PayPal, Skrill, etc. Los hackers que venden datos de acuerdo con el gráfico anterior han expulsado del mercado a los pequeños antiguos recursos. Al final, el número de recursos que vendían datos de tarjeta se redujo de los 137 del inicio del verano a 93. La cantidad de foros multiperfil se ha reducido, mientras que el mercado de los recursos que facilitan acceso a los servidores proxy SOCK se está desarrollando. Al conectarse vía SOCKS, los scammers pueden comprobar la idoneidad de muchas credenciales y RBS sin que se les bloquee.
Las herramientas de acceso remoto (RAT) para fines generales siguen gozando de popularidad entre los ciberdelincuentes. Entre ellas, las más conocidas son DarkComet y malware que funciona en combinación con TeamViewer. Como en el trimestre anterior, existe demanda de las credenciales que se hackean mediante el uso de TeamViewer. Los hackers utilizan un programa que enmascara el uso de TeamViewer, de modo que la víctima no pueda saber que se le está utilizando. El programa activa TeamViewer únicamente cuando la víctima visita un recurso específico.
Se ha producido un incremento en la venta de dispositivos de skimming, algo ya habitual al acercarse el Año Nuevo, puesto que los scammers empiezan a trabajar de un modo más activo durante la periodo de vacaciones invernales. Los dispositivos de skimming para terminales POS se han mejorado.
Concretamente se
52 de 57
21/10/2016
www.elevenpaths.com
introdujo un dispositivo nuevo, profundamente incrustado y sin un gran número de elementos visibles en el exterior.
A mitad de verano, muchas comunidades de ciberdelincuentes estaban preocupadas por diversas razones. En primer lugar, había, supuestamente, una filtración de un registro de eventos en uno de los servicios Jabber, según el cual no se mantenía dicho registro. En segundo lugar, se identificaron algunos agentes de servicio secreto entre los conocidos miembros de los recursos a la sombra. Tales desarrollos han contribuido a un declive en la actividad de los hackers expertos, pero su impacto en los hackers sin experiencia ha sido prácticamente nulo. En concreto, algunos phishers pasaron a estafas de phishing activas, recurriendo al contacto directo en lugar de utilizar malware. Al mismo tiempo, no obstante los temores, los scammers están comprando activamente el malware Kronos actualizado que está disponible para la compra.
Ha habido muchas peticiones de compra de armas en comunidades de scammers extranjeras. Se ha iniciado una estrecha cooperación entre las comunidades de ciberdelincuentes y lo círculos delictivos offline. El ámbito de cooperación es amplio, desde narcóticos hasta armas o el suministro de información diversa a los delincuentes (por ejemplo, sobre el número de miembros del personal de una organización).
En Brasil, los mismos datos de tarjeta se han revendido como datos nuevos. Una vez se adquirieron los datos de tarjeta los scammers emitieron duplicados de las mismas, que se utiliza para retirar los fondos. Para ello, pueden utilizar ATM con dispositivos de skimmer instalados. Así, otros scammers obtienen datos de las tarjetas sin fondos y los venden como nuevos datos de tarjeta.
El grupo Anonymous intentó relanzar la campaña Oplcarus, cuando esta salía de control y se hacía funcionar de modo centralizado por un gran número de grupos. Los miembros de Anonymous se refirieron al relanzamiento como la nueva fase en la evolución de Oplcarus, todavía dirigida a grandes entidades bancarias y bancos centrales.
En la tabla siguiente se muestra la clasificación por nivel de popularidad de los
bancos de diversos países entre la comunidad ciberdelincuente mundial durante el
tercer trimestre de 2016. En la clasificación se tiene en cuenta la demanda de datos
de tarjeta en compromiso pertenecientes a clientes de bancos importantes, la
demanda de documentación interna, la demanda de información privilegiada, las
ordenes de implementación de red, hackeo de credenciales de miembros del
personal, demanda de información sobre miembros del personal (que puede utilizarse
para chantajear o para otros fines), la demanda de credenciales corporativa en riesgo
y de credenciales personales de las cuentas de correo electrónico del empleado.
53 de 57
21/10/2016
www.elevenpaths.com
Tabla1 . Clasificación mundial de la popularidad de los bancos entre la comunidad de
ciberdelincuentes
Posición Banco Ubicación Cambio de posición
1 Citigroup Banco Internacional (sede principal en los
EE.UU.) -
2 HSBC Banco Internacional (sede principal en
Gran Bretaña) -
3 Bank of America Banco Internacional (sede principal en los
EE.UU.) -
4 Wells Fargo Banco Internacional (sede principal en los
EE.UU.) -
5 Deutsche Bank Banco Internacional (sede principal en
Alemania) ↑ (1)
6 Banco Agrícola de
China Banco de China ↓ (1)
7 BNP Paribas Banco Internacional (sede principal en
Francia) -
8 Banco de China Banco Internacional (sede principal en
China)
9 Barclays Banco Internacional (sede principal en
Gran Bretaña) ↑(3)
10 UniCredit Banco Internacional (sede principal en
China) ↓ (1)
11 Commerzbank Banco Internacional (sede principal en
Alemania) ↓ (1)
12 Banco Industrial y
Comercial de China Banco Internacional (sede principal en
China) ↓ (1)
13 Crédit Agricole Banco Internacional (sede principal en
Francia) ↑(1)
14 Sberbank de Rusia Banco Internacional (sede principal en
Rusia) ↑(1)
15 JPMorgan Chase Banco Internacional (sede principal en los
EE.UU.) ↓ (2)
16 Société Générale Banco Internacional (sede principal en
Francia) -
17 China Merchants Bank Banco de China ↑(1)
18 Banco do Brasil Banco Internacional (sede principal en
Brasil) ↓ (1)
19 Banco Popular Chino Banco de China ↑(1)
20 China Construction
Bank Banco Internacional (sede principal en
China) nuevo
54 de 57
21/10/2016
www.elevenpaths.com
Ataques dirigidos contra entidades financieras
BlueNoroff
En julio de 2016, el malware presuntamente utilizado para el ataque contra el
sistema SWIFT de Bangladés, se cargó en el portal VirusTotal. Más tarde, se
detectaron en el Banco de Indonesia algunos de dichos programas maliciosos. En
agosto de 2016, los expertos de Kaspersky Lab detectaron y bloquearon el intento de
ataque contra el Banco de Indonesia, llevado a cabo por el mismo grupo que había
realizado el ataque en fechas anteriores durante el mismo año. Los hackers han
intentado repetidamente eludir el sistema de protección del banco y lanzar el
malware que recopila datos para el sistema SWIFT. Se trata de un malware muy
similar al código malicioso utilizado contra el sistema SWIFT de Vietnam22. La
actividad del grupo se limita al Sudeste Asiático, pero también puede haber víctimas
en otros países.
Por el momento, hay un ataque confirmado y presuntos nuevos ataques en Bangladés
e India. Los atacantes utilizaron una nueva serie de puertas traseras y herramientas.
En los nuevos ataques dirigidos a la obtención de datos del sistema SWIFT, se utilizó
el troyano, distinto del de las versiones iniciales pero muy similar por lo que se
refiere a implementación de algunas de las funciones; por ejemplo, la de registro. Si
bien el análisis del malware utilizado en los ataques contra el SWIFT sigue en
proceso, ya es posible identificar el posible esquema de ataque:
No se sabe cómo los atacantes logran comprometer el sistema del interior de
una red bancaria.
Se lanza en el sistema en riesgo una puerta trasera resistente, que sirve como
plataforma para operaciones que se llevarán a cabo en la red de la víctima.
Una vez que los scammers hackean en el interior de la red de la víctima,
intentan conseguir acceso a otros dispositivos instalados en la red.
Los hackers utilizan herramientas propias para crear un túnel TCP/IP entre los
dispositivos infectados y el servidor de comandos.
Tras haber obtenido acceso a los dispositivos que utilizan la Alliance, los
hackers implantan herramientas especiales para recopilar información.
22 http://www.reuters.com/article/us-vietnam-cybercrime-idUSKCN0Y60EN
55 de 57
21/10/2016
www.elevenpaths.com
Hemos observado que los atacantes persisten en sus intentos y pasan horas
recopilando sus herramientas y puertas traseras antes de utilizarlas en los ataques23.
Lurk
A principios de junio, las agencias del orden público rusas, con la asistencia de
Kaspersky Lab, detuvieron presuntos miembros de la organización criminal Lurk,
sospechosa del robo de casi tres mil millones de rublos. Desde 2011, las
organizaciones de TI especializadas en el área de las telecomunicaciones, medios de
masas y agregadores de noticias, además de bancos y otras organizaciones financieras
ubicadas en Rusia, se han convertido en las víctimas del troyano.24
Carbanak
En agosto de 2016, Kaspersky Lab participó en diferentes casos de Respuesta ante
Incidentes con actividades que parecían relacionadas con el actor Carbanak. En
particular, las entidades financieras descubrieron los incidentes como consecuencia
de la pérdida de fondos en un elevado número de cajeros automáticos.
Los TTP observados eran los mismos que en casos de Carbanak anteriores, en que los
atacantes se infiltraban en la red del banco y conseguían controlar la gestión del
servidor del ATM utilizando credenciales robadas. Al obtener dicho acceso al ATM,
utilizaban software específico basado en MSFX.DLL para dispensa directa, y a
continuación eliminaban el rastro mediante sdelete.
En nuestro análisis hallamos diversos artefactos (detallados en la sección IOC)
utilizados por los atacantes para efectuar el ataque inicial contra la entidad objetivo.
Creemos que utilizaron spearphishing con un archivo RTF adjunto que explotaba CVE-
2014-1761 en MS WORD. A continuación, los atacantes utilizaran un módulo integrado
Mimikatz para la puerta trasera s2 Beacon de Cobalt Strike, con el fin de elevar los
privilegios, primero a nivel local y después a nivel de administrador de dominio. De
haberlas, los atacantes utilizaban herramientas de control remoto (radmin, RDP) para
conseguir llegar a los hosts de la LAN, mediante «Beacon» integrado de análogo para
psexec. En algunos casos, los atacantes utilizaron 3proxy3 y stunnel para construir
túneles a través de los servidores de proxy. Partiendo de los datos obtenidos de los
casos de respuesta ante incidentes (RI), hallamos múltiples posibles víctimas (todas
ellas de instituciones financieras) en India, Bielorrusia, Moldavia, Rumanía, Turquía,
Kazajistán, Ucrania, Azerbaiyán, Kirguizistán y Bulgaria. Los suscriptores de los
23 Los suscriptores de los servicios de APT Intelligence Reporting disponen de información detallada sobre el malware analizado relacionado con los ataques contra el SWIFT, además de indicadores de compromiso. 24 https://securelist.com/analysis/publications/75944/the-hunt-for-lurk/
56 de 57
21/10/2016
www.elevenpaths.com
servicios de APT Intelligence Reporting pueden acceder a los indicadores de
compromiso.
57 de 57
21/10/2016
www.elevenpaths.com
Conclusión
Las estadísticas analizadas en el tercer trimestre de 2016 muestran que Zeus es
todavía el malware más extendido. Merece la pena mencionar unos cuantos aspectos
interesantes:
Durante el periodo del informe, hemos observado un elevado porcentaje de
ataques de phishing contra usuarios de Paypal y clientes de Amazon.com. Cabe
destacar que los atacantes se mostraron precavidos ante el uso del malware
para fines de phishing.
El malware dirigido a los terminales POS permanece activo en todo el mundo.
Además, se han detectado nuevas muestras de familias de malware para los
terminales de pago (POS) y cajeros automáticos.
Los dispositivos basados en Android continúan siendo los más vulnerables a los
ataques maliciosos en comparación con todos los restantes dispositivos
móviles. Durante el periodo al cual se refiere el presente informe, se han
detectado numerosos nuevos enfoques y métodos utilizados para infectar a
estos teléfonos inteligentes con malware. El ataque con éxito pasa por la
interacción con los usuarios de los dispositivos atacados.
A medida que se acerca el Año Nuevo, es de esperar un incremento en el
número de ataques mediante dispositivos de skimming, y los hackers ya han
empezado a comprarlos activamente.
Los atacantes pueden ampliar la delimitación geográfica de los ataques contra
el sistema SWIFT yendo más allá del Sudeste Asiático. Además, el grupo
Anonymous ha relanzado la campaña Oplcarus, en la que los bancos centrales e
internacionales siguen siendo sus objetivos principales.