Virus y gusanos informáticos se hibridan para crear una amenaza informática impredecible
Los virus están infectado accidentalmente a diversos gusanos en los ordenadores de las víctimas, creando un malware híbrido que se puede propagar más rápidamente y lanzar ataques contra los sistemas, cuentas bancarias y datos privados de una manera ni siquiera imaginada por los propios creadores de malware.
Un análisis de Bitdefender encontró 40.000 ejemplares de este tipo de malware – al que han bautizado como “Frankenmalware” – en un estudio de 10 millones de archivos infectados llevado a cabo a comienzos de enero, lo que supone un 0,4 por ciento del malware analizado. Si tenemos en cuenta que el malware activo en todo el mundo está en torno a los 65 millones, esto supone que 260.000 ejemplares de este tipo están amenazando los ordenadores de los usuarios.
“Si un usuario recibe uno de estos híbridos en su sistema, podría enfrentarse a pérdida de dinero, problemas informáticos, robo de identidad, y una oleada de spam lanzada desde su equipo”, señaló Loredana Botezatu, analista de amenazas online de Bitdefender y autora del estudio sobre malware híbrido. “la llegada de este tipo de malware da un nuevo giro al mundo del malware, ya que se propagan de manera más eficiente, y su comportamiento cada vez será más difícil de predecir”.
Aunque no hay datos antiguos sobre este tipo de malware, el número de híbridos ha crecido en los últimos años y probablemente seguirá aumentando al mismo ritmo que el malware en general. Un estudio de Bitdefender estima que el malware crecerá un 17 por ciento este año.
Todos los híbridos de malware analizados por Bitdefender hasta el momento se han creado de forma accidental. Sin embargo, el riesgo que representan estos combos podría aumentar drásticamente a medida que los delincuentes comiencen a fabricar sus propios compuestos, o a lanzar malware específicamente creado para provocar esa hibridación.
Bitdefender presentó su estudio después de encontrar ejemplares del gusano Rimecud infectados por el virus Virtobfile. Rimecud roba contraseñas de banca electrónica, cuentas de tiendas de compra online, redes sociales y correo electrónico, entre otras funciones. Virtob, por su parte, permite recibir órdenes de un atacante remoto, saltarse el cortafuegos, y asegurar su persistencia mediante la inyección de código en “Winlogon”, un proceso crítico del sistema.
“Ahora, imaginemos estas dos piezas de malware trabajando juntas – voluntariamente o no – en el mismo sistema,” señala Botezatu, que añade: “Ese PC se enfrenta a un malware doble con el doble de comandos y el doble de servidores para recibir instrucciones: además, hay dos puertas traseras abiertas, dos técnicas de ataque activo y varios métodos de propagación. Cuando uno falla, el otro tiene éxito”.
Microsoft identifica al responsable de la botnet Kelihos
Los de Redmond acusan al ciudadano ruso Andrey N. Sabelnikov, procedente de San Petersburgo, de ser el responsable de escribir el código y parte de la creación de Kelihos.
La botnet infectó alrededor de 41.000 ordenadores por todo el mundo y era capaz de enviar 3.800 millones de mails (spam) al día. Microsoft fue capaz de desmantelar la botnet a finales de septiembre.
El acusado trabaja como desarrollador en una firma de software y consultoría. Antes de esto trabajó como ingeniero de software y director de un proyecto que proporcionaba firewall, antivirus y software de seguridad.
Microsoft ha identificado a Sabelnikov con la ayuda de otro acusado del caso. La compañía considera que la actuación judicial es importante “por el daño causado por Kelihos y porque todos los participantes en la botnet deben entender que hay riesgos y consecuencias por participar en actividades maliciosas”.
WAF: la defensa de las aplicaciones web y sus datos
El Firewall de Aplicaciones Web (WAF) es la primera y última línea de defensa de las aplicaciones frente a las amenazas online.
Las aplicaciones web se han convertido en el esqueleto del negocio en casi todos los segmentos de la economía. Conectan a los empleados, clientes y socios a la información que necesitan en cualquier lugar y en cualquier momento. Aunque se han reducido los costes de acceso a esa información y se ha acelerado drásticamente el ritmo de los negocios, también han aumentado los riesgos: robos de identidad, fugas de datos, malware, ataques de denegación de solicitud de servicio (DoS) y botnets maliciosos impactan cada vez más a las aplicaciones web, con consecuencias que afectan a la marca, los ingresos y el cumplimiento de las normas.
Las investigaciones realizadas por el Centro de Aplicación de Defensas de Imperva han encontrado que casi el 92% de las aplicaciones web son susceptibles a algún tipo de ataque, y el 57% son vulnerables al robo de información. Adicionalmente, las aplicaciones web cambian con frecuencia y nuevas vulnerabilidades se introducen en esas actualizaciones. Además, las actualizaciones de aplicaciones inadvertidas pueden romper los parches creados para arreglar los agujeros de seguridad, y volver a exponer vulnerabilidades antiguas.
Por desgracia, actualmente el gasto en seguridad de datos se centra en las redes empresariales, dejando puntos débiles en las base de datos y aplicaciones que pueden ser explotadas por los ciberdelincuentes. En 2009, las 10 mayores fugas de datos revelan que el 74% de las pérdidas de datos provenían de las violaciones de bases de datos, el 19% de brechas en la aplicación y el 7% de brechas de la red. Sin embargo,más del 90% de los 16.000 millones de dólares invertidos en seguridad en 2009 se destinaron a las redes.
Añádase a esto la confusión actual entre las organizaciones en cuanto al tipo de herramientas de seguridad necesarias para hacer frente al problema, con muchas confiando en cortafuegos de red tradicionales y sistemas de prevención de intrusiones (IPS). En un reciente informe de Frost & Sullivan, el 55% considera que tener un firewall de red potente es suficiente para compensar la falta de un firewall de aplicaciones web (WAF). Un 48,3% consideró que un WAF sólo es necesario si una empresa quiere ser compatible con PCI-DSS.
Sin embargo, regulaciones como el Payment Card Industry Data Security Standard (PCI DSS) ahora ordenan la protección de la capa de aplicaciones. Las empresas que procesan, almacenan o transfieren datos de tarjetas de crédito deben instalar un WAF o someterse a exámenes de la aplicación anualmente y después de cada cambio de la aplicación. Nótese que que no existe obligación de IPS.
Fortinet vuelve a apostar por la seguridad web
Fortinet, proveedor líder del mercado de seguridad de redes, ha anunciado la incorporación de tres nuevos dispositivos dentro de su familia FortiWeb –FortiWeb-4000C, FortiWeb-3000C FSX y FortiWeb-400C. La nueva línea de productos está diseñada para dar respuesta a las diversas necesidades de grandes empresas, proveedores de servicio y organizaciones de tamaño medio que deben proteger aplicaciones Web estratégicas ante brechas de seguridad y fuga de datos.
Asimismo, Fortinet ha incorporado nuevas mejoras a su sistema operativo FortiWeb 4.0 MR3 como un nuevo sistema de logging y reporting, más seguro y sencillo y con mayor capacidad de configuración.
FortiWeb-4000C, que ofrece un alto rendimiento y está especialmente dirigido a grandes centros de datos, es un firewall de aplicación web de categoría empresarial que soporta 70.000 transacciones por segundo y un rendimiento de 2Gbps. Los resultados de los análisis sobre su rendimiento son sustancialmente mejores que los de otros sistemas de la misma categoría. Uno de los valores clave de FortiWeb-4000C es la aceleración basada en hardware para mejorar la aplicación de las políticas de prevención de pérdida de datos que están diseñadas, en principio, para evitar el robo de información de identificación personal y de las tarjetas de crédito. Al disponer de un hardware dedicado para los procesos DLP, FortiWeb-4000C es capaz de ofrecer más rendimiento a la vez que libera las CPUs para otras tareas de procesamiento.
FortiWeb-3000C FSX mantiene todas las características y beneficios del dispositivo FortiWeb-3000C con la incorporación de una tarjeta bypass de fibra para soportar grandes centros de datos que requieren soporte de fibra. El nuevo dispositivo ofrece opciones de despliegue altamente flexibles con un balanceado de carga inteligente de capa siete y hardware – y aceleración basada en software para mejorar la utilización de los recursos y la estabilidad de la aplicación, a la vez que reducir los tiempos de respuesta del servidor.
Remplazando a FortiWeb-400B, el nuevo FortiWeb-400C es un firewall de aplicación web con CPUs más rápidas y una memoria sustancialmente más elevada.
Nuevas capacidades en FortiWeb 4.0 MR3
El sistema operativo FortiWeb 4.0 MR3 ofrece mejoras en tres áreas clave: logging y reporting, seguridad y sencillez de configuración. Para mejorar el logging y reporting, FortiWeb 4.0 MR3 ofrece integración con FortiAnalyzer, una simplificación que implica una gestión centralizada de todos los logs y reports desde múltiples dispositivos FortiWeb físicos o virtuales así como de otras líneas de productos Fortinet. El análisis de datos en tiempo real se ha simplificado en gran medida a través de una nueva interface analítica de FortiWeb que permite a las organizaciones analizar el uso de los servidores web desde el punto de vista del Hit, el Flujo y el Ataque. Además, los administradores de seguridad pueden conocer estas peticiones basándose en sus puntos de origen geográfico.
Para contrarrestar los ataques de denegación de servicio (DoS), FortiWeb 4.0 MR3 cuenta con una nueva capa de protección que ofrece políticas DoS de red y aplicaciones. Aprovechando los nuevos algoritmos recogidos en las políticas DoS, la familia de productos FortiWeb puede ahora analizar las peticiones procedentes de los usuarios para determinar rápidamente su legitimidad o si se encuentran bajo ataques automatizados asociados con Amenazas Avanzadas Persistentes (APT) o un nuevo malware. El nuevo software también ofrece un periodo de bloqueo y soporta compresión avanzada para una utilización más eficiente del ancho de banda y un tiempo de respuesta mejorado.
La nueva interface de usuario también ha sido mejorada en FortiWeb 4.0 MR3, permitiendo una configuración rápida e intuitiva de dicha interface.
El Inteco alerta de un virus que se propaga con los dispostivos extraíbles
El Instituto Nacional de Tecnologías de la Comunicación (Inteco) alerta de un nuevo virus para la plataforma Windows, de Microsoft, que se propaga a través de los dispositivos extraíbles que se conectan a un ordenador creando una copia de sí mismo en cada uno que detecta.
El virus, denominado IRCbot.k, una vez instalado en un ordenador comprueba cada treinta segundos si hay un nuevo dispositivo extraíble conectado, se instala en él y se vincula a un canal de chat para recibir comandos como actualizarse o visitar páginas web.
Una vez dentro, el virus crea copias de sí mismo imitando los nombres de las carpetas que ya están guardadas en el dispositivo en cuestión, además de un acceso directo que apunta al archivo malicioso. El Inteco recomienda, ante este y otros virus que puedan estar infectando equipos informáticos, que el usuario tenga instalado un antivirus, sea cauto al navegar por la Red y actualice con frecuencia el ordenador y los programas.
Del mismo modo, el centro tecnológico recomienda la instalación de cortafuegos, que no son lo mismo que los antivirus, según recuerda, ya que los primeros evitan que un posible virus que ya se haya instalado envíe datos sin autorización del usuario e impiden que un usuario malintencionado pueda entrar en un equipo ajeno y acceder a la información.
La evolución del malware Ramnit
Aunque lleva un buen tiempo en la Web, el malware conocido como Ramnit ha recibido la atención de los medios después de su aventura enFacebook, a través de la cual logró robar cerca de45 mil nombres de usuario y contraseñas, principalmente en el Reino Unido y Francia. Sin embargo, su historia parece estar lejos de terminar. Con la ayuda de un poco del código de la botnet Zeus, Ramnit ahora puede ser más flexible, dejando atrás su rol de simple gusano. ¿Tenemosun nuevo Conficker en puerta, o lo atraparemos antes de que incendie todo?
Si tenemos en cuenta a la base de datos de Symantec, el gusano Ramnit fue originalmente detectado a mediados de enero de 2010 (Microsoft anuncia que su descubrimiento fue en abril de ese año). Pero su forma original es poco relevante frente a lo que pueden hacer sus variantes. Una de ellas apareció en marzo de 2011, con la capacidad de infectar documentos de Office, además de clásicos como ejecutables y bibliotecas, y el hecho de copiarse a unidades extraíbles para aumentar aún más su rango de infección. En el verano pasado, las infecciones detectadas de Ramnit aumentaron de forma significativa. Symantec reportó que más del 17 por ciento de todo el malware que sus productos bloquearon entre junio y julio de 2011 estaba representado por Ramnit. En agosto, Ramnit recibió cierto perfil fraudulento a partir del filtrado del código Zeus. Y entre septiembre y diciembre de 2011, se confirmó la infección de 800 mil sistemas.
Como si fuera poco, la última variante de Ramnit logró adquirir unas 45 mil contraseñas de Facebook, con una especial concentración sobre usuarios del Reino Unido y Francia. En promedio, Facebook debe lidiar con unas 600 mil cuentas “comprometidas” diariamente, pero es lógico asumir que múltiples formas de malware están incrementando su presión sobre la red social para incrementar tanto la velocidad de las infecciones como su alcance, y Ramnit no es la excepción. Lo que hace peligroso a este gusano es que, con la integración del código Zeus, Ramnit puede ser “personalizado” a través de varios módulos, aunque el objetivo final continúa siendo el mismo: Obtener cualquier información relacionada con tarjetas de crédito y/o cuentas bancarias, para “limpiar” a los usuarios afectados.
Las recomendaciones generales para los usuarios finales se mantienen intactas. Con un antivirus actualizado, un firewall activo y un comportamiento coherente a la hora de navegar por la Web y revisar el perfil de Facebook (el gusano afecta a plataformas Windows, pero hoy nadie debe descuidarse), deberíamos permanecer lejos de las garras de Ramnit y cualquier otro malware similar. Cualquier enlace o mensaje extraño que recibas en Facebook debe ser bloqueado y reportado de inmediato, ya que es probable que uno de tus contactos tenga el ordenador infectado y ni siquiera esté consciente de ello.
