Seguridad en la mira

1. Compromisos Masivos
Los ataques masivos dirigidos a grupos de usuarios específicos y sitios web populares fueron más comunes en 2008. Una gama diversa de sitios web – entretenimiento, política, compras en línea, redes sociales – se utilizó para propagar código malicioso. Los compromisos alcanzaron su máximo nivel en mayo cuando se inyectó a los sitios de todo el mundo código malicioso que infectó a usuarios de Internet desprevenidos.

2. Botnets
Los botnets jugaron una parte importante en la propagación de amenazas web en 2008. Gigantes como Storm, Kraken, Mega-D/Odzok, MayDay, y ASProx— provocaron estragos el año pasado, siguen en el radar de los investigadores de botnets. El cierre de McColo, un servicio de hospedaje de ciber crimen, en noviembre, disuadió temporalmente a los bot masters de buscar medios alternativos para proliferar.

3. Antivirus falso
Software “antivirus falso” convence a los usuarios de que están infectados con código malicioso al fingir síntomas de infección que los hace descargar programas antivirus falsos para limpiar la supuesta infección.

4. Cambiadores de DNS
El código malicioso que cambia DNS, identificado por Trend Micro como TROJ_AGENT.NDT y BKDR_AGENT.CAHZ, envenenó a otros servidores de la subred local al instalar un servidor malicioso Dynamic Host Configuration Protocol (DHCP) en la red. Este código malicioso monitorea el tráfico e intercepta paquetes de solicitud de otras computadoras de la red. Contestan a las solicitudes interceptadas con paquetes que contienen indicadores hacia servidores DNS maliciosos provocando que los receptores sean redirigidos a sitios maliciosos con su consentimiento.

5. Explotaciones Automáticas
WORM_DOWNAD.A, un gusano .DLL que explota la vulnerabilidad MS08-067, mostró rutinas que llevaron a los analistas de seguridad a postular su papel en el desarrollo de un nuevo botnet. La automatización ocurre como una configuración del sistema operativo Windows e incluye el inicio automático que ocurre cuando Autorun.inf. se retira inicialmente. La propia vulnerabilidad del sistema también genera un evento automático, el cual permite que el gusano se propague vía memoria o la red. Se descubrió que la amenaza ya ha infectado más de 500 mil servidores únicos.

6. Explotación de Día Cero de Internet Explorer
Los criminales se abalanzaron rápidamente hacia una explotación de día cero de Internet Explorer (IE) para realizar ataques masivos de inyección SQUL en casi seis mil sitios web. Los investigadores advirtieron que era sólo cuestión de tiempo antes de que la explotación disponible públicamente se utilizara para un ataque más amplio. Microsoft confirmó la presencia de la vulnerabilidad en todos sus navegadores, incluyendo aquellos actualmente soportados (IE5.01, IE6 y IE7, y IE8 Beta 2).

7. Rootkits
El rootkit MBR (Master Boot Record) provocó estragos a principios de 2008. El rootkit busca particiones booteables de un sistema afectado y crea un nuevo MBR malicioso que carga el componente de rootkit, identificado como RTKT_AGENT.CAV, que se guarda entonces en un sector arbitrario dentro de la partición booteable.

8. Ransomware
Detectada en noviembre, una nueva versión del ramsomware GPcode, que Trend Micro identifica como TROJ_RANDSOM.A, busca y encripta archivos encontrados en cualquier unidad de sistema que pueda leerse y escribirse, dejándola inaccesibles sin la llave de encripción. Se le informa a las víctimas que debe adquirirse una herramienta de desencripción para abrir los archivos. Esto se logra colocando un archivo de texto en cada carpeta que contenga un archivo encriptado.

9. Código malicioso autoejecutable
Las unidades removibles y físicas son la cuarta fuente más alta de infección a escala global (ver Figura 1). De las infecciones totales en Asia y Australia, 15% se originan de código malicioso contenido en unidades removibles. La mayoría de los países asiáticos incluyen código malicioso autoejecutable como su principal elemento de infección y el principal código malicioso que infecta a PCs en Europa, Medio Oriente y África (EMEA) también incluye código malicioso autoejecutable. El código malicioso autoejecutable tiene tanto éxito en propagarse que se ha infiltrado en redes de la NASA y el Departamento de Defensa de Estados Unidos.

10. Unidades USB Infectadas
Noticias de código malicioso pre-integrado en unidades USB refuerzan la creciente amenaza que estos dispositivos representan. El producto más reciente que contiene gusanos fueron las unidades USB Proliant de Hewlett-Packar, que se utilizan para instalar unidades de disco flexible opcionales en servidores. El código malicioso tiene nombres de archivos que podrían confundirse con archivos de sistema legítimos (como WinUpdter y ctfmon) y pueden transmitirse a un sistema una vez que las unidades se conectan. En noviembre, el Ejército de Estados Unidos suspendió el uso de dispositivos USB y medios removibles después de que un gusano comenzó a propagarse por su red.