INFORME PRINCIPALES PALABRAS QUE SE UTILIZAN EN LOS ATAQUES DE PHISHING: selectivo para conseguir el acceso a las redes empresariales y robar los datos SECURITY REIMAGINED Principales palabras que se utilizan en los ataques de phishing: selectivo para conseguir el acceso a las redes empresariales y robar los datosselectivo para conseguir el acceso a las redes empresariales y robar los datos CONTENIDO Resumen ejecutivo.................................................................................................................................................................................................................................................................................................................... 3 Introducción............................................................................................................................................................................................................................................................................................................................................... 3 Nombres de archivos........................................................................................................................................................................................................................................................................................................... 4 Las 5 extensiones de archivo más utilizadas........................................................................................................................................................................................................ 6 Conclusión....................................................................................................................................................................................................................................................................................................................................................... 7 Acerca de FireEye........................................................................................................................................................................................................................................................................................................................ 7 2 www.fireeye.com Principales palabras que se utilizan en los ataques de phishing: selectivo para conseguir el acceso a las redes empresariales y robar los datosselectivo para conseguir el acceso a las redes empresariales y robar los datos Resumen ejecutivo Gracias a la ineficacia de los sistemas de protección de las víctimas y a las acciones involuntarias de los usuarios finales, en la actualidad los ciberdelincuentes consiguen distribuir malware avanzado que ataca sistemas y facilita una serie de actividades maliciosas. Una buena parte de este malware avanzado llega a través del correo electrónico mediante archivos adjuntos maliciosos. Este informe ofrece un análisis de la naturaleza de los archivos que distribuyen los ciberdelincuentes, con especial atención a los que consiguen atravesar las defensas de seguridad tradicionales, como firewalls, firewalls de próxima generación, sistemas de prevención de intrusiones (IPS), antivirus (AV) y puertas de enlace seguras. Incluye además una descripción de las palabras que se utilizan con más frecuencia en los nombres de archivo y los tipos de archivos más característicos de esta clase de malware avanzado, con pistas clave para los usuarios y los equipos de seguridad que buscan protección contra las amenazas avanzadas. Introducción A pesar de todas las medidas de seguridad diseñadas para proteger las comunicaciones por correo electrónico, este canal sigue representando un terreno fértil para los ciberdelincuentes, además de un área de vulnerabilidad para la mayoría de las empresas. Las comunicaciones por correo electrónico representan una de las vías de ataque más utilizadas. Los riesgos que presentan estos ataques no son insignificantes. El correo electrónico no es solo la vía de entrada de spam y malware distribuido de forma masiva, sino que además es un medio de inicio de ataques mediante amenazas persistentes avanzadas (APT). GhostNet, Night Dragon, Operación Aurora o el ataque contra RSA, entre otras muchas amenazas avanzadas persistentes que se han hecho públicas, han sido iniciadas, al menos en parte, mediante el uso de mensajes de correo electrónico de phishing selectivo. 3 www.fireeye.com La realidad es que los ciberdelincuentes siguen utilizando este modo de ataque porque funciona. En el último Informe de amenazas avanzadas de FireEye para la primera mitad de 2012, FireEye informaba de un aumento del 56 % en la cantidad de mensajes de correo electrónico maliciosos entre el primer y el segundo trimestre de 2012. Es importante destacar que dicho aumento no corresponde al número total de mensajes maliciosos distribuidos; es un incremento del número de mensajes que atraviesan las defensas de seguridad tradicionales de las empresas. FireEye se encuentra en una posición privilegiada para explicar esta actividad de ataques avanzados selectivos. Cientos de clientes en todo el mundo han desplegado FireEye Malware Protection System™ (MPS). Las soluciones de FireEye se instalan detrás de los firewalls, los firewalls de próxima generación, las soluciones de prevención de intrusiones, los antivirus y otras puertas de enlace de seguridad, y representan la última línea de defensa para las empresas. Incluyen dispositivos que recopilan de manera automática información sobre las amenazas que puede combinarse, analizarse y compartirse. Gracias a estas soluciones, FireEye es capaz de informar sobre la naturaleza de las amenazas avanzadas. Este informe se centra en las características del malware avanzado que se distribuye a través de archivos adjuntos del correo electrónico y que sortea las medidas de protección tradicionales. A través de los datos que presenta, ofrece un análisis esencial de las características del malware avanzado y las tácticas de los ciberdelincuentes, para que los equipos de seguridad y los usuarios puedan entender mejor la naturaleza de las amenazas en la actualidad. Es importante subrayar que los hallazgos descritos corresponden a amenazas avanzadas que consiguen sortear los mecanismos de seguridad existentes. Dicho de otro modo, hay bastantes probabilidades de que este tipo de malware llegue pronto a su bandeja de entrada, si es que no lo ha hecho ya. Principales palabras que se utilizan en los ataques de phishing: selectivo para conseguir el acceso a las redes empresariales y robar los datosselectivo para conseguir el acceso a las redes empresariales y robar los datos Nombres de archivos Cuando los ciberdelincuentes distribuyen archivos maliciosos, su propósito es engañar a algún destinatario desprevenido para conseguir que los descargue o instale en su computadora. Para conseguirlo, emplean toda una gama de tácticas. Las palabras que se usan en estos nombres de archivos ofrecen pistas claras sobre las estrategias que emplean los ciberdelincuentes y que han demostrado ser eficaces. En la tabla siguiente se incluyen las palabras más utilizadas en los archivos maliciosos que han detectado las soluciones de FireEye. Se trata de términos que utilizan los agresores para evadir las defensas de seguridad de TI tradicionales. 2.ª mitad de 2011 Puesto Palabra 1.ª mitad de 2012 Porcentaje de adjuntos Puesto Palabra Porcentaje de adjuntos 1 label (etiqueta) 15.17 1 dhl 23.42 2 invoice (factura) 13.81 2 notification (notificación) 23.37 3 post (poste) 11.27 3 delivery (entrega) 12.35 4 document (documento) 10.92 4 express 11.71 5 postal 9.80 5 2012 11.30 6 calculations (cálculos) 8.98 6 label (etiqueta) 11.16 7 copy (copia) 8.93 7 shipment (envío) 9.88 8 fedex 6.94 8 ups 9.47 9 statement (declaración) 6.12 9 international (internacional) 8.94 10 ffinancial (financiera) 6.12 10 parcel (paquete) 8.16 11 dhl 5.20 11 post 6.95 12 usps 4.63 12 confirmation (confirmación) 5.81 13 8 4.32 13 alert (alerta) 5.80 14 notification (notificación) 4.27 14 usps 5.80 15 n 4.22 15 report (informe) 5.79 16 Hacienda 3.60 16 jan2012 (ene 2012) 5.52 17 ups 3.46 17 april (abril) 4.71 18 no 2.84 18 idnotification (notificación de id) 3.60 19 delivery (entrega) 2.61 19 ticket 3.58 20 ticket 2.60 20 shipping (envío) 2.92 *Note: En estas tablas se incluye una lista de los porcentajes de términos utilizados en archivos adjuntos maliciosos, detectados por dispositivos FireEye MPS. Nota: dado que un solo adjunto malicioso puede incluir varios términos, la suma de los porcentajes no será igual al 100 %.. 4 www.fireeye.com Principales palabras que se utilizan en los ataques de phishing: selectivo para conseguir el acceso a las redes empresariales y robar los datosselectivo para conseguir el acceso a las redes empresariales y robar los datos 2.ª mitad de 2011 1.ª mitad de 2012 Tema Porcentaje total Tema Porcentaje total Postal 19,20 Postal 26,33 Banca/Impuestos 5,98 Banca/Impuestos 3,83 Urgencias 1,72 Urgencias 10,68 Aerolíneas 1,81 Aerolíneas 2,45 Facturación 4,98 Facturación 0,68 *Note: Estas tablas resumen las 5 categorías más habituales de términos utilizados en adjuntos de correo electrónico maliciosos. Un método utilizado por los ciberdelincuentes para engañar a los usuarios es enviar archivos que supuestamente son notificaciones sobre envíos rápidos. Además de muy habituales, estos servicios son intrínsecamente importantes y urgentes, por lo que los usuarios se ven obligados a abrir los archivos maliciosos con este tipo de nombres. Esta artimaña es una de las más populares. Los términos relacionados con envíos por correo representan más del 26 % de las palabras que componen los nombres de archivos maliciosos, y son 7 de las 10 palabras más utilizadas identificadas en la primera mitad de 2012. Nombres de archivo como DHL document.zip, Fedex_Invoice. zip y Label_Parcel_IS741- 1345US.zip son muestras de los términos preferidos por los delincuentes. Entre la segunda mitad de 2011 y la primera mitad de 2012, se identificaron varias tendencias. Por ejemplo, el porcentaje de nombres de archivos que emplean palabras relacionadas con envíos ha crecido del 19,20 al 26,33 %. Además, el número de archivos que utilizan palabras asociadas a la urgencia ha crecido del 1,72 al 10,68 %. 5 www.fireeye.com A continuación se citan algunas otras categorías también habituales: • Urgencias. Las palabras relacionadas con una situación de urgencia, como confirmation (confirmación), alerta (alerta) y notification (notificación), representan la segunda categoría de palabras más utilizadas. Dichas palabras se pueden utilizar solas, pero también se observan con frecuencia junto a otras categorías, como envíos; por ejemplo, UPS-Delivery-Confirmation-Alert April-2012_215759 .zip, o impuestos, como IRS-Penalty-Income-TaxWarning-Notification-28306SUD4811L9JS.zip. • Finanzas. Las referencias a instituciones financieras y a las transacciones, y comunicaciones asociadas también son frecuentes. A continuación se incluyen algunos nombres de archivos representativos: VisaCard -N486102989.zip, PayPal.com_2012_Account_Update_Form.html y Lloyds TSB - Login Form.html. Principales palabras que se utilizan en los ataques de phishing: selectivo para conseguir el acceso a las redes empresariales y robar los datosselectivo para conseguir el acceso a las redes empresariales y robar los datos • Impuestos. También abundan las referencias a impuestos y a Hacienda, con nombres de archivocomo Tax_Refund.zip, irspdf.zip y tax_return_form.pif. • Viajes. Muchos nombres de archivo que aparentemente corresponden a información de viajes, como reservas de vuelos, representan otra categoría habitual que utiliza nombres de archivo como Ticket_American_Airlines_ ID3457-144.zip, Delta_Air_Lines_Ticket_ ID271-3714.zip y A_Airline_Ticket_ID27944-357US.zip. • Facturación. Esta categoría incluye términos que hacen referencia a facturas, órdenes de compra y documentos similares. A continuación se citan algunos ejemplos de archivos detectados: Purchase Order 74457.zip, Invoice_ID757731.zip e Invoice_Copy.zip. Las 5 extensiones de archivo más utilizadas En lo que respecta a las extensiones de los archivos maliciosos, los ciberdelincuentes siguen variando sus métodos en función de los cambios en los mecanismos de defensa y seguridad. Como tendencia clara se puede destacar que se alejan de los archivos .EXE. Tradicionalmente, el grueso de los adjuntos maliciosos correspondía a este tipo de archivos. Sin embargo, en la actualidad solo una pequeña parte de los archivos .EXE atraviesan las barreras de seguridad. Además, estos archivos suelen generar un aviso del sistema operativo de la computadora del usuario, para que éste reconozca y acepte su instalación, lo que reduce las probabilidades de éxito del ataque. Actualmente, los archivos .ZIP representan la gran mayoría de los archivos maliciosos avanzados: un 76,91 %. La complejidad de estos adjuntos, que pueden contener muchos archivos diferentes de distintos tipos, junto a la falta de concienciación del usuario acerca del peligro de estas extensiones, les ha convertido en un medio muy eficaz para distribuir malware y atacar con éxito los sistemas. Los archivos PDF también suponen una amenaza importante. Este tipo de archivos es muy frecuente y lo utilizan prácticamente todos los usuarios de computadoras. Además, muchos usuarios desconocen el hecho de que se puede distribuir malware a través de archivos PDF y que es difícil para las defensas convencionales detectar el malware incrustado en ellos. Por todos estos motivos, los PDF ofrecen a los ciberdelincuentes un medio muy eficaz de ataque. 2.º semestre de 2011 Extensions Percent 1er semestre de 2012 Topic Percent Total zip 85.79 zip 76.91 exe 5.91 pdf 11.79 pif 2.67 exe 3.98 scr 2.06 doc 2.67 bat 1.79 pif 1.09 *Note: Estas tablas incluyen los porcentajes relativos de extensiones de archivos utilizadas en archivos maliciosos detectados por los dispositivos FireEye MPS. 6 www.fireeye.com Principales palabras que se utilizan en los ataques de phishing: selectivo para conseguir el acceso a las redes empresariales y robar los datosselectivo para conseguir el acceso a las redes empresariales y robar los datos Conclusión Acerca de FireEye Mediante el empleo de términos propios de contextos importantes y que normalmente requieren una cierta urgencia —avisos de envíos rápidos, formularios de devoluciones de impuestos, extractos de cuentas, confirmaciones de vuelos, etc.— los ciberdelincuentes apremian a sus víctimas para que no demoren la descarga de malware que ponga en peligro sus sistemas. Vista la reducida eficacia de los archivos .EXE, hoy día los ciberdelincuentes emplean archivos .ZIP, PDF y de otros tipos para sortear las defensas de seguridad tradicionales. Para protegerse contra estas amenazas, los usuarios deben estar informados sobre los peligros del malware avanzado y las formas que adopta en la actualidad. Además, los equipos de seguridad necesitan tecnologías avanzadas que puedan detectar y detener las amenazas avanzadas que son capaces de atravesar sus defensas convencionales. Los usuarios deben disponer de una formación adecuada que les permita detectar los mensajes de correo electrónico de phishing selectivo, especialmente sobre cómo se escriben según las prácticas de las redes sociales para parecer auténticos y sobre los peligros que entrañan. Para detectar y bloquear estos ataques selectivos avanzados, las empresas recurren a la seguridad contra amenazas de próxima generación que les protege contra ataques que sortean las defensas de seguridad de TI tradicionales. FireEye es líder en la lucha contra ataques selectivos avanzados que utilizan malware avanzado, exploits desconocidos (zero-day) y tácticas de amenazas persistentes avanzadas. Las soluciones de FireEye complementan los firewalls tradicionales y de próxima generación, las soluciones de prevención de intrusiones, los antivirus y las puertas de enlace, que son incapaces de detener las amenazas avanzadas, dejando vacíos de seguridad en las redes. FireEye ofrece la única solución del sector que detecta y bloquea ataques que llegan a través de la Web y el correo electrónico, así como el malware latente que se hospeda en los recursos compartidos. Actúa en todas las fases del ciclo de vida de un ataque con un motor que no emplea firmas y que utiliza análisis con información de estado para detectar las amenazas desconocidas. Con sede en Milpitas, California, FireEye cuenta con el respaldo de destacados socios financieros, como Sequoia Capital, Norwest Venture Partners y Juniper Networks. FireEye, Inc. | 1440 McCarthy Blvd. Milpitas, CA 95035 | 408.321.6300 | 877.FIREEYE (347.3393) | LATAM@fireeye.com | www.fireeye.com © 2014 FireEye, Inc. Reservados todos los derechos. FireEye es una marca comercial de FireEye, Inc. Todas las demás marcas, productos o nombres de servicios son o pueden ser marcas comerciales o marcas de servicios de sus respectivos propietarios. RPT.TWSP.ES-MX.082014