Principales palabras que se utilizan en los ataques de

Anuncio
INFORME
PRINCIPALES PALABRAS
QUE SE UTILIZAN EN LOS
ATAQUES DE PHISHING:
selectivo para conseguir el
acceso a las redes empresariales
y robar los datos
SECURITY
REIMAGINED
Principales palabras que se utilizan en los ataques de phishing: selectivo para conseguir el acceso a las redes empresariales y robar los datosselectivo para
conseguir el acceso a las redes empresariales y robar los datos
CONTENIDO
Resumen ejecutivo.................................................................................................................................................................................................................................................................................................................... 3
Introducción............................................................................................................................................................................................................................................................................................................................................... 3
Nombres de archivos........................................................................................................................................................................................................................................................................................................... 4
Las 5 extensiones de archivo más utilizadas........................................................................................................................................................................................................ 6
Conclusión....................................................................................................................................................................................................................................................................................................................................................... 7
Acerca de FireEye........................................................................................................................................................................................................................................................................................................................ 7
2 www.fireeye.com
Principales palabras que se utilizan en los ataques de phishing: selectivo para conseguir el acceso a las redes empresariales y robar los datosselectivo para
conseguir el acceso a las redes empresariales y robar los datos
Resumen ejecutivo
Gracias a la ineficacia de los sistemas de protección
de las víctimas y a las acciones involuntarias de los
usuarios finales, en la actualidad los ciberdelincuentes consiguen distribuir malware avanzado
que ataca sistemas y facilita una serie de actividades maliciosas. Una buena parte de este
malware avanzado llega a través del correo
electrónico mediante archivos adjuntos maliciosos.
Este informe ofrece un análisis de la naturaleza de
los archivos que distribuyen los ciberdelincuentes,
con especial atención a los que consiguen atravesar las
defensas de seguridad tradicionales, como firewalls,
firewalls de próxima generación, sistemas de
prevención de intrusiones (IPS), antivirus (AV) y
puertas de enlace seguras. Incluye además una
descripción de las palabras que se utilizan con
más frecuencia en los nombres de archivo y los
tipos de archivos más característicos de esta clase
de malware avanzado, con pistas clave para los
usuarios y los equipos de seguridad que buscan
protección contra las amenazas avanzadas.
Introducción
A pesar de todas las medidas de seguridad diseñadas para proteger las comunicaciones por correo
electrónico, este canal sigue representando un
terreno fértil para los ciberdelincuentes, además
de un área de vulnerabilidad para la mayoría de las
empresas. Las comunicaciones por correo electrónico representan una de las vías de ataque más
utilizadas. Los riesgos que presentan estos ataques
no son insignificantes. El correo electrónico no es
solo la vía de entrada de spam y malware distribuido
de forma masiva, sino que además es un medio de
inicio de ataques mediante amenazas persistentes
avanzadas (APT). GhostNet, Night Dragon,
Operación Aurora o el ataque contra RSA, entre
otras muchas amenazas avanzadas persistentes
que se han hecho públicas, han sido iniciadas, al
menos en parte, mediante el uso de mensajes de
correo electrónico de phishing selectivo.
3 www.fireeye.com
La realidad es que los ciberdelincuentes siguen
utilizando este modo de ataque porque funciona.
En el último Informe de amenazas avanzadas de
FireEye para la primera mitad de 2012, FireEye
informaba de un aumento del 56 % en la cantidad
de mensajes de correo electrónico maliciosos
entre el primer y el segundo trimestre de 2012.
Es importante destacar que dicho aumento
no corresponde al número total de mensajes
maliciosos distribuidos; es un incremento del
número de mensajes que atraviesan las defensas
de seguridad tradicionales de las empresas.
FireEye se encuentra en una posición privilegiada
para explicar esta actividad de ataques avanzados
selectivos. Cientos de clientes en todo el mundo
han desplegado FireEye Malware Protection
System™ (MPS). Las soluciones de FireEye se
instalan detrás de los firewalls, los firewalls de
próxima generación, las soluciones de prevención
de intrusiones, los antivirus y otras puertas de
enlace de seguridad, y representan la última línea
de defensa para las empresas. Incluyen dispositivos que recopilan de manera automática información sobre las amenazas que puede combinarse, analizarse y compartirse. Gracias a estas
soluciones, FireEye es capaz de informar sobre
la naturaleza de las amenazas avanzadas.
Este informe se centra en las características del
malware avanzado que se distribuye a través de
archivos adjuntos del correo electrónico y que
sortea las medidas de protección tradicionales.
A través de los datos que presenta, ofrece un
análisis esencial de las características del malware
avanzado y las tácticas de los ciberdelincuentes,
para que los equipos de seguridad y los usuarios
puedan entender mejor la naturaleza de las
amenazas en la actualidad. Es importante subrayar
que los hallazgos descritos corresponden a
amenazas avanzadas que consiguen sortear los
mecanismos de seguridad existentes. Dicho de
otro modo, hay bastantes probabilidades de que
este tipo de malware llegue pronto a su bandeja
de entrada, si es que no lo ha hecho ya.
Principales palabras que se utilizan en los ataques de phishing: selectivo para conseguir el acceso a las redes empresariales y robar los datosselectivo para
conseguir el acceso a las redes empresariales y robar los datos
Nombres de archivos
Cuando los ciberdelincuentes distribuyen archivos
maliciosos, su propósito es engañar a algún destinatario desprevenido para conseguir que los descargue
o instale en su computadora. Para conseguirlo,
emplean toda una gama de tácticas. Las palabras
que se usan en estos nombres de archivos ofrecen
pistas claras sobre las estrategias que emplean
los ciberdelincuentes y que han demostrado ser
eficaces. En la tabla siguiente se incluyen las palabras
más utilizadas en los archivos maliciosos que han
detectado las soluciones de FireEye. Se trata de
términos que utilizan los agresores para evadir
las defensas de seguridad de TI tradicionales.
2.ª mitad de 2011
Puesto
Palabra
1.ª mitad de 2012
Porcentaje
de adjuntos
Puesto
Palabra
Porcentaje
de adjuntos
1
label (etiqueta)
15.17
1
dhl
23.42
2
invoice (factura)
13.81
2
notification (notificación)
23.37
3
post (poste)
11.27
3
delivery (entrega)
12.35
4
document (documento)
10.92
4
express
11.71
5
postal
9.80
5
2012
11.30
6
calculations (cálculos)
8.98
6
label (etiqueta)
11.16
7
copy (copia)
8.93
7
shipment (envío)
9.88
8
fedex
6.94
8
ups
9.47
9
statement (declaración)
6.12
9
international (internacional)
8.94
10
ffinancial (financiera)
6.12
10
parcel (paquete)
8.16
11
dhl
5.20
11
post
6.95
12
usps
4.63
12
confirmation (confirmación)
5.81
13
8
4.32
13
alert (alerta)
5.80
14
notification (notificación)
4.27
14
usps
5.80
15
n
4.22
15
report (informe)
5.79
16
Hacienda
3.60
16
jan2012 (ene 2012)
5.52
17
ups
3.46
17
april (abril)
4.71
18
no
2.84
18
idnotification (notificación de id)
3.60
19
delivery (entrega)
2.61
19
ticket
3.58
20
ticket
2.60
20
shipping (envío)
2.92
*Note: En estas tablas se incluye una lista de los porcentajes de términos utilizados en archivos adjuntos maliciosos,
detectados por dispositivos FireEye MPS. Nota: dado que un solo adjunto malicioso puede incluir varios términos,
la suma de los porcentajes no será igual al 100 %..
4 www.fireeye.com
Principales palabras que se utilizan en los ataques de phishing: selectivo para conseguir el acceso a las redes empresariales y robar los datosselectivo para
conseguir el acceso a las redes empresariales y robar los datos
2.ª mitad de 2011
1.ª mitad de 2012
Tema
Porcentaje total
Tema
Porcentaje total
Postal
19,20
Postal
26,33
Banca/Impuestos
5,98
Banca/Impuestos
3,83
Urgencias
1,72
Urgencias
10,68
Aerolíneas
1,81
Aerolíneas
2,45
Facturación
4,98
Facturación
0,68
*Note: Estas tablas resumen las 5 categorías más habituales de términos utilizados en adjuntos de correo electrónico maliciosos.
Un método utilizado por los ciberdelincuentes
para engañar a los usuarios es enviar archivos que
supuestamente son notificaciones sobre envíos
rápidos. Además de muy habituales, estos servicios
son intrínsecamente importantes y urgentes, por
lo que los usuarios se ven obligados a abrir los
archivos maliciosos con este tipo de nombres.
Esta artimaña es una de las más populares.
Los términos relacionados con envíos por correo
representan más del 26 % de las palabras que
componen los nombres de archivos maliciosos,
y son 7 de las 10 palabras más utilizadas identificadas en la primera mitad de 2012. Nombres de
archivo como DHL document.zip, Fedex_Invoice.
zip y Label_Parcel_IS741- 1345US.zip son muestras
de los términos preferidos por los delincuentes.
Entre la segunda mitad de 2011 y la primera mitad
de 2012, se identificaron varias tendencias. Por
ejemplo, el porcentaje de nombres de archivos que
emplean palabras relacionadas con envíos ha crecido
del 19,20 al 26,33 %. Además, el número de archivos
que utilizan palabras asociadas a la urgencia ha
crecido del 1,72 al 10,68 %.
5 www.fireeye.com
A continuación se citan algunas otras categorías
también habituales:
•
Urgencias. Las palabras relacionadas con
una situación de urgencia, como confirmation (confirmación), alerta (alerta) y notification (notificación), representan la segunda
categoría de palabras más utilizadas. Dichas
palabras se pueden utilizar solas, pero también
se observan con frecuencia junto a otras categorías, como envíos; por ejemplo, UPS-Delivery-Confirmation-Alert April-2012_215759 .zip,
o impuestos, como IRS-Penalty-Income-TaxWarning-Notification-28306SUD4811L9JS.zip.
•
Finanzas. Las referencias a instituciones
financieras y a las transacciones, y comunicaciones asociadas también son frecuentes.
A continuación se incluyen algunos nombres
de archivos representativos: VisaCard
-N486102989.zip, PayPal.com_2012_Account_Update_Form.html y Lloyds TSB
- Login Form.html.
Principales palabras que se utilizan en los ataques de phishing: selectivo para conseguir el acceso a las redes empresariales y robar los datosselectivo para
conseguir el acceso a las redes empresariales y robar los datos
•
Impuestos. También abundan las referencias
a impuestos y a Hacienda, con nombres de
archivocomo Tax_Refund.zip, irspdf.zip y
tax_return_form.pif.
•
Viajes. Muchos nombres de archivo que
aparentemente corresponden a información
de viajes, como reservas de vuelos, representan otra categoría habitual que utiliza nombres
de archivo como Ticket_American_Airlines_
ID3457-144.zip, Delta_Air_Lines_Ticket_
ID271-3714.zip y A_Airline_Ticket_ID27944-357US.zip.
•
Facturación. Esta categoría incluye términos
que hacen referencia a facturas, órdenes de
compra y documentos similares. A continuación se citan algunos ejemplos de archivos
detectados: Purchase Order 74457.zip,
Invoice_ID757731.zip e Invoice_Copy.zip.
Las 5 extensiones
de archivo más utilizadas
En lo que respecta a las extensiones de los
archivos maliciosos, los ciberdelincuentes siguen
variando sus métodos en función de los cambios
en los mecanismos de defensa y seguridad. Como
tendencia clara se puede destacar que se alejan
de los archivos .EXE. Tradicionalmente, el grueso
de los adjuntos maliciosos correspondía a este tipo
de archivos. Sin embargo, en la actualidad solo una
pequeña parte de los archivos .EXE atraviesan
las barreras de seguridad. Además, estos
archivos suelen generar un aviso del sistema
operativo de la computadora del usuario, para que
éste reconozca y acepte su instalación, lo que reduce
las probabilidades de éxito del ataque.
Actualmente, los archivos .ZIP representan la gran
mayoría de los archivos maliciosos avanzados:
un 76,91 %. La complejidad de estos adjuntos, que
pueden contener muchos archivos diferentes de
distintos tipos, junto a la falta de concienciación del
usuario acerca del peligro de estas extensiones, les
ha convertido en un medio muy eficaz para distribuir
malware y atacar con éxito los sistemas.
Los archivos PDF también suponen una amenaza
importante. Este tipo de archivos es muy frecuente
y lo utilizan prácticamente todos los usuarios de
computadoras. Además, muchos usuarios desconocen el hecho de que se puede distribuir malware a
través de archivos PDF y que es difícil para las
defensas convencionales detectar el malware
incrustado en ellos. Por todos estos motivos, los
PDF ofrecen a los ciberdelincuentes un medio muy
eficaz de ataque.
2.º semestre de 2011
Extensions
Percent
1er semestre de 2012
Topic
Percent Total
zip
85.79
zip
76.91
exe
5.91
pdf
11.79
pif
2.67
exe
3.98
scr
2.06
doc
2.67
bat
1.79
pif
1.09
*Note: Estas tablas incluyen los porcentajes relativos de extensiones de archivos utilizadas en archivos maliciosos
detectados por los dispositivos FireEye MPS.
6 www.fireeye.com
Principales palabras que se utilizan en los ataques de phishing: selectivo para conseguir el acceso a las redes empresariales y robar los datosselectivo para
conseguir el acceso a las redes empresariales y robar los datos
Conclusión
Acerca de FireEye
Mediante el empleo de términos propios de contextos
importantes y que normalmente requieren una
cierta urgencia —avisos de envíos rápidos, formularios de devoluciones de impuestos, extractos de
cuentas, confirmaciones de vuelos, etc.— los ciberdelincuentes apremian a sus víctimas para que
no demoren la descarga de malware que ponga
en peligro sus sistemas. Vista la reducida eficacia
de los archivos .EXE, hoy día los ciberdelincuentes
emplean archivos .ZIP, PDF y de otros tipos para
sortear las defensas de seguridad tradicionales.
Para protegerse contra estas amenazas, los
usuarios deben estar informados sobre los peligros
del malware avanzado y las formas que adopta en
la actualidad. Además, los equipos de seguridad
necesitan tecnologías avanzadas que puedan
detectar y detener las amenazas avanzadas que son
capaces de atravesar sus defensas convencionales.
Los usuarios deben disponer de una formación
adecuada que les permita detectar los mensajes
de correo electrónico de phishing selectivo,
especialmente sobre cómo se escriben según
las prácticas de las redes sociales para parecer
auténticos y sobre los peligros que entrañan.
Para detectar y bloquear estos ataques selectivos
avanzados, las empresas recurren a la seguridad
contra amenazas de próxima generación que les
protege contra ataques que sortean las defensas
de seguridad de TI tradicionales.
FireEye es líder en la lucha contra ataques selectivos avanzados que utilizan malware avanzado,
exploits desconocidos (zero-day) y tácticas de
amenazas persistentes avanzadas. Las soluciones
de FireEye complementan los firewalls tradicionales y de próxima generación, las soluciones de
prevención de intrusiones, los antivirus y las
puertas de enlace, que son incapaces de detener
las amenazas avanzadas, dejando vacíos de seguridad en las redes. FireEye ofrece la única solución
del sector que detecta y bloquea ataques que llegan
a través de la Web y el correo electrónico, así como
el malware latente que se hospeda en los recursos
compartidos. Actúa en todas las fases del ciclo de
vida de un ataque con un motor que no emplea
firmas y que utiliza análisis con información de estado para detectar las amenazas desconocidas. Con
sede en Milpitas, California, FireEye cuenta con el
respaldo de destacados socios financieros, como
Sequoia Capital, Norwest Venture Partners y
Juniper Networks.
FireEye, Inc. | 1440 McCarthy Blvd. Milpitas, CA 95035 | 408.321.6300 | 877.FIREEYE (347.3393) | LATAM@fireeye.com | www.fireeye.com
© 2014 FireEye, Inc. Reservados todos los derechos. FireEye es una marca comercial
de FireEye, Inc. Todas las demás marcas, productos o nombres de servicios son o
pueden ser marcas comerciales o marcas de servicios de sus respectivos propietarios.
RPT.TWSP.ES-MX.082014
Descargar