2016 - T2

Anuncio
Informe de Sitios Web Hackeados 2016 T2
INFORME DE SITIOS WEB HACKEADOS
2016 - T2
Cómo los Sitios Web Son Hackeados y Cuál Malware Se Usa
Este informe se basa en información recogida y analizada por el Equipo de
Remediación de Sucuri, que incluye el Equipo de Respuesta a incidentes y el Equipo
de Investigación de Malware. Analizamos más de 9.000 sitios web infectados y
compartimos las estadísticas relativas a:
•
Aplicaciones CMS de código abierto afectadas
•
Detalles sobre la plataforma WordPress
•
Listas negras notificando sitios web hackeados
•
Familias de Malware y sus efectos
Lo que hay dentro de este informe
2
3
5
7
9
10
12
Introducción
Análisis de CMS
CMS Desactualizados
Análisis de WordPress
Análisis de Listas Negras
Familias de Malware
Conclusión
#InformeSitiosWebHackeados
#InformeSitiosWebHackeados ## PregunteSucuri
PregunteSucuri
© 2016
© Sucuri
2016 Sucuri
Inc. Todos
Inc. Todos
los derechos
los derechos
reservados.
reservados.
SucuriSeguridad
| sucuri.net/es
SucuriSeguridad
| sucuri.net/es
1
Informe de Sitios Web Hackeados 2016 T2
Introducción
El informe de la tendencia de sitios web hackeados se introdujo por primera vez en el primer trimestre de 2016. Fue el
primer informe de este tipo a partir de los metadatos recogidos por el equipo de remediación de Sucuri. Este informe es
más conciso y directo en su enfoque y amplía la información recogida en otros trimestres. Toda la información incluye
actualizaciones del segundo trimestre de 2016.
La única constante en este informe son los administradores de sitios web mal entrenados y sus efectos en los sitios
web.
Este informe mostrará las tendencias basadas en aplicaciones CMS más afectadas por infecciones en el sitio web y
demostrará los tipos de familias de malware que están siendo utilizadas por los atacantes. Además, hemos introducido
nuevos conjuntos de datos sobre el número de sitios web reportados durante la fase de remediación y los detalles
opcionales sobre WordPress.
Este informe se basa en una muestra representativa del total de sitios web con los que trabajamos en el segundo
trimestre de 2016. Se utilizó un total de 9.771 sitios web infectados. Esta es la muestra que ha proporcionado los datos
más consistentes para prepar este informe.
#InformeSitiosWebHackeados
# PregunteSucuri
© 2016 Sucuri Inc. Todos los derechos reservados.
SucuriSeguridad
|
sucuri.net/es
2
Informe de Sitios Web Hackeados 2016 T2
Análisis de CMS
Basado en los datos, las tres plataformas CMS más afectadas, así como en el informe del primer trimestre de 2016, son
WordPress, Joomla! y Magento. Esto no quiere decir que estas plataformas son más o menos seguras que otras.
En la mayoría de los casos la infección analizada tenía poco o nada que ver con el uso de la base de CMS en sí, pero con
la implementación inadecuada, configuración y mantenimiento en general de los webmasters o de sus hosts.
WordPress cayó 4% menos del 78% en el primer trimestre (T1) al 74% en el segundo trimestre (T2). Joomla! tuvo un
aumento del 2,2% desde el 14% en el primer trimestre al 16,2% en el segundo trimestre. Todas las demás plataformas
mantuvieron una distribución constante (con cambio mínimo).
En el segundo trimestre, el 74% de los sitios web infectados fueron construidos en la plataforma WordPress; un 4%
menos que en el primer trimestre. Al igual que en el primer trimestre debido a los bajos números relativos, Undefined,
ModX y vBulletin fueron eliminados del informe.
#InformeSitiosWebHackeados
# PregunteSucuri
© 2016 Sucuri Inc. Todos los derechos reservados.
SucuriSeguridad
|
sucuri.net/es
3
Informe de Sitios Web Hackeados 2016 T2
Análisis de CMS (Continued)
#InformeSitiosWebHackeados
# PregunteSucuri
© 2016 Sucuri Inc. Todos los derechos reservados.
SucuriSeguridad
|
sucuri.net/es
4
Informe de Sitios Web Hackeados 2016 T2
Análisis de CMS Desactualizados
Mientras la principal causa de infecciones sea resultante de las vulnerabilidades encontradas en componentes
extensibles de aplicaciones CMS, es importante analizar y comprender el estado del CMS en los sitios web que
trabajamos. Softwares obsoletos han sido un problema grave desde que la primera parte del código se colocó en el
papel virtual. Con tiempo, motivación y recursos suficientes, los atacantes identifican y explotan las vulnerabilidades del
software.
Para que los datos sean manejables, los dividimos en dos categorías distintas específicas para el núcleo de la aplicación
y para sus componentes extensibles:
• CMS Actualizado
• CMS Desactualizado
Un CMS se consideró obsoleto si no estaba en la versión más reciente de seguridad recomendada o no
había parcheado el medio ambiente con las actualizaciones de seguridad disponibles (como es el caso en las
implementaciones de Magento) en el momento que Sucuri fue contratada para realizar los servicios de respuesta a
incidentes.
#InformeSitiosWebHackeados
# PregunteSucuri
© 2016 Sucuri Inc. Todos los derechos reservados.
SucuriSeguridad
|
sucuri.net/es
5
Informe de Sitios Web Hackeados 2016 T2
Análisis de CMS Desactualizados (Continuado)
Basado en esta información, hemos visto una disminución del 1% en sitios web WordPress desactualizados y un
aumento del 4% en instalaciones Drupal desactualizadas. Es muy temprano para decir que es un indicador de la mejora
en la gestión de sitios web y de la postura de los propietarios de sitios web, ya que estos cambios están todavía en el
rango aceptable de desviación estándar.
Como muestran los resultados en el primer trimestre, Joomla! (86%) y Magento (96%) encabezan la lista de sitios web
infectados y plataformas mal gestionadas. El reto de estar actualizado se debe a tres áreas: instalaciones altamente
personalizadas, problemas con la compatibilidad y falta de personal especializado para ayudar en la migración. Esto
tiende a crear problemas con las actualizaciones y parches para la organización debido a problemas de incompatibilidad
e impactos potenciales sobre la disponibilidad del sitio web.
#InformeSitiosWebHackeados
# PregunteSucuri
© 2016 Sucuri Inc. Todos los derechos reservados.
SucuriSeguridad
|
sucuri.net/es
6
Informe de Sitios Web Hackeados 2016 T2
Análisis de WordPress
Al igual que en el primer trimestre, ofrecemos un análisis a fondo de la plataforma WordPress, ya que constituye el 74%
de la muestra. El top 3 de los plugins / scripts WordPress sigue siendo TimThumb, Revslider y Gravity Forms:
WordPress Analysis
Esto fue el top tres de los plugins desactualizados y vulnerables cuando un sitio web contrató a Sucuri para sus servicios
de respuesta a incidentes:
El cambio más importante se produjo en relación a Gravity Forms, pues identificamos una mejora del 29% en el impacto del plugin de los sitios web hackeados. Esto puede ser debido a un número de factores, entre los cuales el más
importante sería el total del mercado afectado que ha sido parcheado, protegido o ambos. De nuevo, es prematuro
sacar conclusiones, entonces continuaremos el monitoreo en los próximos trimestres.
#InformeSitiosWebHackeados
# PregunteSucuri
© 2016 Sucuri Inc. Todos los derechos reservados.
SucuriSeguridad
|
sucuri.net/es
7
Informe de Sitios Web Hackeados 2016 T2
Análisis de WordPress (Continuado)
Los tres plugins tenían un parche disponible hacía más de un año, TimThumb hacía varios años (cuatro años para
ser exactos, en torno a 2011). Gravity Forms recibió un parche en la versión 1.8.20 en diciembre de 2014 para
arreglar la vulnerabilidad Arbitrary File Upload (AFU) que está causando los problemas identificados en este
informe. RevSlider recibió un parche sin grandes anuncios en febrero de 2014, divulgado publicamente por Sucuri en
septiembre de 2014. Compromisos en masa empezaron desde deciembre de 2014 y continuaron. Esto muestra y
reitera los desafíos que enfrenta la comunidad en la sensibilización a educar sobre los problemas de propietarios de
sitios web, permitiendo a los propietarios corregir los problemas y facilitando el mantenimiento diario y la gestión de los
sitios web por sus webmasters. TimThumb era la revelación más interesante de este análisis.
En este ralatório, ampliamos nuestros datos de telemetría para incluir información que puede ser valiosa con el tiempo.
La primera parte de la información está en la distribución de los plugins más comunes en los sitios web infectados
analizados.
Nota: Si alguno % del plugin no coincide con el uso general del plugin, es probable que sea un indicio de que algo anda mal.
Aún no tenemos un porcentaje correcto sobre el uso de plugins en todos los sitios web analizados, lo que hace que
la comparación sea más difícil, pero es algo que estamos investigando para mejorar nuestros próximos informes
trimestrales.
En promedio, un sitio web comprometido tiene 12 plugins instalados.
#InformeSitiosWebHackeados
# PregunteSucuri
© 2016 Sucuri Inc. Todos los derechos reservados.
SucuriSeguridad
|
sucuri.net/es
8
Informe de Sitios Web Hackeados 2016 T2
Análisis de Listas Negras
En nuestro informe anterior, se pierde la oportunidad de incluir datos sobre listas negras - cuál de los sitios web
infectados fueron puestos en listas negra y por quién. La comprensión de cómo funcionan las listas negras y de cómo
afectan a la reputación de la marca de un sitio web es importante y debe ser un conjunto de datos monitoreado por
cada propietario de sitios web.
La notificación por estar en una lista negra, como Google, puede ser devastadora para la funcionalidad de un sitio
web. Las notificaciones pueden afectar cómo los usuarios acceden a un sitio web, cómo el sitio web está clasificado
en las páginas de resultados de motores de búsqueda (Search Engine Result Pages - SERP) y también pueden afectar
negativamente a los medios de comunicación, como el correo electrónico. De acuerdo con nuestro análisis, alrededor
del 18% de los sitios web infectados fueron puestos en una lista negra. Esto indica que aproximadamente el 82% de los
miles de sitios web infectados con los que trabajamos estaban distribuyendo software malicioso, lo que pone destaca la
necesidad y la importancia de la monitorización continua de su propiedad web.
En nuestros resultados de escaneo, utilizamos algunas listas negras diferentes. La más destacada es Google Safe
Browsing, que representa el 52% de los sitios web en la lista negra (de los 18%), que es también el 10% de todos
los sitios web infectados con los que trabajamos. Norton y Yandex, cada uno tenía más del 30% de las listas negras
y SiteAdvisor más del 11%. Todas las demás listas negras notificaron menos del 1% y fueron sacadas del informe
(incluyendo: PhishTank, Spamhaus y otras).
Nota: El porcentaje total nunca será del 100%, ya que algunos de los sitios web han sido reportados por múltiples listas negras al mismo tiempo.
#InformeSitiosWebHackeados
# PregunteSucuri
© 2016 Sucuri Inc. Todos los derechos reservados.
SucuriSeguridad
|
sucuri.net/es
9
Informe de Sitios Web Hackeados 2016 T2
Familias de Malware
Parte de nuestra investigación en el último trimestre incluye el análisis de las diversas tendencias de infección,
específicamente en lo que se refiere a las familias de malware. Familias de malware permiten a nuestro personal evaluar
y comprender mejor las acciones de los atacantes, lo que inevitablemente conduce a sus intenciones.
Un sitio web hackeado puede tener varios archivos modificados con diferentes familias de malware (una relación de
muchos a muchos). Depende de la intención o del propósito del atacante en cómo planea aprovechar su nuevo asset
(asset es el término utilizado para describir el sitio web adquirido que ahora es parte de la red). En promedio, limpiamos
80 archivos por sitio web comprometido en este trimestre (diferente de los más de 160 archivos limpiados por sitio web
en el Primer Trimestre).
Familias de Malware
#InformeSitiosWebHackeados
# PregunteSucuri
© 2016 Sucuri Inc. Todos los derechos reservados.
SucuriSeguridad
|
sucuri.net/es 10
Informe de Sitios Web Hackeados 2016 T2
Familias de Malware
Pequeño Glosario de Términos
Familia de Malware
Puerta Trasera
Malware
Descripción
Los archivos utilizados para reinfectar y retener acceso.
Término genérico utilizado para el código del lado del navegador utilizado para
crear drive by downloads.
SPAM-SEO
HackTool
Mailer
Compromiso cuyo objetivo es el SEO del sitio web.
Exploit o herramienta de DDoS utilizada para atacar a otros sitios web.
Generador de herramientas de spam, desarrollado con el abuso de los recursos
del servidor.
Defaced
Hacks que inutilizan la página principal del sitio web y promoven temas no
relacionados (es decir, Hacktavismo).
Phishing
Utilizado para phishing lures en los cuales el intento de ataque engaña a los
usuarios para compartir información confidencial (información de log in, tarjetas
de crédito, etc..)
Respecto al trimestre anterior, el 71% de todos los compromisos tenía una puerta trasera basado en PHP escondida
dentro del sitio web; un modesto incremento en el primer trimestre (4%). Estas puertas traseras permiten a un atacante
tener acceso al ambiente mucho tiempo después de que ha infectado con éxito el sitio web y ejecutar sus actos
nefastos. Estas puertas traseras permiten a los atacantes eludir los controles de acceso existentes en el entorno del
servidor web. La eficacia de estas puertas traseras provienen de engañar a la mayoría de las tecnologías de escáneres
de sitios web. Las mismas puertas traseras son a menudo también bien escritas, pero no siempre emplean la ofuscación
y no muestran signos externos de un compromiso para los visitantes del sitio web.
Puertas trasera a menudo sirven como punto de entrada para el ambiente, tras el compromiso con éxito (es decir, la
capacidad para seguir comprometiendo sitios web). Las propias puertas traseras a menudo no son la intención del
atacante. La intención es el ataque, que se encuentra en forma de spam de SEO condicional, redirecciones maliciosas o
infecciones drive-by-download.
#InformeSitiosWebHackeados
# PregunteSucuri
© 2016 Sucuri Inc. Todos los derechos reservados.
SucuriSeguridad
|
sucuri.net/es 11
Informe de Sitios Web Hackeados 2016 T2
Familias de Malware
Alrededor del 38% (un aumento del 6% en relación al primer trimestre) de todos los casos de infección, en realidad
son utilizados para las campañas de spam de SEO (a través de PHP, inyecciones en la base de datos o redirecciones
.htaccess ), donde el sitio web fue infectado con el contenido de spam o con redirecciones de los visitantes a páginas
específicas de spam. El contenido se utiliza a menudo en forma de canales de anuncios farmacéuticos (disfunción
eréctil, Viagra, Cialis, etc) e incluye otras inyecciones para industrias como la moda y el entretenimiento (Casino,
pornografía). Es interesante analizar que el spam de SEO conforma el 38% de las infecciones que estamos viendo, sobre
todo porque no son parte de las notificaciones de Google u otros motores de búsqueda incluidos en este informe
El número de desfiguraciones (defacements) continuó la tendencia a la baja (~3%) y se relaciona a la evolución de los
atacantes y sus TTPs.
#InformeSitiosWebHackeados
# PregunteSucuri
© 2016 Sucuri Inc. Todos los derechos reservados.
SucuriSeguridad
|
sucuri.net/es 12
Informe de Sitios Web Hackeados 2016 T2
Conclusión
Este informe confirma lo que ya se sabe; software vulnerable sigue siendo un problema y es una causa importante de
hacks de sitios web de hoy. Mientras que el muestreo de datos fue menor de lo esperado, la relación entre los diversos
campos analizados fue similar.
Algunas conclusiones de este informe incluyen:
• WordPress sigue liderando en número de sitios web infectados limpiados (74%) y el top tres de los plugins
que afectan a la plataforma siguen siendo Gravity Forms, TimThumb y RevSlider.
• WordPress produjo un descenso en la proporción de software core desactualizado e infectados (1%),
mientras que Drupal tiene un aumento del 3%, (84%). Joomla! y Magento siguen liderando la proporción de
plataformas desactualizadas.
• Nuevos conjuntos de datos muestran que, en promedio, las instalaciones de WordPress tienen 12 plugins
y el informe proporciona una lista de los plugins más populares en sitios web comprometidos que Sucuri ha
visto.
• Se introdujeron nuevos conjuntos de datos que muestran el porcentaje de sitios web infectados en una
lista negra. Sólo el 18% de estos sitios web fueron notificados por una lista negra y Google formó el 52% de
este grupo (10% de todos los sitios web infectados).
• El análisis de familias de malware mostró que el spam de SEO sigue aumentando al 38% en el trimestre
(un incremento del 6%) y las puertas traseras también aumentaron al 71%.
Hay poca información que indique que hay algún cambio que se produce entre la información difundida por los
profesionales de seguridad de la información (InfoSec) y lo que hacen los administradores del sitio web.
Similar a lo que hemos informado en el primer trimestre, podemos esperar que las tecnologías de código abierto sigan
cambiando la industria de sitios web. Vamos a ver cambios en la forma en que los sitios web son comprometidos.
Hoy en día, hay un descenso en los conocimientos necesarios para tener un sitio web, lo que crea un pensamiento
confundido tanto por los propietarios de sitios web como por los servicios prestados.
Gracias por leer nuestro informe. Esperamos que haya disfrutado y que nuestro informe le haya sido de gran ayuda. Si
hay alguna información adicional que usted cree que es relevante, cuéntenos. Tenemos nuevos datos que se rastrearán
para el informe en T3.
#InformeSitiosWebHackeados
# PregunteSucuri
© 2016 Sucuri Inc. Todos los derechos reservados.
SucuriSeguridad
|
sucuri.net/es 13
Informe de Sitios Web Hackeados 2016 T2
English
Spanish
Portuguese
sucuri.net
sucuri.net/es
sucuri.net/pt
SucuriSecurity
Sucuriseguridad
SucuriSeguranca
info@sucuri.net
1.888.873.0817
#InformeSitiosWebHackeados
# PregunteSucuri
© 2016 Sucuri Inc. Todos los derechos reservados.
SucuriSeguridad
|
sucuri.net/es 14
Descargar