INFORME DE SITIOS WEB HACKEADOS 2016 - T3 · En T3 continuamos nuestro análisis de listas negras....

Informe de Sitios Web Hackeados T3 2016

1© 2016 Sucuri Inc. Todos los derechos reservados.

Sucuriseguridad | sucuri.net/es#InformedeSitiosWebHackeados #pregunteaSucuri

INFORME DE SITIOS WEB HACKEADOS2016 - T3Tendencias: Cómo los Sitios Web Son Hackeados y Cuál Malware Se Usa

2 Introducción

Este informe se basa en información recogida y analizada por el Equipo de

Remediación de Sucuri, que incluye el Equipo de Respuesta a incidentes y el Equipo

de Investigación de Malware. Analizamos más de 8.000 sitios web infectados y

compartimos las estadísticas relativas a:

• Aplicaciones CMS de código abierto infectadas

• Detalles sobre la plataforma WordPress

• Listas negras notificando sitios web hackeados

• Familias de Malware y sus efectos

Qué hay en este informe

3 Análisis de CMS

5 Análisis de CMS Desactualizados

7 Análisis de WordPress

9 Análisis de Listas Negras

13 Conclusión

© 2016 Sucuri Inc. Todos los derechos reservados.

10 Familias de Malware





Introducción

El informe de la tendencia de sitios web hackeados se produce por Sucuri y resume las últimas tendencias de los malos

actores, identificando las últimas tácticas, técnicas y procedimientos vistos por el Equipo de Remediación. Este informe

se basará en los datos de los trimestres anteriores, incluidos los datos actualizados para el tercer trimestre de 2016/T3.

La única constante en este informe son los administradores de sitios web mal entrenados y sus efectos en los sitios

web.

Este informe mostrará las tendencias basadas en las aplicaciones CMS más afectadas por infecciones en el sitio web

y demostrará los tipos de familias de malware que están siendo utilizadas por los atacantes y actualizaciones sobre el

estado de la lista negra del sitio web. En este informe se eliminaron los datos correspondientes a las configuraciones de

plugins de WordPress.

Este informe se basa en una muestra representativa del total de sitios web con los que trabajamos en el tercer trimestre

de 2016. Se utilizó un total de 7.937 sitios web infectados. Esta es la muestra que ha proporcionado los datos más

consistentes para prepar este informe.




La telemetría del T3 muestra que las cosas fueron relativamente estables en todas las plataformas. Los cambios

generales parecían marginales: Joomla! y Magento han tenido un aumento del 1%. El modesto aumento en Magento

no es una sorpresa, teniendo en cuenta la tendencia de este año de los atacantes cambiar su enfoque poara las

plataformas utilizadas para el comercio en línea (el comercio electrónico).

Basado en los datos, las tres plataformas CMS más afectadas, así como en los informes del primer y del segundo

trimestre de 2016, son WordPress, Joomla! y Magento. Esto no quiere decir que estas plataformas son más o menos

seguras que otras.

En la mayoría de los casos la infección analizada tenía poco o nada que ver con el uso de la base de CMS en sí, pero con

la implementación inadecuada, configuración y mantenimiento en general de los webmasters o de sus hosts.

Análisis de CMS




El gráfico anterior proporciona una ilustración mensual de la distribución de la plataforma para las cuatro principales

aplicaciones de CMS que supervisamos.

Análisis de CMS (Continuación)




Mientras la principal causa de infecciones sea resultante de las vulnerabilidades encontradas en componentes

extensibles de aplicaciones CMS (extensiones, plugins, módulos), es importante analizar y comprender el estado del

CMS en los sitios web que trabajamos.

• CMS Actualizado • CMS Desactualizado

Un CMS se consideró obsoleto si no estaba en la versión más reciente de seguridad recomendada o no

había parcheado el medio ambiente con las actualizaciones de seguridad disponibles (como es el caso en las

implementaciones de Magento) en el momento que Sucuri fue contratada para realizar los servicios de respuesta a incidentes.

Análisis de CMS Desactualizados




El cambio más sorprendente de este trimestre fue el aumento del 6% en las versiones vulnerables y desactualizadas

de las instalaciones de WordPress en el punto de infección. En T1 / T2, el 56% y 55% de los sitios web WordPress hackeados tenían instalaciones desactualizadas.

Drupal también ha tenido un aumento del 2% de T2 para T3.

Similar a los trimestres anteriores, Magento (94%) y Joomla! (84%) estaban en su mayoría desactualizados y vulnerables

en el punto de infección.

No hubo cambio en por qué creemos que esto está sucediendo. Parece proceder de tres áreas: implementaciones

altamente personalizadas, problemas con compatibilidad y la falta de personal disponible para ayudar en la migración

dentro de las respectivas organizaciones. Estos tienden a crear problemas de actualización y corrección para las

organizaciones, como problemas de incompatibilidad y los posibles impactos a la disponibilidad del sitio web.

El aspecto más preocupante de esta tendencia es la plataforma Magento, una de las plataformas líderes para el

comercio en línea de grandes organizaciones. Hay un aumento en el interés de los hackers para atacar a la plataforma y

a su entorno de datos ricos, dirigiéndose a los datos del titular de la tarjeta (es decir, información de la tarjeta de crédito,

incluida la información del PAN - Permanent Account Number). Habrá más información al respecto en el informe del

cuarto trimestre.

Análisis de CMS Desactualizados (Continuação)




Este fue el top 3 de los plugins vulnerables que estaban desactualizados cuando Sucuri proporcionó servicios de

respuesta a incidentes:

En el tercer trimestre vimos una mejora en Revslider, cayendo del 10% al 8,5%, y en GravityForms, bajando del 6% al

4%. El número total de instalaciones de WordPress infectadas como resultado de estas tres plataformas ha disminuido

significativamente este año, de 25% en el primer trimestre, a 18% en el tercer trimestre. La disminución se espera ya

que más propietarios de sitios web y hosts siguen proactivamente parcheando sus entornos.

Al igual que en los trimestres anteriores, ofrecemos un profundo análisis de la inmersión en la plataforma WordPress,

ya que constituye el 74% de nuestro muestreo. El top 3 de los plugins WordPress sigue siendo TimThumb, Revslider y

Gravity Forms:

Análisis del WordPress




El conjunto de datos más interesante y posiblemente perturbador es la falta de cambio en TimThumb. Creemos que

esto tiene que ver con el hecho de que muchos propietarios de sitios web no saben que tienen el script en su sitio web ,

similar a lo que vemos ocurrir con Revslider.

Los datos muestran, sin embargo, que a medida que estos plugins son parcheados, otros comenzarán a tomar su lugar.

Actualmente no hay otros plugins que se usen en masa que representen más del 1% de nuestro conjunto de datos.

Nota: Los tres plugins tenían un parche disponible hacía más de un año, TimThumb hacía varios años (cuatro años -

2011). Gravity Forms recibió un parche en la versión 1.8.20 en diciembre de 2014 para arreglar la vulnerabilidad Arbitrary File Upload - AFU que está causando los problemas identificados en este informe. RevSlider recibió un

parche sin grandes anuncios en febrero de 2014, divulgado publicamente por Sucuri en septiembre de 2014.

Compromisos en masa empezaron desde diciembre de 2014 y continuaron. Esto muestra y reitera los desafíos que

enfrenta la comunidad en la sensibilización a educar sobre los problemas de propietarios de sitios web, permitiendo

a los propietarios corregir los problemas y facilitando el mantenimiento diario y la gestión de los sitios web por sus

webmasters.

Desafortunadamente, en este informe tuvimos que eliminar la distribución de plugins debido a datos dañados durante

el análisis. Esperamos reintroducir este conjunto de datos en trimestres futuros.

Análise do WordPress (Continuação)




En T3 continuamos nuestro análisis de listas negras. Las listas negras de sitios web tienen la capacidad de afectar

negativamente a los propietarios de sitios web, por lo que es importante entender cómo eliminar una advertencia de lista negra.

La notificación por una autoridad de lista negra como Google puede ser devastadora para la funcionalidad del sitio web.

Eso puede afectar cómo los visitantes acceden a un sitio web, cómo el sitio web se ubica en las páginas de resultados

del motor de búsqueda (SERP) y también puede afectar negativamente a los medios de comunicación como el correo

electrónico.

Según nuestro análisis, aproximadamente el 15% de los sitios web infectados estaban en la lista negra (una caída del

3% desde 18% en el segundo trimestre). Esto indica que aproximadamente el 85% de los miles de sitios web infectados

con los que trabajamos distribuían libremente malware. Esto destaca la importancia de la supervisión continua de su

propiedad web más allá de los medios tradicionales como las herramientas para webmasters de Google y Bing. También

destaca que el monitoreo de listas negras no es suficiente para detectar si un sitio web ha sido comprometido.

En nuestros escaneos, verificamos una serie de listas negras diferentes. La lista negra más destacada era Google Safe

Browsing, que representó el 69% de los sitios web de la lista negra, que también pasa a ser el 10% del total de sitios

web infectados con los cuales trabajamos. Norton Safe Web tenía el 24% del total de listas negras y McAfee SiteAdvisor

el 10% de las listas negras. Todas las demás listas negras que comprobamos marcaron menos del 1% y se eliminaron

del informe (incluyendo: PhishTank, Spamhaus y otras listas negras menores).

Nota: El porcentaje nunca será el 100%, ya que algunos sitios web fueron marcados por varias listas negras al mismo tiempo.

Análisis de Listas Negras




Familia de Malware

Backdoor

Malware

SPAM-SEO

HackTool

Defaced

Phishing

Descripción

Los archivos utilizados para reinfectar y retener acceso.

Término genérico utilizado para el código del lado del navegador utilizado para

crear drive by downloads.

Infección cuyo objetivo es el SEO del sitio web.

Exploit o herramienta de DDoS utilizada para atacar a otros sitios web.

Hacks que inutilizan la página principal del sitio web y promoven temas no

relacionados (Hacktavismo).

Utilizado para phishing lures en los cuales el intento de ataque engaña a los

usuarios para compartir información confidencial (información de log in, tarjetas

de crédito...)

Pequeño Glosario de Términos

Mailer Spam que genera herramientas, desarrolladas para abusar de los recursos del servidor.

Parte de nuestra investigación en el último trimestre incluye el análisis de las diversas tendencias de infección,

específicamente en lo que se refiere a las familias de malware. Las familias de malware permiten a nuestro equipo

evaluar y entender mejor las tácticas, técnicas y procedimientos de los atacantes (tactics, techniques and procedures -

TTP), lo que inevitablemente nos lleva a sus intenciones.

Un sitio web hackeado puede tener varios archivos modificados con diferentes familias de malware (una relación de

muchos a muchos). Depende de la intención del atacante (es decir, la acción sobre el objetivo) en la forma en que

planea aprovechar su nuevo activo (es decir, el sitio web que ahora forma parte de su red).

Familias de Malware




Respecto al trimestre anterior, el 72% de todos los compromisos tenía un backdoor basado en PHP escondido dentro

del sitio web. Estos backdoors permiten que un atacante tenga acceso al ambiente mucho tiempo después de que

haya infectado con éxito el sitio web y ejecutado sus actos nefastos. Estos backdoors permiten a los atacantes eludir

los controles de acceso existentes en el entorno del servidor web. La eficacia de estas puertas traseras provienen de

engañar a la mayoría de las tecnologías de escáneres de sitios web.

Backdoors a menudo sirven como punto de entrada para el ambiente, tras el compromiso con éxito (es decir, la

capacidad para seguir comprometiendo sitios web). Los propios backdoors a menudo no son la intención del atacante.

La intención es el ataque, que se encuentra en forma de spam de SEO condicional, redirecciones maliciosas o

infecciones drive-by-download.

Aproximadamente el 37% de todos los casos de infección son utilizados maliciosamente para las campañas de spam de

SEO (a través de PHP, inyecciones de bases de datos o redirecciones .htaccess). En estos casos el sitio web es infectado

con contenido de spam o redirige a visitantes a páginas específicas de spam. El contenido utilizado aparece a menudo

en forma de anuncios farmacéuticos (disfunción eréctil, Viagra, Cialis, etc.) e incluye otras inyecciones para industrias

como la moda y el entretenimiento (Raybans baratos, casino, pornografía).

Familias de Malware (Continuação)




Una observación muy interesante fue el fuerte aumento en scripts de correo en el tercer trimestre, saltando entre el

12% y el 19%, desde el 7% en el segundo trimestre. También hubo un modesto aumento del 4% en las herramientas de

hacking que se encuentran en los sitios web infectados. Abusar de los recursos del sistema para cosas como correos

electrónicos de spam no es una novedad, pero el fuerte aumento al 19% en un trimestre muestra que más atacantes

usan esta técnica o nuevos métodos mejorados de abuso de estos recursos.

Otra observación interesante fue el descenso del 10% en la distribución de malware, del 60% en el segundo trimestre al

50% en el tercer trimestre. Es difícil decir si esto es una anomalía u otra razón no identificada. El cuarto trimestre deberá

explicar mejor las últimas tendencias.

Además, analizamos lo que los atacantes modificaron una vez que el compromiso fue exitoso y pudimos atribuirlos a los

tres archivos siguientes:

Nuestro servicio de respuesta a incidentes también

limpió aproximadamente 92 archivos en cada solicitud

de eliminación de software malicioso. Eso es un aumento

del 15% en relación al segundo trimestre. Esto no

necesariamente se refiere a los hacks más complejos, pero

a un aumento en la profundidad de los archivos afectados

a cada hack. También se trata de la cuestión de que la

limpieza de los síntomas en un archivo a menudo no es

suficiente para eliminar una infección por completo.

Familias de Malware (Continuação)




Este informe confirma lo que ya se conocía; el software vulnerable sigue siendo un problema y es la principal causa de los

hacks de hoy en día.

En este informe se infiere que:

Los datos no indican que hay algún cambio que ocurre entre la orientación que está siendo difundida por los profesionales

de seguridad de la información (InfoSec) y las acciones que los administradores de sitios web están tomando.

Al igual con lo que informamos en trimestres anteriores, podemos esperar que, como las tecnologías de código abierto

siguen cambiando, la industria del sitio web seguirá viendo las evoluciones en la forma en que están comprometidos. En la

actualidad hay una fuerte disminución en el conocimiento necesario para tener un sitio web, que está criando la mentalidad

equivocada con los propietarios de sitios web y proveedores de servicios.

Gracias por leer nuestro informe. Esperamos que haya disfrutado y que nuestro informe le haya sido de gran ayuda. Si hay

alguna información adicional que usted cree que es relevante, cuéntenos. Tenemos nuevos datos que se rastrearán para el

informe en T4.

• WordPress continúa liderando los sitios web infectados en los que trabajamos (en 74%).

• Los tres plugins principales que afectan a WordPress continúan siendo Gravity Forms, TimThumb y RevSlider,

bajando del 25% en el primer trimestre al 18% en el tercer trimestre. Sin embargo, ha habido un notable aumento

en sus impactos.

• Hubo un notable aumento en las instalaciones de WordPress desactualizadas en el punto de la infección,

que aumentó del 55% en T2 al 61% en T3. Tanto Joomla! como Magento continúan liderando el paquete con

instalaciones vulnerables desactualizadas en el punto de la infección.

• La telemetría de listas negras mostró una reducción del 3% en los sitios web en la lista negra (sólo el 15%),

aumentando el número de sitios web infectados que no son detectados por los motores de lista negra hasta el

85%. Google aumentó su participación para el 69% del 52% en el segundo trimestre.

• El análisis de las familias de malware demostró que el spam de SEO continúa aumentando, manteniéndose estable

en el 37% (el 1% menos que en el segundo trimestre). También mostró un fuerte aumento en los scripts de

correo, de 12% a 19%, y una disminución del 10% en la distribución de malware del 60% en T2 al 50% en el tercer

trimestre.

• En este trimestre se presentó un nuevo conjunto de datos que describía qué archivos de los malos actores están

modificando de manera más consistente con cada incidencia: index.php (25%), header.php (20%) y .htaccess (10%).

Conclusión




[email protected]

1.888.873.0817

sucuri.netSucuriSecurity

English

sucuri.net/esSucuriseguridad

Spanish

sucuri.net/ptSucuriSeguranca

Portuguese

INFORME DE SITIOS WEB HACKEADOS 2016 - T3 · En T3 continuamos nuestro análisis de listas negras....

Documents

Transcript of INFORME DE SITIOS WEB HACKEADOS 2016 - T3 · En T3 continuamos nuestro análisis de listas negras....