En el día de ayer les dejé la primer parte del resumen de amenazas del año 2010, un trabajo que hicimos con el equipo de Laboratorio de ESET Latinoamérica sintetizando cuáles fueron los incidentes más importantes que ocurrieron en el año. En la primer parte les contaba sobre los ataques dirigidos, una tendencia que se marcó a principio de año y que tuvo al gusano Stuxnet como protagonista constante, y en esta ocasión les entrego el resto de los hechos importantes que ocurrieron durante el 2010.
Redes botnet
En segundo lugar, las redes botnet han ocupado a lo largo de los meses diversos incidentes que certifican su crecimiento como amenaza. Amenazas como Zeus, el panel de administración de botnet más utilizado en todo el mundo, ha tenido diversas apariciones a lo largo del año, especialmente asociadas al robo de información de credenciales bancarias, una de sus características más relevantes y funcionales, de una red botnet que está asociada a muchos de los códigos maliciosos más populares del año, como es el caso de Koobface, otra de las amenazas que siguió viva durante el año, con diversas campañas de propagación en abril (campaña de falsos videos y codecs), mayo (campaña similar sobre Flash y videos) y agosto (sobre falsos videos de cámaras de seguridad); y finalmente la aparición a fin de año de una nueva variante del troyano que afectaba sistemas Linux y Mac OS.
Sobre el final del año, Zeus recobró protagonismo ya que su autor anunció el fin del desarrollo del mismo (y su posible fusión con SpyEye) y, unas semanas después, diversas operaciones concluyeron en la detención de delincuentes utilizando Zeus a lo largo del mundo, resultando atrapadas ocho personas tanto en Estados Unidos como en Moldavia.
La persecución a administradores de botnet y criminales asociados al negocio delictivo que estas integran también ha sido observado durante el año: a principio de año se realizó el desmantelamiento (proceso de dar de baja las redes, conocido en inglés como takedown) de dos importantes redes, como Mariposa y Waledac (en esta última investigadores de ESET colaboraron brindando información). En el segundo semestre se observó en Holanda el desmantelamiento de Bredolab, otra importante red que durante dos años infectó más de 30 millones de sistemas, aunque algunos indicios permiten aún identificar actividad de nuevas variantes de este troyano. Finalmente, aunque no pudo ser desmantelada, sí fueron dados de baja algunos de los centros de comando y control de Koobface, lo cual permitió conocer datos sobre su funcionamiento y éxito, aunque aún no se ha logrado la baja completa de la red.
Finalmente, también fueron noticias asociadas a las botnet los experimentos realizados para crear equipos zombis móviles (con teléfonos celulares de alta gama), logrando armar una red de más de ocho mil víctimas, aunque sólo fue utilizado con fines de investigación. También se destacaron las tecnologías para administrar botnet desde Twitter, donde el Laboratorio de ESET detectó dos amenazas a lo largo del año utilizando estas tecnologías.
Ataques regionales
Los ataques regionales en Latinoamérica también se vieron en cantidad durante el 2010. Asociados a las redes de equipos zombis, han sido detectadas botnet en México (conocida como Mariachi Botnet) y Argentina (probablemente de origen rosarino). Asimismo, diversos incidentes ocurridos en la región durante el año han sido utilizados como técnica de Ingeniería Social para propagar malware, como el terremoto en Chile (o el caso de los mineros en el mismo país), la situación política en Venezuela o incluso falsas alertas de terremotos en Ecuador, entre otros. También se han destacado, como es costumbre, los troyanos bancarios en Brasil, y este último junto con Argentina como países ubicados entre los diez de mayor emisión de spam a lo largo del mundo.
Otras amenazas
Finalizando el resumen de amenazas más importantes del 2010, se han destacado también la continuidad del gusano Conficker, infectando organizaciones a lo largo de todo el mundo. El gusano que surgió en el año 2008 aún sigue en funcionamiento y propagándose con tasas de infección elevadas para una amenaza que se propaga por vulnerabilidades que ya tienen su parche de seguridad a disposición de los usuarios.
Asimismo, también han ocurrido diversos casos de amenazas para diversas plataformas, como fue el caso de Mac OS, que ha sufrido algunos incidentes, especialmente asociados a troyanos informáticos en dicha plataforma. Estos, también se han propagado en Linux, como el caso del troyano alojado en el repositorio oficial de un software libre durante más de seis meses. Asimismo, se han identificado nuevas variantes de malware para dispositivos móviles, especialmente las primeras variantes para algunos sistemas operativos en crecimiento, como es el caso de Android que tuvo su primer troyano SMS, por el cual los usuarios infectados enviaban mensajes de texto a números pagos, generando así una pérdida económica para la víctima.
Conclusión
En materia de malware ha sido un año muy activo, con amenazas para diversas plataformas, una creciente incidencia de las botnet, la aparición de nuevos códigos maliciosos novedosos, así como también la continuidad de algunas amenazas que llevan años en propagación.
Esta última cualidad (la combinación de amenazas antiguas con otras más modernas) han hecho del 2010 un año de mucho crecimiento para el malware, cuyos principales incidentes han sido presentados en el presente informe.
Recuerden que para conocer más sobre la historia del malware, pueden leer nuestro informe Cronología de los virus informáticos: la historia del malware, donde pueden conocer la historia (mucho) más allá de lo ocurrido este año.
Sebastián Bortnik
Coordinador de Awareness & Research