26/10/2006 -
Websense ha presentado el “Informe de Tendencias de Seguridad Web” correspondiente a la primera mitad de 2006. Elaborado por Websense Security Labs, recopila los principales eventos en materia de seguridad ocurridos en dicho período, además de ofrecer un avance de lo que ocurrirá para el resto del año.
Así, en el informe se indica que el volumen de ataques ha experimentado un importante crecimiento y el código malicioso se está haciendo más encubierto, menos reconocible y más dirigido a obtener beneficios económicos.
No sólo el código malicioso es más sofisticado, sino que la infraestructura que lo soporta tanto para su creación como para su expansión también es más compleja. De los sites diseñados para robar información, casi el 15% son derivados de toolkits, una táctica emergente de la comunidad de hackers. Estos kits, creados por profesionales de códigos maliciosos, se encuentran a menudo a la venta en Internet y permiten a los usuarios poco expertos lanzar ataques sofisticados contra exploits y vulnerabilidades de los sistemas operativos.
El motivo de los ataques también se ha hecho más evidente:del tradicional hacking por diversión, se ha pasado a actividades diseñadas para robar datos confidenciales y obtener recompensas financieras. El informe advierte de un incremento del 100% de los sites diseñados para instalar keyloggers, screen scrapers y otras formas de crimeware. Por el contrario, Websense ha registrado un descenso de más del 60% de los websites utilizados simplemente para cambiar preferencias de usuario, tales como las herramientas de navegador.
En la primera mitad del 2006, Websense identificó y eliminó con éxito varios de los nuevos exploit de perfil alto y la expansión de ataques web incluyendo los ataques continuados sobre la vulnerabilidad de Microsoft Windows Metafile (WMF) y la vulnerabilidad de texto del día cero creada en Internet Explorer.
“Websense Security Labs sigue estando a la vanguardia en el avance de descubrimientos basados en ataques y técnicas web. El crecimiento de toolkits permite a los criminales, que no están versados en la escritura del código malicioso, la capacidad de lanzar ataques sumamente sofisticados con el mínimo esfuerzo y gran efectividad”, comenta Dan Hubbard, Vicepresidente de Investigación de Seguridad para Websense. “Además de proteger contra amenazas basadas en la web como keyloggers o spyware, Websense hace especial hincapié en estos ataques de toolkits para proteger de forma proactiva a las empresas antes de que una ola de ataques de este tipo se desencadene”.
De acuerdo con el estudio, Websense Security Labs ha observado un crecimiento del uso tanto de los servidores web como de las tecnologías cliente/servidor web. El escaneo automatizado de la vulnerabilidad para los exploits del cliente y del servidor se está haciendo más inteligente y los ciberdelincuentes están aprovechando de estas vulnerabilidades. Durante la primera mitad de 2006, el 35% de los webs maliciosos estaban alojados en servidores web que habían estado comprometidos.
“A medida que son descubiertas nuevas amenazas, el software de seguridad web de Websense protege rápidamente la infraestructura de red de una organización y a sus empleados, actualizando la seguridad en tiempo real de las URLs y aplicaciones maliciosas. Este avanzado nivel de protección cierra una ventana crítica de exposición, dejada abierta por el despliegue de soluciones de seguridad como firewalls y antivirus basados en la red y en el host, mientras protegen a las organizaciones de ataques potenciales antes de que ocurran”, añade Hubbard.
Otras conclusiones relevantes
• Durante la primera mitad de 2006, Websense Security Labs ha registrado un incremento del número de objetivos de phishing. De hecho, se han descubierto diariamente entre 8 y 10 nuevos enfoques. Asimismo, también se ha encontrado que los toolkits están siendo utilizados para facilitar el phishing. De este modo, un website fraudulento puede concentrar hasta 50 entidades bancarias bajo subdirectorios individuales.
• En los primeros seis meses del año, se han detectado más casos, y mayor sofisticación, de ciberextorsiones. Esta forma permite a los hackers mantener alojados los datos en el equipo de los usuarios finales mientras exigen una cantidad de dinero para desbloquear dichos datos. Junto a esto, los Laboratorios también han percibido mejores niveles de codificación, lo que dificulta la recuperación de datos.
• Crecimiento de botnets utilizando tecnologías peer-to-peer para ganar control, haciendo más difícil su inutilización. El uso de la web para controlar botnets también ha aumentado, permitiendo a los propietarios de botnet facilitar el control de los equipos a través de una página web.
Principales hallazgos en la primera mitad de 2006
• 5 de Enero – Websense Security Labs fue el primero en descubrir más de 1.100 URLs que intentaban atacar a usuarios que no habían instalado el parche para la vulnerabilidad de Microsoft Windows Metafile (WMF), descubierto por Websense a mediados de diciembre de 2005. La mayoría de los ataques eran descargas de troyanos actualizados a través de http e instalados y listos para correr otros elementos de código malicioso.
• 24 de Marzo – La compañía descubrió 200 URLs que estaban atacando una vulnerabilidad “zero-day” en Internet Explorer que permitía lanzar código sin el consentimiento del usuario final. El ataque más frecuente fue el uso de “shellcode” para descargar troyanos que a su vez descargaban código de carga útil adicional sobre http. Tal carga útil se trataba de varias formas de bots, spyware, backdoors y otros troyanos.
• 21 de Junio – Websense informó de que los usuarios finales están sufriendo un engaño para intalar código malicioso a través de mensajes de texto SMS. Las víctimas recibían un SMS en su móvil agradeciéndoles la subcripción a un servicio de datos ficticio. El mensaje indicaba que una cuota de suscripción de dos euros diarios sería cargada automáticamente en su factura telefónica hasta que la suscripción se cancelara de forma on line en un site.
• 21 de Junio – Websense Security Labs reveló una nueva modalidad de ataque que emplea la telefonía VoIP, y que es conocido como Vishing. En este caso, el ataque se dirigía a los clientes del Santa Barbara Bank & Trust. Al igual que el phishing tradicional, los usuarios recibían un mensaje de correo electrónico, con la diferencia de que, en vez de ser direccionados a un website fraudulento, se les dirigía a un número de teléfono.
El informe revela un crecimiento del 100% de los websites diseñados para instalar keyloggers, screen scrapers y otras formas de crimeware. 
