El Informe de seguridad de mitad de año 2011 de Blue Coat describe las poderosas herramientas que permiten que estas redes de entrega de malware sean exitosas: enlaces web dinámicos que permiten que los delincuentes cibernéticos cambien los servidores de carga útil para evitar la detección.
El año pasado, la infraestructura web de entrega de malware atacaba dominios populares y confiables donde los delincuentes cibernéticos podían mostrar sus engaños al superar el alcance de los filtros de reputación y del bloqueo de categorías web.
Sin perder de vista las políticas de uso aceptable, los engaños a menudo ocupan categorías como Almacenamiento en línea y Descargas de software. No obstante, las categorías que atraen el porcentaje más alto de entradas en redes de malware son los motores de búsqueda (39,2%), el correo electrónico (6,9%), la pornografía (6,7%) y las redes sociales (5,2%). La actividad más peligrosa para los usuarios web fue la búsqueda de imágenes o multimedia pirateada.
El análisis de estos hallazgos obligó a extraer la siguiente conclusión: una sola capa de defensa – por ejemplo firewalls y software antivirus – resulta insuficiente para hacer frente a las amenazas dinámicas que se modifican constantemente. La solución más clara es una defensa web inteligente, en tiempo real y que resida en la nube y que sea tan dinámica y eficaz como tales amenazas.
En un determinado día, habrá en funcionamiento un promedio de 50 redes de entrega de malware. A continuación, se enumeran las principales redes:
Las 5 principales redes de entrega de malware por cantidad de nombres de hosts únicos
1. Shnakule
Host de ataques únicos: 2001 en promedio, 4.357 como máximo.
Por lejos, la red de entrega de malware más importante y exitosa. Durante la primera mitad de 2011, Shnakule fue la red más eficaz para engañar a los usuarios: atrajo un promedio de 21.000 solicitudes por día, con un máximo de 51.000 solicitudes. Ésta es una red de amplio alcance y sus actividades maliciosas incluyen descargas ocultas, antivirus y códecs falsos, actualizaciones falsas para Flash y Firefox, warez falsos (software pirateado distribuido por Internet), al igual que controles y comandos de botnet. La principal actividad maliciosa consiste en ataques de antivirus falsos, que por lo general se llevan a cabo mediante el envenenamiento de motores de búsqueda. Shnakule se dedica a múltiples actividades: pornografía, juegos de azar, farmacología, granjas de enlaces y estafas del tipo “gane mucho dinero trabajando en su hogar”. Cabe recordar que Shnakule está integrado por muchas otras redes. Ishabor, que figura en el segundo lugar de esta lista, es un componente de Shnakule, al igual que otras redes de entrega de malware identificadas en el Informe de seguridad de mitad de año.
2. Ishabor
Host de ataques únicos: 766 en promedio, 1.140 como máximo.
Ishabor, se dedica de manera exclusiva a distribuir scareware (software para asustar) con antivirus falsos. Esta red fue lanzada a fines de abril de 2011 y rápidamente incrementó su tráfico. Operó en forma independiente durante una semana. Dada la velocidad a la cual Ishabor pudo dirigir el tráfico hacia sus servidores de malware, quizás esta red formó parte de Shnakule desde un comienzo.
3. Cinbric
Host de ataques únicos: 505 en promedio, 1.602 como máximo.
Tal vez, para las redes de entrega de malware sea fundamental hallar la diversidad para lograr sobrevivir a largo plazo. No obstante, Cinbric demuestra el efecto de dedicarse únicamente a una actividad y hacerlo bien. Sobre todo, esta red depende del correo no deseado para dirigir el tráfico hacia ransomware (software con pedido de rescate) de temas pornográficos. Fundamentalmente, esta red engaña a los usuarios y los dirige hacia sus servidores de malware mediante promesas de acceso exclusivo a cámaras web con la condición de que descarguen e instalen su software. Si bien no ha tenido un crecimiento significativo este año, esta red continúa ofreciendo cifras que merecen nuestra atención, tanto en nombres de host únicos como en volumen de tráfico de ataques.
4. Naargo
Host de ataques únicos: 199 en promedio, 299 como máximo.
Si bien no se trata categóricamente de una red que se dedica a la entrega de malware, muchas de sus características sospechosas ameritan seguimiento e investigación de manera continua. Al igual que Cinbric, esta red se concentra sobre todo en utilizar el correo no deseado y el envenenamiento de motores de búsqueda para dirigir el tráfico hacia sitios web pornográficos.
5. Vidzeban
Host de ataques únicos: 156 en promedio, 347 como máximo
Se trata de una red de warez falsos donde predomina el idioma ruso. Al igual que con otras redes de warez falsos, el correo no deseado sólo dirige una pequeña cantidad del tráfico. Los usuarios que visitan este sitio buscan software para descargar e instalar, por lo que el envenenamiento de motores de búsqueda es su principal fuente de tráfico. A menudo, estos usuarios saben que están buscando en las áreas más sospechosas y con menor reputación de Internet.