informe de sitios web hackeados 2016 - t3 · en t3 continuamos nuestro análisis de listas negras....
TRANSCRIPT
Informe de Sitios Web Hackeados T3 2016
1© 2016 Sucuri Inc. Todos los derechos reservados.
Sucuriseguridad | sucuri.net/es#InformedeSitiosWebHackeados #pregunteaSucuri
INFORME DE SITIOS WEB HACKEADOS2016 - T3Tendencias: Cómo los Sitios Web Son Hackeados y Cuál Malware Se Usa
2 Introducción
Este informe se basa en información recogida y analizada por el Equipo de
Remediación de Sucuri, que incluye el Equipo de Respuesta a incidentes y el Equipo
de Investigación de Malware. Analizamos más de 8.000 sitios web infectados y
compartimos las estadísticas relativas a:
• Aplicaciones CMS de código abierto infectadas
• Detalles sobre la plataforma WordPress
• Listas negras notificando sitios web hackeados
• Familias de Malware y sus efectos
Qué hay en este informe
3 Análisis de CMS
5 Análisis de CMS Desactualizados
7 Análisis de WordPress
9 Análisis de Listas Negras
13 Conclusión
© 2016 Sucuri Inc. Todos los derechos reservados.
10 Familias de Malware
Sucuriseguridad | sucuri.net/es#InformedeSitiosWebHackeados #pregunteaSucuri
Informe de Sitios Web Hackeados T3 2016
2© 2016 Sucuri Inc. Todos los derechos reservados.
Sucuriseguridad | sucuri.net/es#InformedeSitiosWebHackeados #pregunteaSucuri
Introducción
El informe de la tendencia de sitios web hackeados se produce por Sucuri y resume las últimas tendencias de los malos
actores, identificando las últimas tácticas, técnicas y procedimientos vistos por el Equipo de Remediación. Este informe
se basará en los datos de los trimestres anteriores, incluidos los datos actualizados para el tercer trimestre de 2016/T3.
La única constante en este informe son los administradores de sitios web mal entrenados y sus efectos en los sitios
web.
Este informe mostrará las tendencias basadas en las aplicaciones CMS más afectadas por infecciones en el sitio web
y demostrará los tipos de familias de malware que están siendo utilizadas por los atacantes y actualizaciones sobre el
estado de la lista negra del sitio web. En este informe se eliminaron los datos correspondientes a las configuraciones de
plugins de WordPress.
Este informe se basa en una muestra representativa del total de sitios web con los que trabajamos en el tercer trimestre
de 2016. Se utilizó un total de 7.937 sitios web infectados. Esta es la muestra que ha proporcionado los datos más
consistentes para prepar este informe.
Informe de Sitios Web Hackeados T3 2016
3© 2016 Sucuri Inc. Todos los derechos reservados.
Sucuriseguridad | sucuri.net/es#InformedeSitiosWebHackeados #pregunteaSucuri
La telemetría del T3 muestra que las cosas fueron relativamente estables en todas las plataformas. Los cambios
generales parecían marginales: Joomla! y Magento han tenido un aumento del 1%. El modesto aumento en Magento
no es una sorpresa, teniendo en cuenta la tendencia de este año de los atacantes cambiar su enfoque poara las
plataformas utilizadas para el comercio en línea (el comercio electrónico).
Basado en los datos, las tres plataformas CMS más afectadas, así como en los informes del primer y del segundo
trimestre de 2016, son WordPress, Joomla! y Magento. Esto no quiere decir que estas plataformas son más o menos
seguras que otras.
En la mayoría de los casos la infección analizada tenía poco o nada que ver con el uso de la base de CMS en sí, pero con
la implementación inadecuada, configuración y mantenimiento en general de los webmasters o de sus hosts.
Análisis de CMS
Informe de Sitios Web Hackeados T3 2016
4© 2016 Sucuri Inc. Todos los derechos reservados.
Sucuriseguridad | sucuri.net/es#InformedeSitiosWebHackeados #pregunteaSucuri
El gráfico anterior proporciona una ilustración mensual de la distribución de la plataforma para las cuatro principales
aplicaciones de CMS que supervisamos.
Análisis de CMS (Continuación)
Informe de Sitios Web Hackeados T3 2016
5© 2016 Sucuri Inc. Todos los derechos reservados.
Sucuriseguridad | sucuri.net/es#InformedeSitiosWebHackeados #pregunteaSucuri
Mientras la principal causa de infecciones sea resultante de las vulnerabilidades encontradas en componentes
extensibles de aplicaciones CMS (extensiones, plugins, módulos), es importante analizar y comprender el estado del
CMS en los sitios web que trabajamos.
• CMS Actualizado • CMS Desactualizado
Un CMS se consideró obsoleto si no estaba en la versión más reciente de seguridad recomendada o no
había parcheado el medio ambiente con las actualizaciones de seguridad disponibles (como es el caso en las
implementaciones de Magento) en el momento que Sucuri fue contratada para realizar los servicios de respuesta a incidentes.
Análisis de CMS Desactualizados
Informe de Sitios Web Hackeados T3 2016
6© 2016 Sucuri Inc. Todos los derechos reservados.
Sucuriseguridad | sucuri.net/es#InformedeSitiosWebHackeados #pregunteaSucuri
El cambio más sorprendente de este trimestre fue el aumento del 6% en las versiones vulnerables y desactualizadas
de las instalaciones de WordPress en el punto de infección. En T1 / T2, el 56% y 55% de los sitios web WordPress hackeados tenían instalaciones desactualizadas.
Drupal también ha tenido un aumento del 2% de T2 para T3.
Similar a los trimestres anteriores, Magento (94%) y Joomla! (84%) estaban en su mayoría desactualizados y vulnerables
en el punto de infección.
No hubo cambio en por qué creemos que esto está sucediendo. Parece proceder de tres áreas: implementaciones
altamente personalizadas, problemas con compatibilidad y la falta de personal disponible para ayudar en la migración
dentro de las respectivas organizaciones. Estos tienden a crear problemas de actualización y corrección para las
organizaciones, como problemas de incompatibilidad y los posibles impactos a la disponibilidad del sitio web.
El aspecto más preocupante de esta tendencia es la plataforma Magento, una de las plataformas líderes para el
comercio en línea de grandes organizaciones. Hay un aumento en el interés de los hackers para atacar a la plataforma y
a su entorno de datos ricos, dirigiéndose a los datos del titular de la tarjeta (es decir, información de la tarjeta de crédito,
incluida la información del PAN - Permanent Account Number). Habrá más información al respecto en el informe del
cuarto trimestre.
Análisis de CMS Desactualizados (Continuação)
Informe de Sitios Web Hackeados T3 2016
7© 2016 Sucuri Inc. Todos los derechos reservados.
Sucuriseguridad | sucuri.net/es#InformedeSitiosWebHackeados #pregunteaSucuri
Este fue el top 3 de los plugins vulnerables que estaban desactualizados cuando Sucuri proporcionó servicios de
respuesta a incidentes:
En el tercer trimestre vimos una mejora en Revslider, cayendo del 10% al 8,5%, y en GravityForms, bajando del 6% al
4%. El número total de instalaciones de WordPress infectadas como resultado de estas tres plataformas ha disminuido
significativamente este año, de 25% en el primer trimestre, a 18% en el tercer trimestre. La disminución se espera ya
que más propietarios de sitios web y hosts siguen proactivamente parcheando sus entornos.
Al igual que en los trimestres anteriores, ofrecemos un profundo análisis de la inmersión en la plataforma WordPress,
ya que constituye el 74% de nuestro muestreo. El top 3 de los plugins WordPress sigue siendo TimThumb, Revslider y
Gravity Forms:
Análisis del WordPress
Informe de Sitios Web Hackeados T3 2016
8© 2016 Sucuri Inc. Todos los derechos reservados.
Sucuriseguridad | sucuri.net/es#InformedeSitiosWebHackeados #pregunteaSucuri
El conjunto de datos más interesante y posiblemente perturbador es la falta de cambio en TimThumb. Creemos que
esto tiene que ver con el hecho de que muchos propietarios de sitios web no saben que tienen el script en su sitio web ,
similar a lo que vemos ocurrir con Revslider.
Los datos muestran, sin embargo, que a medida que estos plugins son parcheados, otros comenzarán a tomar su lugar.
Actualmente no hay otros plugins que se usen en masa que representen más del 1% de nuestro conjunto de datos.
Nota: Los tres plugins tenían un parche disponible hacía más de un año, TimThumb hacía varios años (cuatro años -
2011). Gravity Forms recibió un parche en la versión 1.8.20 en diciembre de 2014 para arreglar la vulnerabilidad Arbitrary File Upload - AFU que está causando los problemas identificados en este informe. RevSlider recibió un
parche sin grandes anuncios en febrero de 2014, divulgado publicamente por Sucuri en septiembre de 2014.
Compromisos en masa empezaron desde diciembre de 2014 y continuaron. Esto muestra y reitera los desafíos que
enfrenta la comunidad en la sensibilización a educar sobre los problemas de propietarios de sitios web, permitiendo
a los propietarios corregir los problemas y facilitando el mantenimiento diario y la gestión de los sitios web por sus
webmasters.
Desafortunadamente, en este informe tuvimos que eliminar la distribución de plugins debido a datos dañados durante
el análisis. Esperamos reintroducir este conjunto de datos en trimestres futuros.
Análise do WordPress (Continuação)
Informe de Sitios Web Hackeados T3 2016
9© 2016 Sucuri Inc. Todos los derechos reservados.
Sucuriseguridad | sucuri.net/es#InformedeSitiosWebHackeados #pregunteaSucuri
En T3 continuamos nuestro análisis de listas negras. Las listas negras de sitios web tienen la capacidad de afectar
negativamente a los propietarios de sitios web, por lo que es importante entender cómo eliminar una advertencia de lista negra.
La notificación por una autoridad de lista negra como Google puede ser devastadora para la funcionalidad del sitio web.
Eso puede afectar cómo los visitantes acceden a un sitio web, cómo el sitio web se ubica en las páginas de resultados
del motor de búsqueda (SERP) y también puede afectar negativamente a los medios de comunicación como el correo
electrónico.
Según nuestro análisis, aproximadamente el 15% de los sitios web infectados estaban en la lista negra (una caída del
3% desde 18% en el segundo trimestre). Esto indica que aproximadamente el 85% de los miles de sitios web infectados
con los que trabajamos distribuían libremente malware. Esto destaca la importancia de la supervisión continua de su
propiedad web más allá de los medios tradicionales como las herramientas para webmasters de Google y Bing. También
destaca que el monitoreo de listas negras no es suficiente para detectar si un sitio web ha sido comprometido.
En nuestros escaneos, verificamos una serie de listas negras diferentes. La lista negra más destacada era Google Safe
Browsing, que representó el 69% de los sitios web de la lista negra, que también pasa a ser el 10% del total de sitios
web infectados con los cuales trabajamos. Norton Safe Web tenía el 24% del total de listas negras y McAfee SiteAdvisor
el 10% de las listas negras. Todas las demás listas negras que comprobamos marcaron menos del 1% y se eliminaron
del informe (incluyendo: PhishTank, Spamhaus y otras listas negras menores).
Nota: El porcentaje nunca será el 100%, ya que algunos sitios web fueron marcados por varias listas negras al mismo tiempo.
Análisis de Listas Negras
Informe de Sitios Web Hackeados T3 2016
10© 2016 Sucuri Inc. Todos los derechos reservados.
Sucuriseguridad | sucuri.net/es#InformedeSitiosWebHackeados #pregunteaSucuri
Familia de Malware
Backdoor
Malware
SPAM-SEO
HackTool
Defaced
Phishing
Descripción
Los archivos utilizados para reinfectar y retener acceso.
Término genérico utilizado para el código del lado del navegador utilizado para
crear drive by downloads.
Infección cuyo objetivo es el SEO del sitio web.
Exploit o herramienta de DDoS utilizada para atacar a otros sitios web.
Hacks que inutilizan la página principal del sitio web y promoven temas no
relacionados (Hacktavismo).
Utilizado para phishing lures en los cuales el intento de ataque engaña a los
usuarios para compartir información confidencial (información de log in, tarjetas
de crédito...)
Pequeño Glosario de Términos
Mailer Spam que genera herramientas, desarrolladas para abusar de los recursos del servidor.
Parte de nuestra investigación en el último trimestre incluye el análisis de las diversas tendencias de infección,
específicamente en lo que se refiere a las familias de malware. Las familias de malware permiten a nuestro equipo
evaluar y entender mejor las tácticas, técnicas y procedimientos de los atacantes (tactics, techniques and procedures -
TTP), lo que inevitablemente nos lleva a sus intenciones.
Un sitio web hackeado puede tener varios archivos modificados con diferentes familias de malware (una relación de
muchos a muchos). Depende de la intención del atacante (es decir, la acción sobre el objetivo) en la forma en que
planea aprovechar su nuevo activo (es decir, el sitio web que ahora forma parte de su red).
Familias de Malware
Informe de Sitios Web Hackeados T3 2016
11© 2016 Sucuri Inc. Todos los derechos reservados.
Sucuriseguridad | sucuri.net/es#InformedeSitiosWebHackeados #pregunteaSucuri
Respecto al trimestre anterior, el 72% de todos los compromisos tenía un backdoor basado en PHP escondido dentro
del sitio web. Estos backdoors permiten que un atacante tenga acceso al ambiente mucho tiempo después de que
haya infectado con éxito el sitio web y ejecutado sus actos nefastos. Estos backdoors permiten a los atacantes eludir
los controles de acceso existentes en el entorno del servidor web. La eficacia de estas puertas traseras provienen de
engañar a la mayoría de las tecnologías de escáneres de sitios web.
Backdoors a menudo sirven como punto de entrada para el ambiente, tras el compromiso con éxito (es decir, la
capacidad para seguir comprometiendo sitios web). Los propios backdoors a menudo no son la intención del atacante.
La intención es el ataque, que se encuentra en forma de spam de SEO condicional, redirecciones maliciosas o
infecciones drive-by-download.
Aproximadamente el 37% de todos los casos de infección son utilizados maliciosamente para las campañas de spam de
SEO (a través de PHP, inyecciones de bases de datos o redirecciones .htaccess). En estos casos el sitio web es infectado
con contenido de spam o redirige a visitantes a páginas específicas de spam. El contenido utilizado aparece a menudo
en forma de anuncios farmacéuticos (disfunción eréctil, Viagra, Cialis, etc.) e incluye otras inyecciones para industrias
como la moda y el entretenimiento (Raybans baratos, casino, pornografía).
Familias de Malware (Continuação)
Informe de Sitios Web Hackeados T3 2016
12© 2016 Sucuri Inc. Todos los derechos reservados.
Sucuriseguridad | sucuri.net/es#InformedeSitiosWebHackeados #pregunteaSucuri
Una observación muy interesante fue el fuerte aumento en scripts de correo en el tercer trimestre, saltando entre el
12% y el 19%, desde el 7% en el segundo trimestre. También hubo un modesto aumento del 4% en las herramientas de
hacking que se encuentran en los sitios web infectados. Abusar de los recursos del sistema para cosas como correos
electrónicos de spam no es una novedad, pero el fuerte aumento al 19% en un trimestre muestra que más atacantes
usan esta técnica o nuevos métodos mejorados de abuso de estos recursos.
Otra observación interesante fue el descenso del 10% en la distribución de malware, del 60% en el segundo trimestre al
50% en el tercer trimestre. Es difícil decir si esto es una anomalía u otra razón no identificada. El cuarto trimestre deberá
explicar mejor las últimas tendencias.
Además, analizamos lo que los atacantes modificaron una vez que el compromiso fue exitoso y pudimos atribuirlos a los
tres archivos siguientes:
Nuestro servicio de respuesta a incidentes también
limpió aproximadamente 92 archivos en cada solicitud
de eliminación de software malicioso. Eso es un aumento
del 15% en relación al segundo trimestre. Esto no
necesariamente se refiere a los hacks más complejos, pero
a un aumento en la profundidad de los archivos afectados
a cada hack. También se trata de la cuestión de que la
limpieza de los síntomas en un archivo a menudo no es
suficiente para eliminar una infección por completo.
Familias de Malware (Continuação)
Informe de Sitios Web Hackeados T3 2016
13© 2016 Sucuri Inc. Todos los derechos reservados.
Sucuriseguridad | sucuri.net/es#InformedeSitiosWebHackeados #pregunteaSucuri
Este informe confirma lo que ya se conocía; el software vulnerable sigue siendo un problema y es la principal causa de los
hacks de hoy en día.
En este informe se infiere que:
Los datos no indican que hay algún cambio que ocurre entre la orientación que está siendo difundida por los profesionales
de seguridad de la información (InfoSec) y las acciones que los administradores de sitios web están tomando.
Al igual con lo que informamos en trimestres anteriores, podemos esperar que, como las tecnologías de código abierto
siguen cambiando, la industria del sitio web seguirá viendo las evoluciones en la forma en que están comprometidos. En la
actualidad hay una fuerte disminución en el conocimiento necesario para tener un sitio web, que está criando la mentalidad
equivocada con los propietarios de sitios web y proveedores de servicios.
Gracias por leer nuestro informe. Esperamos que haya disfrutado y que nuestro informe le haya sido de gran ayuda. Si hay
alguna información adicional que usted cree que es relevante, cuéntenos. Tenemos nuevos datos que se rastrearán para el
informe en T4.
• WordPress continúa liderando los sitios web infectados en los que trabajamos (en 74%).
• Los tres plugins principales que afectan a WordPress continúan siendo Gravity Forms, TimThumb y RevSlider,
bajando del 25% en el primer trimestre al 18% en el tercer trimestre. Sin embargo, ha habido un notable aumento
en sus impactos.
• Hubo un notable aumento en las instalaciones de WordPress desactualizadas en el punto de la infección,
que aumentó del 55% en T2 al 61% en T3. Tanto Joomla! como Magento continúan liderando el paquete con
instalaciones vulnerables desactualizadas en el punto de la infección.
• La telemetría de listas negras mostró una reducción del 3% en los sitios web en la lista negra (sólo el 15%),
aumentando el número de sitios web infectados que no son detectados por los motores de lista negra hasta el
85%. Google aumentó su participación para el 69% del 52% en el segundo trimestre.
• El análisis de las familias de malware demostró que el spam de SEO continúa aumentando, manteniéndose estable
en el 37% (el 1% menos que en el segundo trimestre). También mostró un fuerte aumento en los scripts de
correo, de 12% a 19%, y una disminución del 10% en la distribución de malware del 60% en T2 al 50% en el tercer
trimestre.
• En este trimestre se presentó un nuevo conjunto de datos que describía qué archivos de los malos actores están
modificando de manera más consistente con cada incidencia: index.php (25%), header.php (20%) y .htaccess (10%).
Conclusión
Informe de Sitios Web Hackeados T3 2016
14© 2016 Sucuri Inc. Todos los derechos reservados.
Sucuriseguridad | sucuri.net/es#InformedeSitiosWebHackeados #pregunteaSucuri
1.888.873.0817
sucuri.netSucuriSecurity
English
sucuri.net/esSucuriseguridad
Spanish
sucuri.net/ptSucuriSeguranca
Portuguese