Los troyanos y los programas espía, aquellos cuya función es recolectar información de la máquina infectada y monitorizar sus movimientos, encabezan el ranking de amenazas del último informe de malware elaborado por G Data SecurityLabs.
Las dos categorías constituyen más del 60% de los nuevos programas maliciosos detectados por el fabricante alemán. Entre los troyanos, que suponen el 44% de las nuevas amenazas, aumentan considerablemente los programas maliciosos de tipo ransomware, aquellos cuyo objetivo es el robo de información para lucrarse luego con el chantaje de la víctima. La presencia de descargadores y puertas traseras indican que las redes de zombis siguen extendiéndose y recolectando nuevas víctimas. Aquí van las principales conclusiones del informe:
Se multiplican los programas espía. Los programas espía, aquellos cuya función es recolectar información de la máquina infectada (contraseñas y datos de acceso a todo tipo de servicios: juegos online, correo web, banca electrónica, redes sociales…), ha crecido más del doble (un 108%) en los primeros seis meses de 2012 respecto al mismo periodo de 2011 y constituyen ya el 17,4% de todas las amenazas. Dentro de estos programas maliciosos, se han mostrado especialmente activos tanto los destinados a robar credenciales de acceso a juegos online como los troyanos bancarios (G Data los incluye como una categoría independiente dentro de los programas espía). Por su interés, dedicamos un apartado a estos últimos.
Troyanos bancarios, cada vez más numerosos, versátiles, “profesionales” y dañinos.
Los troyanos bancarios han aumentado casi en un 14% respecto al semestre anterior, de lo que podemos deducir que la banca online se ha establecido como un auténtico mercado en la economía sumergida de Internet. Su versatilidad y su enorme capacidad de adaptación les hacen especialmente peligrosos. Así lo hemos podido comprobar con el popular troyano ZeuS, que se ha mantenido activo gracias a las múltiples versiones basadas en su código fuente y que todavía sobrevive en varios clones, algunos tan sofisticados como el llamado Gameover, capaz de distribuirse vía P2P; Citadel, que ofrecía a sus compradores contratos de soporte como si de un software comercial se tratase; o una de las últimas variantes de SpyEye, capaz de activar la cámara web de la víctima y usar las transmisiones de video para lograr sus objetivos. Sin embargo, los nuevos métodos son aún más sofisticados. Así por ejemplo, en los conocidos como ataques de sistema de transferencia automática (Automatic Transfer System, ATS)[1], la estafa tiene lugar sin necesidad de interacción por parte del cliente. Los atacantes pueden incluso manipular los balances de las cuentas y los listados de movimientos para que la víctima no sea consciente del robo.
Botnets en aumento.
Otra de las conclusiones que se desprende de este informe es que las botnets siguen creciendo y recolectando máquinas para sus redes de zombis. Así lo indica el número creciente de puertas traseras (backdoors) y descargadores (downloaders), las amenazas más utilizadas para la recolección de nuevos zombis. Las botnets se utilizan, por ejemplo, en ataques de denegación de servicios (DDoS, derribo de servidores por saturación de peticiones) y envío de spam. Las dos categorías alcanzan un 28% del total de las nuevas amenazas.
Los troyanos, los preferidos por los cibercriminales.
Con pocas variaciones, la familia de los troyanos se mantiene como la categoría de malware más explotada por los criminales, englobando el 44% de las nuevas amenazas. Entre ellos se aprecia un aumento sensible de los programas de tipo ransomware, aquellos que infectan el ordenador, lo bloquean o bien codifican determinados archivos que solo se pueden recuperar mediante un pago anónimo. A menudo acusan a la víctima de utilización de software protegido por derechos de autor y se escudan, de forma totalmente fraudulenta, en organizaciones encargadas de hacer cumplir esos derechos o departamentos de los cuerpos de seguridad que velan por la defensa de la propiedad intelectual. El mejor ejemplo de programa tipo ransomware en España ha sido el conocido como “virus de la policía”, que utilizaba la imagen de la Policía Nacional para estafar a las víctimas, a las que acusaba de almacenar pornografía infantil. El ransomware resulta un negocio verdaderamente lucrativo para los ciberdelincuentes pues las cantidades solicitadas se abonan directamente a los atacantes, sin necesidad de utilizar intermediarios o de llevar a cabo otras acciones para conseguir el botín.