IBM detectó un incremento en el volumen y sofisticación de los códigos maliciosos, un aumento en el alquiler de exploids y un bajo número de accesos a vulnerabilidades en comparación con la primera mitad de 2006, lo que se refleja en las estadísticas de seguridad reportadas para la primera mitad de 2007.
El equipo de IBM X-Force para investigación y desarrollo de ISS ha identificado y analizado más de 210 mil nuevas muestras de códigos maliciosos, excediendo el número total de muestras de malware observados en la totalidad de 2006.
X-Force destaca en el informe que la industria del exploid como un servicio continúa prosperando en 2007. El reporte de 2006 de X-Force indicó que esos proveedores de administración de exploids habían comenzado a vender códigos desde el underground, encriptándolos en caso de no poder piratearlos y vendiéndolos por importantes sumas de dinero a distribuidores de spam.
Alquilando un exploid, los atacantes pueden ahora testear técnicas con una pequeña inversión inicial, haciendo de este mercado subterráneo una muy atractiva opción para perpetradores maliciosos.
De acuerdo con el informe, los troyanos (archivos aparentemente legítimos conteniendo ocultos códigos maliciosos) abarcan la más voluminosa categoría de malware en 2007, representando un 28%, en contraste con 2006, cuando la categoría más común era la de downloaders. Un Downloader es una pieza de bajo perfil de malware que es instalado por sí mismo pero que puede después bajar e instalar un agente malicioso más sofisticado.
El informe de estadísticas 2006 de X-Force predijo una continua alza en la sofisticación de objetivos, de acuerdo a perfiles establecidos por los ciberatacantes”, dijo Kris Lamb, director del team X-Force de IBM ISS. “Esto apunta directamente al alza en popularidad de troyanos que estamos verificando este año, cómo los troyanos son usados por los atacantes para lanzamiento sostenido de ataques dirigidos”.
El uso de explotación por ofuscación continúa en alza en 2007, en una tentativa por dificultar la detección de intrusiones basadas en firma y productos de prevención para detectar ataques. En 2006, X-Force reportó que aproximadamente el 50% del material de los hostings de sitios web estaba diseñado para infectar navegadores, los cuales eran ofuscados o “camuflaban” sus ataques. En la primera mitad de 2007, ese número llegó al 80%.
Considerando tendencias históricas, X-Force reporta un leve descenso en el número total de vulnerabilidades descubiertas en la primera mitad de 2007 versus la primera mitad de 2006. Un total de 3.273 vulnerabilidades fueron identificadas en la primera mitad de este año, marcando un descenso de 3,3% comparado con igual período de 2006.
Esta es la primera vez en la historia que el número de acceso a esas vulnerabilidades ha descendido en la primera mitad del año de acuerdo a los registros de X-Force, que fueron creados en 1997. Como siempre, el porcentaje de vulnerabilidades de alto impacto se ha elevado desde 2006 de un 16% a un 21% en la primera mitad de 2007.
X-Force apunta a una seria tendencia para explicar el descenso en acceso de vulnerabilidades en la primera mitad de 2007 versus el crecimiento exponencial de tendencias de vulnerabilidad observado en años anteriores. Primero, la comercialización de vulnerabilidades y exploids ha ganado atención y madurez en el mercado underground; un gran porcentaje de vulnerabilidades son las que quedan sin revelar y están siendo usadas secretamente para pagar y obtener ganancias criminales.
Segundo, el incremento en el uso de “fuzzing” por investigadores de vulnerabilidades sobre los dos últimos años ha encubierto muchas de las más fáciles técnicas para encontrar vulnerabilidades. Fuzzing es una técnica de investigación que randomiza datos; es provisto de un programa de software para generar fallos y por lo tanto detectar vulnerabilidades.
“Como muchas tecnologías y software son expuestos al fuzzing, la industria comienza a alcanzar un punto de saturación en el descubrimiento de esas vulnerabilidades, contribuyendo al decrecimiento de todas las vulnerabilidades acceso”, dijo Lamb.
Finalmente, el número de errores de código común está bajando como resultado de la adopción de los proveedores de software y tecnologías más seguras, desarrollando ciclos de vida y prácticas más prudentes de código seguro.
Una inesperada y similar tendencia en este reporte es que, por primera vez, el tamaño de los mensajes spam ha disminuido, en lugar de continuar en una estructura de crecimiento lineal. Esta baja corresponde con un descenso en el spam basado en imágenes.
Desde mediados de 2005, el spam basado en imágenes ha sido uno de los más grandes desafíos para las tecnologías anti spam, pero en la primera mitad de este año, el porcentaje de spam basado en imágenes descendió del nivel de mediados de 2006 sobre un 30%. Hacia finales de 2006, el spam basado en imágenes ha representado más de un 40% de los mensajes spam.
“El descenso en el tamaño de los mensajes spam y el spam basado en imágenes es un resultado de medidas adoptadas por los spammers con nuevas técnicas, como las de spam basado en PDF y Excel, que cuentan con más éxito en la evasión y menos detección por parte de las tecnologías anti spam”, dijo Lamb.
X-Force ha estado catalogando, analizando y desarrollando accesos de vulnerabilidades desde 1997. Con más de 33 mil vulnerabilidades catalogadas, es la más grande base de datos de vulnerabilidades en el mundo. Esto ayuda a los investigadores de X-Force a entender las dinámicas y elevar el descubrimiento de vulnerabilidades y accesos.
Además de las vulnerabilidades catalogadas en la base de datos de X-Force, IBM ISS contiene servicios de filtrado, que son diseñados para entregar una visión que abarca todo el mundo del spam y ataques phishing. Con millones de direcciones de e-mail activas monitoreadas, ISS ha identificado numerosos avances en las tecnologías de spam y phishing usadas por los atacantes on line.
El reporte de X-Force también entrega las siguientes estadísticas claves de seguridad para la primera mitad de 2007, entre otras:
– Enero ha sido por lejos el más activo mes del año para vulnerabilidades, con 600 accesos.
– España ha tomado el lugar de Corea del Sur como el más grande generador de e-mails phishing, representando el 17,9% del volumen mundial.
– El porcentaje de vulnerabilidades que pueden ser explotadas remotamente ha crecido en la primera mitad de 2007 un 90%, versus el 88% de 2006.
– El porcentaje de vulnerabilidades que permiten a un atacante ganar acceso al host después de ocurrida la explotación ha subido ligeramente también al 51,6%, desde el 50,6% en 2006.
– Actualmente, alrededor del 10% de Internet consiste en contenido no deseado como pornografía, crímenes, contenido para adultos o material desviado de la sociedad.
Para lo que queda de 2007 y 2008, x-Force espera observar una disminución del alza exponencial de divulgación de vulnerabilidades, la continua alza de objetivos y venta de malware como troyanos y una continua alza en las técnicas de ofuscación para amenazas basadas en Internet.
IBM detectó un incremento en el volumen y sofisticación de los códigos maliciosos, un aumento en el alquiler de exploids y un bajo número de accesos a vulnerabilidades en comparación con la primera mitad de 2006, lo que se refleja en las estadísticas de seguridad reportadas para la primera mitad de 2007.El equipo de IBM X-Force para investigación y desarrollo de ISS ha identificado y analizado más de 210 mil nuevas muestras de códigos maliciosos, excediendo el número total de muestras de malware observados en la totalidad de 2006.X-Force destaca en el informe que la industria del exploid como un servicio continúa prosperando en 2007. El reporte de 2006 de X-Force indicó que esos proveedores de administración de exploids habían comenzado a vender códigos desde el underground, encriptándolos en caso de no poder piratearlos y vendiéndolos por importantes sumas de dinero a distribuidores de spam.Alquilando un exploid, los atacantes pueden ahora testear técnicas con una pequeña inversión inicial, haciendo de este mercado subterráneo una muy atractiva opción para perpetradores maliciosos.De acuerdo con el informe, los troyanos (archivos aparentemente legítimos conteniendo ocultos códigos maliciosos) abarcan la más voluminosa categoría de malware en 2007, representando un 28%, en contraste con 2006, cuando la categoría más común era la de downloaders. Un Downloader es una pieza de bajo perfil de malware que es instalado por sí mismo pero que puede después bajar e instalar un agente malicioso más sofisticado.El informe de estadísticas 2006 de X-Force predijo una continua alza en la sofisticación de objetivos, de acuerdo a perfiles establecidos por los ciberatacantes”, dijo Kris Lamb, director del team X-Force de IBM ISS. “Esto apunta directamente al alza en popularidad de troyanos que estamos verificando este año, cómo los troyanos son usados por los atacantes para lanzamiento sostenido de ataques dirigidos”.El uso de explotación por ofuscación continúa en alza en 2007, en una tentativa por dificultar la detección de intrusiones basadas en firma y productos de prevención para detectar ataques. En 2006, X-Force reportó que aproximadamente el 50% del material de los hostings de sitios web estaba diseñado para infectar navegadores, los cuales eran ofuscados o “camuflaban” sus ataques. En la primera mitad de 2007, ese número llegó al 80%.Considerando tendencias históricas, X-Force reporta un leve descenso en el número total de vulnerabilidades descubiertas en la primera mitad de 2007 versus la primera mitad de 2006. Un total de 3.273 vulnerabilidades fueron identificadas en la primera mitad de este año, marcando un descenso de 3,3% comparado con igual período de 2006.Esta es la primera vez en la historia que el número de acceso a esas vulnerabilidades ha descendido en la primera mitad del año de acuerdo a los registros de X-Force, que fueron creados en 1997. Como siempre, el porcentaje de vulnerabilidades de alto impacto se ha elevado desde 2006 de un 16% a un 21% en la primera mitad de 2007.X-Force apunta a una seria tendencia para explicar el descenso en acceso de vulnerabilidades en la primera mitad de 2007 versus el crecimiento exponencial de tendencias de vulnerabilidad observado en años anteriores. Primero, la comercialización de vulnerabilidades y exploids ha ganado atención y madurez en el mercado underground; un gran porcentaje de vulnerabilidades son las que quedan sin revelar y están siendo usadas secretamente para pagar y obtener ganancias criminales.Segundo, el incremento en el uso de “fuzzing” por investigadores de vulnerabilidades sobre los dos últimos años ha encubierto muchas de las más fáciles técnicas para encontrar vulnerabilidades. Fuzzing es una técnica de investigación que randomiza datos; es provisto de un programa de software para generar fallos y por lo tanto detectar vulnerabilidades.“Como muchas tecnologías y software son expuestos al fuzzing, la industria comienza a alcanzar un punto de saturación en el descubrimiento de esas vulnerabilidades, contribuyendo al decrecimiento de todas las vulnerabilidades acceso”, dijo Lamb.Finalmente, el número de errores de código común está bajando como resultado de la adopción de los proveedores de software y tecnologías más seguras, desarrollando ciclos de vida y prácticas más prudentes de código seguro.Una inesperada y similar tendencia en este reporte es que, por primera vez, el tamaño de los mensajes spam ha disminuido, en lugar de continuar en una estructura de crecimiento lineal. Esta baja corresponde con un descenso en el spam basado en imágenes.
Desde mediados de 2005, el spam basado en imágenes ha sido uno de los más grandes desafíos para las tecnologías anti spam, pero en la primera mitad de este año, el porcentaje de spam basado en imágenes descendió del nivel de mediados de 2006 sobre un 30%. Hacia finales de 2006, el spam basado en imágenes ha representado más de un 40% de los mensajes spam.“El descenso en el tamaño de los mensajes spam y el spam basado en imágenes es un resultado de medidas adoptadas por los spammers con nuevas técnicas, como las de spam basado en PDF y Excel, que cuentan con más éxito en la evasión y menos detección por parte de las tecnologías anti spam”, dijo Lamb.X-Force ha estado catalogando, analizando y desarrollando accesos de vulnerabilidades desde 1997. Con más de 33 mil vulnerabilidades catalogadas, es la más grande base de datos de vulnerabilidades en el mundo. Esto ayuda a los investigadores de X-Force a entender las dinámicas y elevar el descubrimiento de vulnerabilidades y accesos.Además de las vulnerabilidades catalogadas en la base de datos de X-Force, IBM ISS contiene servicios de filtrado, que son diseñados para entregar una visión que abarca todo el mundo del spam y ataques phishing. Con millones de direcciones de e-mail activas monitoreadas, ISS ha identificado numerosos avances en las tecnologías de spam y phishing usadas por los atacantes on line.El reporte de X-Force también entrega las siguientes estadísticas claves de seguridad para la primera mitad de 2007, entre otras:- Enero ha sido por lejos el más activo mes del año para vulnerabilidades, con 600 accesos.- España ha tomado el lugar de Corea del Sur como el más grande generador de e-mails phishing, representando el 17,9% del volumen mundial.- El porcentaje de vulnerabilidades que pueden ser explotadas remotamente ha crecido en la primera mitad de 2007 un 90%, versus el 88% de 2006.- El porcentaje de vulnerabilidades que permiten a un atacante ganar acceso al host después de ocurrida la explotación ha subido ligeramente también al 51,6%, desde el 50,6% en 2006.- Actualmente, alrededor del 10% de Internet consiste en contenido no deseado como pornografía, crímenes, contenido para adultos o material desviado de la sociedad.Para lo que queda de 2007 y 2008, x-Force espera observar una disminución del alza exponencial de divulgación de vulnerabilidades, la continua alza de objetivos y venta de malware como troyanos y una continua alza en las técnicas de ofuscación para amenazas basadas en Internet.
El documento completo está disponible aquí.