Reporte de Sitios Web Hackeados - 2017

Las últimas tendencias de malware y hacking en sitios web comprometidos.

Este reporte está basado en datos recolectados por el Equipo de Remediación de Sucuri (RG por sus siglas en inglés), que incluye al Equipo de Remediación de Incidentes (IRT por sus siglas en inglés) y el Equipo de Investigación de Malware (MRT). El reporte analiza más de +34,000 sitios web infectados y comparte estadísticas asociadas con:

  • Aplicaciones CMS de código abierto afectadas
  • Análisis de Listas Negras
  • Familias de Malware y sus Efectos
Blacklist

Introducción

El Reporte de Sitios Web Hackeados es un reporte producido por Sucuri. Resume las últimas tendencias de los malhechores, identificando las últimas tácticas, técnicas y procedimientos (TTPs por sus siglas en inglés) vistas por el Equipo de Remediación de Sucuri (RG). Este reporte está basado en los datos de los trimestres anteriores, incluyendo los datos actualizados para el 2017.

La única constante que encontrarás en este reporte son los problemas relacionados con los administradores de sitios web mal capacitados (p. ej. webmasters) y su influencia en los sitios web.

Este reporte proveerá tendencias basadas en las aplicaciones de CMS más afectadas por compromisos de sitios web, las familias de malware siendo implementadas y actualizaciones sobre el estado de las listas negras de sitios web. Este reporte no tiene en cuenta datos relacionados con las configuraciones del plugin de WordPress.

Este reporte está basado en una muestra representativa del número total de los sitios web a los cuales el Grupo de Remediación de Sucuri realizó servicios de remediación. Un total de 34,371 sitios web infectados fueron analizados en este reporte. Esta muestra proporciona una representación de los sitios web infectados trabajados por el equipo de remediación en el año 2017.

Análisis de CMS

Basados en nuestra información, las 3 plataformas de CMS más infectadas fueron WordPress, Joomla! y Magento. Esta información no significa que estas plataformas sean más o menos seguras que otras.

En la mayoría de los casos, los compromisos que fueron analizados tuvieron poco o nada que ver en el núcleo de la aplicación CMS en sí misma, pero más con su despliegue, configuración y mantenimiento general inadecuado por los webmasters.

Distribución de infección en WordPress, Joomla!, Drupal y Magento

La telemetría del año 2017 indica un cambio en las infecciones de CMS

  • Las infecciones de WordPress aumentaron del 74% en el tercer trimestre de 2016 al 83% en el 2017.
  • Las infecciones de Joomla! disminuyeron 17% desde el tercer trimestre de 2016 al 13.1% en el 2017.
  • Las tasas de infecciones de Magento se elevaron marginalmente del 6% del tercer trimestre de 2016 al 6.5% en el 2017.
  • Las infecciones de Drupal cayeron ligeramente del 2% en el tercer trimestre de 2016 al 1.6% en el 2017.
Estadísticas de CMS (WordPress, Joomla, Drupal y Magento) Hackeados

El cuadro de arriba proporciona una comparación de nuestro informe anterior en el tercer trimestre de 2016 al 2017 sobre la distribución de las cuatro aplicaciones principales de CMS que monitoreamos.

Análisis de CMS Desactualizados

Si bien la principal causa de infecciones proviene de las vulnerabilidades encontradas en los componentes extensibles de las aplicaciones CMS (p. ej, extensiones, plugins y módulos), también es importante analizar y entender el estado de los CMS en los que trabajamos.

  • CMS Actualizados
  • CMS Desactualizados

Un CMS se consideró desactualizado si no estaba en la última versión de seguridad recomendada, o si el entorno no estaba parcheado con actualizaciones de seguridad disponibles (a como es el caso de las implementaciones de Magento) en el tiempo que Sucuri realizó los servicios de respuesta a incidentes.

Estadísticas de CMS desactualizados

Estamos viendo un cambio interesante en el número de versiones vulnerables y desactualizadas de WordPress en el momento de la infección. Al final del tercer trimestre de 2016, 61% de sitios WordPress hackeados registraron instalaciones desactualizadas, sin embargo, esto ha disminuido desde entonces. En el 2017, solo el 39.3% de las peticiones de limpieza de WordPress estaban corriendo en una versión desactualizada.

Desde el año anterior Joomla! (84%) y Drupal vieron más de un 15% de disminución en versiones desactualizadas, hasta 69.8% y 65.3% respectivamente.

Similar a los años anteriores, los sitios web Magento estaban en su mayoría desactualizados (80.3%) al punto de la infección. Aunque este número ha disminuido más del 13% desde el tercer trimestre de 2016.

Creemos que este problema se deriva de tres áreas principales: implementaciones altamente personalizadas, problemas de compatibilidad con versiones anteriores y falta de personal disponible dentro de las organizaciones para ayudar con la migración a nuevas versiones del CMS. Estas áreas tienden a fomentar problemas de actualización y parcheo para las organizaciones que utilizan CMS populares para sus sitios web, lo que también genera posibles problemas de incompatibilidad e impactos en la disponibilidad del sitio web.

Una de las tendencias más preocupantes que hemos identificado es con Magento, una plataforma líder en el comercio en línea escogida por grandes organizaciones. Gracias a su entorno rico en datos, los atacantes tienen un gran interés en obtener los datos de los tarjetahabientes (p. ej, información de tarjetas de crédito e información PAN).

Análisis de Listas Negras

Continuamos nuestro análisis de listas negras en el 2017. Las listas negras de sitios web tienen la capacidad de afectar negativamente a los propietarios de sitios web, así que es importante entender cómo sacar tu sitio web de la lista negra.

Cuando un sitio web ha sido sido marcado por una autoridad de listas negras (como por ejemplo, Google), los resultados son devastadores. Las listas negras pueden afectar cómo los visitantes acceden a un sitio web, cuál es su ranking en las Páginas de Resultados de los Motores de Búsqueda (SERPs por sus siglas en inglés) y cómo puede afectar medios de comunicación como correos electrónicos.

Nuestro análisis muestra que 17% de los sitios web infectados estaban en una lista negra, apróximadamente. Esto representa un incremento del 2% con respecto al tercer trimestre de 2016.

Distribución de advertencias de listas negras de sitios web entre Google, McAfee y Norton

En nuestros escaneos, comprobamos un número de diferentes listas negras. Durante el 2017, las dos listas negras más prominentes fueron Norton Safe Web y McAfee SiteAdvisor. Ambos grupos representaron un 45% de los sitios web en listas negras.

Distribución de advertencias de listas negras de sitios web reportados entre Google, McAfee y Norton

Google Safe Browsing capturó solamente un 12.9% de las listas negras, que es un declive de años anteriores.

Otras autoridades de listas negras marcaron el 19.8% de los sitios web. Sin representación en la gráfica anterior, estas listas negras incluyen PhishTank, Spamhaus y un par de grupos más pequeños.

Nota: Una superposición en los porcentajes reportados a menudo se debe a que más de una autoridad de listas negras marcó un solo sitio web. Al analizar estos datos, nuestro tamaño de muestra fue menor debido a actualizaciones en nuestros reportes de listas negras. Esto puede haber impactado nuestros resultados.

Familias de Malware

Parte de nuestra investigación del año 2017 incluyó el análisis de las diversas tendencias de infección, específicamente cómo se correlacionan con nuestras familias de malware. Las familias de malware le permiten a nuestro equipo evaluar y comprender mejor las tácticas, técnicas y procedimientos de los atacantes, lo que inevitablemente nos lleva a sus intenciones.

Un sitio web hackeado puede contener múltiples archivos modificados con diferentes familias de malware en ellos (una relación de muchos a muchos). De la intención de los atacantes depende cómo planean aprovechar su nuevo activo (o sea, el sitio web que ahora forma parte de su red).

Tendencias de infecciones

Glosario de términos

Familia de Malware

Descripción

Puerta Trasera

Archivos utilizados para reinfectar y retener el acceso.

Malware

Término genérico que se usa para el código del lado del navegador que crea descargas maliciosas.

Spam SEO

Comprometer el SEO de los sitios web objetivos.

HackTool

Herramientas de explotación o DDoS para atacar otros sitios.

Mailer

Herramientas de generación de spam diseñadas para abusar los recursos del servidor.

Defaced

Hack que deja la página de inicio de un sitio web inutilizable y promover un tema no relacionado (p. ej, hacktivismo).

Phishing

Se utilizan señuelos de phishing con los que los atacantes intentan engañar a los usuarios para que compartan información confidencial (credenciales de acceso, datos de tarjetas de crédito, etc.)

En el transcurso del año anterior, el 71% de todos los sitios comprometidos tenían una puerta trasera escrita en PHP oculta dentro de ellos. Estas puertas traseras le permiten a los atacante retener el acceso al entorno mucho tiempo después de que hayan infectado con éxito el sitio web y realizado sus acciones nefastas. Esta herramienta le da a los atacantes la oportunidad de eludir cualquier control de acceso existente en el entorno del servidor web. La efectividad de estas puertas traseras proviene de su capacidad para evadir a la mayoría de las tecnologías de escaneo de sitios web.

Las puertas traseras a menudo funcionan como el punto de entrada al entorno luego del compromiso exitoso (o sea, la capacidad de extender el compromiso). Generalmente, las puertas traseras en sí mismas no son la intención del atacante. La intención es el ataque en sí y este puede verse en la forma de spam condicional de SEO, redireccionamientos o descargas maliciosas.

También notamos una disminución marginal en la distribución de malware, del 50% en el tercer trimestre de 2016 al 47% en el 2017. Las infecciones de enviadores de correos electrónicos (Mailer scripts) se mantuvieron estables en un 19%.

En el 2017, aproximadamente el 44% de todos los casos de infecciones fueron utilizados para campañas de spam SEO; un incremento de un 7% desde nuestro último reporte. Estas campañas generalmente ocurren a través de PHP, inyecciones en la base de datos, o redirecciones .htaccess donde el sitio estaba infectado con contenido de spam, o el sitio enviaba los visitantes a páginas destinadas para spam. El contenido utilizado suele estar en la forma de publicidad farmacéutica (p. ej, disfunción eréctil, Viagra, Cialis, etc), e incluye otras inyecciones para industrias como la moda o el entretenimiento (p. ej, Ray-Bans, casinos, pornografía).

Tendencia Anual de las 3 Familias de Malware Principales - 2017

De acuerdo con las tendencias anuales para las tres amenazas principales mostradas anteriormente, podemos ver un aumento gradual en el Spam SEO en contraste con una ligera disminución en el Malware. En general, la familia Malware representa una familia más genérica de ataques, mientras que el Spam SEO representa ataques más específicos que apuntan a la manipulación de la optimización en los motores de búsqueda. El aspecto más interesante de este aumento en la tendencia es que sugiere que los atacantes ahora encuentran que el spam SEO es un vector de ataque más lucrativo que el malware.

Nuestro servicio de respuesta a incidentes limpió aproximadamente 168 archivos durante cada petición de eliminación de malware, lo que representó un incremento del 82% en el número total de archivos comparado con nuestro último reporte para el tercer trimestre del 2016.

Archivos Limpiados por Sitio Web Comprometido

Esto no necesariamente habla de hacks más complejos, pero sí habla de un aumento en la profundidad de los archivos afectados por cada hack. También indica que, generalmente, limpiar los síntoma de un archivo no es suficiente para eliminar una infección por completo.

También analizamos los archivos que los atacantes modificaron una vez que el compromiso fue exitoso, y estos son los tres principales:

Los 3 Archivos Más Modificados Después del Hack

Nuestros analistas de datos e investigadores identificaron qué firmas de malware estaban más comúnmente asociadas con estos archivos modificados

19% de los archivos .htaccess fueron asociados con la firma de malware htaccess.spam-seo.redirect.010, también relacionada a htaccess.spam-seo.redirect.006 (15%). Utilizada en campañas de SEO de Sombrero Negro (Blackhat SEO) y Spam de Sombrero Negro (Blackhat Spam), las cargas maliciosas para esas firmas están basadas en reglas .htaccess y ejecutadas de manera directa en el servidor, antes de que el sitio web sea renderizado. Solo el resultado de la carga maliciosa, que puede incluir contenido spam o redirecciones, es visible para el navegador, no el código malicioso en sí.

Firmas de Malware Asociadas a los Archivos .htaccess 2017

También notamos dos entradas que se asociaron comúnmente con archivos .htaccess modificados: htaccess.spam-seo.doorway.003.08 (12%) y htaccess.spam-seo.doorway.003.06 (4%). Estas firmas desencadenan código malicioso responsable de servir páginas creadas para clasificar alto en resultados de búsqueda específicos, y luego redirigen el tráfico a una página diferente. Generalmente, las redirecciones son condicionales y se desencadenan con user-agents, referrers o direcciones IP específicas.

Diez por ciento de los archivos .htaccess que revisamos también estaban relacionados a la firma htaccess.phishing.block_bots.001.02. Los autores de malware usaron estas reglas para bloquear bots y evitar la indexación y la detección automática de sus archivos de phishing.

Dieciocho por ciento de los archivos functions.php estaban asociados con la firma de malware php.malware.anuna.001.02. Nombradas por la condición comúnmente requerida para ejecutar el contenido malicioso, estas cargas varían desde inyección de spam, puertas traseras, la creación de usuarios administradores maliciosos y una variedad de actividades cuestionables.

Firmas de Malware Asociadas los Archivos functions.php 2017

También vimos la firma php.backdoor.sv1_0_1.001 asociada con el 8% de los archivos .htaccess modificados, esta firma tiene como propósito perpetuar el acceso no autorizado en los servidores web. La carga maliciosa de esta firma en particular está escrita en PHP y se ejecuta directamente en el servidor mientras el sitio está cargando. Y ya que solo el resultado de la carga maliciosa es visible en el navegador, se necesita análisis del lado del servidor para encontrar este tipo de infecciones, lo que es bastante común para las puertas traseras, haciéndolas imposibles de detectar desde el sitio web.

Otras firmas comunes asociadas con los archivos functions.php incluyen php.spam-seo.injector.221 (6.8%), php.spam-seo.wp_cd.001 (6.5%), y php.mailer.encrypted.001 (6.0%).

Veintitrés por ciento de los archivos index.php estaban asociados con la firma de malware rex.include_abs_path.004. Esta firma busca archivos invocados desde scripts PHP usando rutas absolutas y caracteres ofuscados dentro de archivos aparentemente inocentes.

Firmas de Malware Asociadas los Archivos index.php 2017

Las firmas de malware restantes asociadas con index.php en nuestro gráfico son para firmas de malware genéricas y malware PHP.

Las 10 Firmas de Malware Principales

Puedes encontrar más información sobre firmas de malware específicas en nuestra Base de Conocimiento (en inglés).

Conclusión

Este informe confirma lo que ya es conocimiento público. El software vulnerable continúa siendo un problema y es una de las principales causas de los hacks de sitios web hoy en día.

Algunos puntos clave de este reporte:

  • WordPress continúa siendo el principal CMS de sitios web infectado (83% de todos los sitios web limpiados en el 2017).
  • Hubo una disminución notable en instalaciones desactualizadas de WordPress, Joomla y Drupal en el momento de la infección. Magento continúa liderando el paquete en cuanto a la cantidad de instalaciones vulnerables y desactualizadas al momento de la infección.
  • La telemetría de las listas negras mostró una reducción del 1% en los sitios colocados en las listas negras (solo el 14%), lo que aumentó a 86% el número de sitios web infectados que no se fueron detectados por los motores de listas negras.
  • El análisis de las familias de malware muestra que el spam SEO ha aumentado a 62.8% (25.8% más desde el tercer trimestre de 2016). Este análisis también muestra un descenso en los scripts para envío masivo de correos electrónicos (mailer scripts), de un 19% a un 15.1%, y una disminución marginal en la distribución de malware, del 50% en el tercer trimestre de 2016 a un 47% en el 2017.

Hay pocos datos que indiquen una diferencia significativa entre lo que se difunde por profesionales de la seguridad de la información (InfoSec) y las medidas adoptadas por los administradores de sitios web.

Al igual que en informes anteriores, podemos esperar que a medida que las tecnologías de código abierto continúen desarrollándose, la industria de sitios web seguirá viendo evoluciones en la forma en que se ven comprometidas. Hoy en día, hay una reducción en los conocimientos necesarios para crear y poseer un sitio web, lo que está generando una mentalidad errónea tanto en los propietarios de sitios web, como en los proveedores de servicios.

Gracias por tomarte el tiempo para leer nuestro reporte, esperamos que lo encontrarás interesante y reflexivo. Si hay información adicional que crees que deberíamos estar informando al respecto, ¡contáctanos!

Contáctanos