Informe de Sitios Web Hackeados (2016 / T1)

Cómo los Sitios Web Son Hackeados y Cuál Malware Se Usa

Este informe se basa en información recogida y analizada por el equipo de remediación Sucuri (RG), que incluye el Equipo de Respuesta a incidentes (IRT) y el Equipo de Investigación de Malware (MRT). Analizamos más de 11k sitios web infectados y compartimos las estadísticas relativas a:

  • Aplicaciones CMS de código abierto afectadas
  • Detalles sobre la plataforma WordPress
  • Familias de Malware y sus efectos
Blacklist

Introducción

Actualmente hay más de 1 mil millones de sitios web. Este número está creciendo a medida que el mundo se conecta cada vez más y la tecnología hace que sea más fácil tener una presencia en línea través de cosas como una página web. Este crecimiento está siendo activado por la explosión de las tecnologías como los sistemas de gestión de contenidos de código abierto (CMS).

Más de un tercio de los sitios web en línea son alimentados por cuatro plataformas principales : WordPress, Joomla, Drupal y Magento! . WordPress Lidera el mercado de CMS con una cuota de más del 60%. Esta expansión y el dominio de WordPress se ve facilitada por su adopción por parte de usuarios global, una plataforma altamente extensible centrada en los usuarios finales. Otras tecnologías de plataforma han experimentado un crecimiento en más nichos de mercado, como Magento en el área de comercio en línea con las grandes organizaciones y negocios y Drupal en grandes organizaciones y empresas públicas.

Esta adopción de los usuarios, sin embargo, ha resultado en serios desafíos para el internet en su conjunto, ya que introduce una gran afluencia de los webmasters no calificados y proveedores de servicios responsables de la aplicación y la gestión de estos sitios web. Esta evaluación se amplifica en nuestro análisis, lo que muestra que de los 11.000+ sitios web infectados analizadas, el 75% se encontraba en la plataforma WordPress y más del 50% estaban desactualizados. Comparando esto con otras plataformas similares que ponen menos énfasis en la compatibilidad, se ve que Joomla! y Drupal tuvieron el porcentaje de software obsoleto superior al 80%.

En marzo de 2016, Google informó que los usuarios de más de 50 millones de sitios web han recibido algún tipo de advertencia de que los sitios web visitados estaban intentando robar información o instalar software malicioso. En marzo de 2015, esta cifra era de 17 millones. Actualmente, Google pone en sus listas negras cerca de 20.000 sitios web por semana en busca de malware y otros 50.000 por semana por suplantación de identidad. PhishTank notifica a más de 2.000 sitios web por phishing por semana. Estas cifras reflejan sólo las infecciones que tienen un efecto negativo inmediato en el visitante (como, Drive by download, Phishing) e incluyen sitios web infectados con spam de SEO y otras tácticas no detectadas por estas empresas.

En Sucuri, estamos bien situados y proporcionamos una perspectiva única sobre lo que está sucediendo cuando un sitio web está siendo hackeado, por lo que estamos compartiendo los resultados del informe. Empezamos por la comprensión de cómo los sitios web están siendo hackeado, teorizamos y resumimos estos resultados con los datos medibles y cuantificables recogidos de nuestros clientes.

Este informe mostrará las tendencias basadas en aplicaciones CMS más afectadas por infecciones en el sitio web y demostrará los tipos de familias de malware que están siendo utilizadas por los atacantes. Este informe se basa en una muestra representativa del total de sitios web con los que trabajamos en el primer trimestre del año del calendario (CY) 2016 (CY16 -T1). Se utilizó un total de 11.485 sitios infectados. Esta es la muestra que ha proporcionado los datos más consistentes con los que prepararon este informe.

Descargar el Informe

ANÁLISIS DE CMS

Basado en los datos, las tres plataformas CMS más afectadas son WordPress, Joomla! y Magento. Esto no quiere decir que estas plataformas son más o menos seguras que otras.

En la mayoría de los casos la infección analizada tenía poco o nada que ver con el uso de la base de CMS en sí, pero con la implementación inadecuada, configuración y mantenimiento en general de los webmasters o de sus hosts.

Distribución de Infección

Más del 78% de todos los sitios web con que trabajamos en el primer trimestre de 2016 se basan en la plataforma WordPress, seguida por Joomla!, el 14%. WordPress es una de las principales plataformas CMS de código abierto en el mercado, lo que lleva a la adopción por las empresas de todos los tamaños y propietarios de sitios web todos los días. En todos los casos, independientemente de la plataforma, la causa principal de la infección se puede atribuir a la explotación de las vulnerabilidades de software en componentes extensibles de la plataforma y no a su esencia. Componentes extensibles están directamente relacionados con la integración de plugins, extensiones, componentes, módulos, plantillas, temas y otras integraciones similares.

Los porcentajes de vBulletin y Modx son relativamente pequeños y fueron retirados del resto del informe.

Las plataformas de distribución en el entorno de Sucuri fueron consistentes a lo largo del trimestre:

CMS Afectados Por Mes

Si hubiera habido un brote grande, el gráfico habría representado claramente la anomalía con el crecimiento de la plataforma en el mes afectado. Con esta información, podemos asumir que nada significativo o inusual ocurrió durante el primer trimestre de 2016. En comparación con el trimestre 4 del año calendario (CY) 2015, vemos que hubo una modesta disminución de la infección en la plataforma WordPress y aumento de las infecciones basadas en Joomla!.

Año tras año, las cosas parecen ser bastante consistentes con WordPress liderando y Joomla! en el distante segundo lugar. Hubo un ligero descenso en Joomla! en 2015, pero el número de establecimiento aumentó ligeramente en el primer trimestre de 2016.

Infecciones de CMS Año Tras Año

Los impactos sobre las vulnerabilidades del software de WordPress se derivan de los intentos de explotación, específicamente en los plugins. Las tres vulnerabilidades de software que afectaron a la mayoría de los sitios web en el primer trimestre fueron los plugins RevSlider y GravityForms, seguidos del script TimThumb.

Otro cambio interesante se puede ver en la plataforma Magento, que se ha convertido en un objetivo más grande para el comercio en línea (es decir , el comercio electrónico) y sigue creciendo. Esto se puede ver en el crecimiento del 200% en el número de infección entre 2015 y T1 2016.

Infecciones de CMS Año Tras Año

El aumento de las concesiones de Magento parece relacionarse con la vulnerabilidad shoplift SUPEE 5344, que recibió un parche en febrero de 2015, publicado por CheckPoint, que descubrió una ejecución remota de código (RCE) que podría ser fácilmente explotable. La vulnerabilidad de ejecución remota de código (RCE) fue descobierta por CheckPoint en abril de 2015 y los ataques que tenían como blanco específicamente la vulnerabilidad de inyección de SQL (SQLi) empezaron 24 horas después del lanzamiento. Además, los compromisos se correlacionaron con un Cross-site Scripting almacenado (XSS), identificado y publicado por el equipo de investigación Sucuri, en la que los atacantes podrían tener cuentas de administrador e introducir nuevas cuentas. La vulnerabilidad ShopLift fue la más grave de las vulnerabilidades descritas.

Además, a diferencia de otras plataformas que los atacantes están usando sitios web para distribuir programas maliciosos, tales como phishing o spam de SEO, los atacantes están dirigiendo los datos de tarjetas de crédito a través de scrapers de tarjeta. Robar los datos en sí no es una sorpresa, es el objetivo obvio del ataque a un sitio web de comercio en línea, pero el hecho de que estamos viendo más scrapers de tarjeta específicos para Magento nos lleva a creer que los usuarios de Magento están procesando datos de la tarjeta localmente en el servidor web, en lugar de utilizar los integradores de terceros para manejar el procesamiento de la información de la tarjeta y los atacantes lo saben. Eso también demuestra una falta de compromiso con el Payment Card Industry Data Security Standards (PCI DSS) que muestra cómo los negocios deven ser responsabilizados por la seguridad de la información del portador de la tarjeta de crédito en un entorno de ecommerce.

Análisis de CMS Desactualizados

Mientras la principal causa de infecciones sea resultante de las vulnerabilidades encontradas en componentes extensibles de aplicaciones CMS, es importante analizar y comprender el estado del CMS en los sitios web que trabajamos. Softwares obsoletos han sido un problema grave desde que la primera parte del código se colocó en el papel virtual. Con tiempo, motivación y recursos suficientes, los atacantes identifican y explotan las vulnerabilidades del software.

Para que los datos sean manejables, los dividimos en dos categorías distintas específicas para el núcleo de la aplicación, no para sus componentes extensibles:

  • CMS Actualizado
  • CMS Desactualizado

Un CMS se consideró obsoleto si no estaba en la versión más reciente de seguridad recomendada o no habían parcheado el medio ambiente con las actualizaciones de seguridad disponibles (como es el caso en las implementaciones de Magento) en el momento que Sucuri fue contratada para realizar los servicios de respuesta a incidentes.

CMS Desactualizados

WordPress lideró en compatibilidad con versiones anteriores y facilidad de cambios para los propietarios de sitios web, pero el mismo no puede decirse de otras plataformas CMS como Joomla!, Drupal y Magento. Incluso con los esfuerzos que la plataforma de WordPress coloca sobre la importancia del cambio, de los más de 11k sitios infectados, el 56% de todos todavía estaban desactualizados. Esta cifra es buena si se compara con Joomla! (84%), Magento (96%) y Drupal (81%).

El reto de estar actualizado se debe principalmente a tres causas: implementaciones altamente personalizadas, problemas de compatibilidad con versiones anteriores y falta de personal disponible para ayudar en la transición. Esto tiende a crear problemas de actualización y parches para las organizaciones que los instalan en sus sitios web con problemas de incompatibilidad e impactos potenciales sobre la disponibilidad del sitio web.

Estas estadísticas hablan de los retos que enfrentan los propietarios del sitio web, sin importar el tamaño de su empresa o negocio. Propietarios de sitios web no son capaces de mantenerse actualizados frente las nuevas amenazas. Del mismo modo, la recomendación de "mantener todo actualizado" o "hay que actualizar" no es suficiente. Propietarios de sitios web están recurriendo a otras tecnologías como Website Application Firewall (WAF) para dar a sí mismos y a sus organizaciones el tiempo que necesitan para responder con mayor eficacia a las amenazas a través de técnicas de parches virtuales y hardening.

Comprendendo Mejor WordPress

Con WordPress dominando un gran porcentaje del total de sitios web infectados, se analizaron el (77%) de este total, decidimos profundizar para entender las principales causas de las infecciones. Con el número de plugins en el repositorio (más de 40 mil) y el número de vulnerabilidades reportadas al día, a veces es difícil entender lo que está sucediendo en medio de tanto ruido.

Estos fueron los top tres de los plugins desactualizados y vulnerables cuando un sitio web contrató a Sucuri para sus servicios de respuesta a incidentes:

Plugins Desactualizados

Casi el 10% de los sitios de WordPress comprometidas que revisamos tenían una versión vulnerable de RevSlider. RevSlider, Gravity Forms y TimThumb combinados representan el 25% de los sitios web de WordPress comprometidos.

Los tres plugins tenían un parche disponible hacía más de un año, TimThumb hacía varios años (cuatro años para ser exactos, en torno a 2011). Gravity Forms recibió un parche en la versión 1.8.20, diciembre de 2014 para responder la vulnerabilidad Arbitrary File Upload (AFU) que está causando los problemas identificados en este informe. RevSlider recibió un parche sin grandes anuncios en febrero de 2014, divulgado publicamente por Sucuri en septiembre de 2014. Compromisos en masa empezaron desde deciembre de 2014 y continuaron. Esto muestra y reitera los desafíos que enfrenta la comunidad en la sensibilización a educar a los problemas de propietarios de sitios web, permitiendo a los propietarios corregir los problemas y facilitando el mantenimiento diario y la gestión de los sitios web por sus webmasters. TimThumb era la revelación más interesante de este análisis.

Los gráficos muestran el porcentaje de casos de TimThumb vulnerables en sitios web de WordPress comprometidos al largo de los años.

Timthumb

Nunca RevSlider llegó cerca de TimThumb, pero aún afecta a sitios web meses después de haber sido divulgado por primera vez. El mayor desafío con RevSlider, sin embargo, son los Temas y Frameworks ya que algunos propietarios de sitios web no saben que están instalados en sus sitios web hasta que se han utilizado para afectarlos negativamente por medio de un compromiso.

Revslider

La principal causa de los compromisos de hoy proviene de la explotación de las vulnerabilidades del software que se encuentran en software obsoletos, específicamente en sus componentes extensibles, como se ha descrito anteriormente para la plataforma WordPress.

La idea de la gestión de parches y la vulnerabilidad no es un nuevo concepto en el mundo de la seguridad o de la tecnología. Pero en el mundo de las operaciones diarias, el personal no es técnico. Quizás el aspecto más difícil es que esto se aplica a todos los equipos, incluso los que tienen controles más formales y procesos de seguridad. El hecho es que incluso las grandes organizaciones enfrentan a los mismos retos que los propietarios de sitios web comunes (es decir, bloggers y pequeñas empresas) para actualizar sus sitios web como nuevas actualizaciones disponibles para resolver todos los problemas, incluidos los parches de seguridad.

FAMILIAS DE MALWARE

Parte de nuestra investigación en el último trimestre incluye el análisis de las diversas tendencias de infección, específicamente en lo que se refiere a las familias de malware. Familias de malware permiten a nuestro personal evaluar y comprender mejor las acciones de los atacantes, lo que inevitablemente conduce a sus intenciones.

Un sitio web hackeado puede tener varios archivos modificados con diferentes familias de malware (una relación de muchos a muchos). Depende de la intención o del propósito del atacante en cómo planea aprovechar su nuevo asset (asset es el término utilizado para describir el sitio web adquirido que ahora es parte de la red). En promedio, limpiamos 132 archivos por sitio web comprometido. Esto demuestra la profundidad que el malware puede ser embebido dentro de una página web.

Respecto al trimestre anterior, el 66% de todos los compromisos tenían una puerta trasera basada en PHP escondida dentro del sitio web. Estas puertas traseras permiten a un atacante retener el acceso al entorno después de que se ha infectado con éxito el sitio web y ejecutado sus actos nefastos. Estas puertas traseras permiten a los atacantes eludir los controles de acceso existentes en el entorno del servidor web. La eficacia de estas puertas traseras proviene de su carácter ilusorio para la mayoría de los sitios de tecnologías de escáneres de sitios web. Las puertas traseras son a menudo bien escritas, no siempre emplean ofuscación y no muestran signos externos de un compromiso a los visitantes del sitio web.

Puertas traseras a menudo sirven como punto de entrada en el medio ambiente, tras el compromiso con éxito (es decir, la capacidad para seguir a comprometer el sitio web). Las propias puertas traseras a menudo no son la intención del atacante. La intención es el ataque, que se encuentra en forma de spam condicional de SEO, redirecciones maliciosas o infecciones drive- by-download.

Tendencias de Infecciones

Glosario de Términos

Familia de Malware

Descripción

Puerta Trasera

Los archivos utilizados para reinfectar y retener acceso.

Malware

Término genérico utilizado para el código del lado del navegador utilizado para crear drive by downloads.

SPAM-SEO

Compromiso cuyo objetivo es el SEO del sitio web.

HackTool

Exploit o herramienta de DDoS utilizada para atacar a otros sitios web.

Mailer

Generador de herramientas de spam, desarrollado con el abuso de los recursos del servidor.

Defaced

Hacks que inutilizam la página principal del sitio web y promoven temas no relacionados (es decir, Hacktavismo).

Phishing

Utilizado para phishing lures en los cuales el intento de ataque engaña a los usuarios para compartir información confidencial (información de log in, tarjetas de crédito, etc..)

Aproximadamente el 31% de todos los casos de infección en realidad son utilizados para las campañas de spam de SEO (a través de PHP, inyecciones de bases de datos o redireccionamientos .htaccess), en las que el sitio web ha sido infectado con el contenido de spam o redirigido a los visitantes a páginas específicas de spam. El contenido se utiliza a menudo en la forma de anuncios farmacéuticos (es decir, disfunción eréctil, Viagra , Cialis , etc...) e incluye otras inyecciones para industrias como la moda y el entretenimiento (es decir, Casino, pornografía).

El spam de SEO es el 31% de las infecciones que estamos viendo, lo que es interesante, sobre todo porque no se trata de avisos de Google u otros motores de búsqueda que se incluyen en el informe. Año tras año, estamos viendo que el número sigue aumentando. En 2014, el spam de SEO era alrededor del 20% del total de sitios web en peligro; en 2015, creció al 28% y desde 2016, es el 32 % y está aumentando.

El número de invasiones cayó a alrededor del 3%, pero esto no es sorprendente. Los beneficios económicos de los ataques que comprometen a los sitios web con éxito es cada vez mayor. A medida que más jugadores están involucrados, se pone más énfasis en hacer algo sustancial con el entorno comprometido.

Aproximadamente el 70% de todos los sitios web infectados tenían algún tipo de puerta trasera. Esto responde a la creciente sofisticación por los atacantes para asegurar que mantienen el control del entorno. También es una causa importante de la reinfección de sitios web. Ellas presentan un desafío único para los propietarios de sitios web. La mayoría de las tecnologías de escáneres no son efectivos para detectar estas payloads.

Comparación de Tendencias de Infecciones

En promedio, limpiamos 132 archivos por sitio web comprometido. Esto muestra cuán profundamente el malware puede ser embebido dentro de una página web. Esto también explica por qué Google ve una tasa de reinfección del 30% a través de su herramienta para webmasters, que se ajusta directamente a los desafíos que enfrentan los propietarios de sitios web cuando se trata de corregir sus propios sitios infectados.

Cuando nos fijamos en los tipos de firma, podemos ver el top malware del trimestre:

Top malwares

La puerta trasera Filesman es número 1 en términos del tipo de firma que se encuentra con mayor frecuencia en sitios web comprometidos que limpiamos. Filesman es una puerta trasera rica en recursos que permite el control completo del sitio web por el atacante.

CONCLUSIÓN

Si hay una cosa que hemos aprendido en este informe es que el software vulnerable es un problema importante y contribuye a un gran número de compromisos. El consejo general de mantener todo actualizado está cayendo en oídos sordos. Algunas iniciativas, como las llevadas a cabo por WordPress - con énfasis en la compatibilidad con versiones anteriores y actualizaciones automáticas - tienen efectos positivos sobre la plataforma central, pero sabemos que la mayor parte de los compromisos son de componentes extensibles de una plataforma, no su núcleo. Por otra parte, estas iniciativas no son globales en todas las plataformas.

Podemos esperar que a medida que las tecnologías de código abierto siguen cambiando la industria, vamos a seguir para ver la evolución en la forma en que los sitios web están siendo comprometidos. Como la capacidad técnica necesaria para tener un sitio web disminuye, lo contrario se verá en los ataques, que aumentan a medida que dependen de su parte más débil, el webmaster. Hay una fuerte caída de los conocimientos necesarios para tener un sitio web que crea una mentalidad equivocada para los propietarios de sitios web y proveedores de servicios similares. Esto lleva a la compreensión por los propietarios al hecho de que las organizaciones establecidas como Google, adoptan una postura dura contra sitios web maliciosos.

El argumento de que los propietarios de sitios web deben actualizar simplemente no será suficiente. La mayoría de estos sitios web son sólo una parte de un grupo mucho más grande y más complejo del entorno en el que los propietarios de sitios web integran todo lo que tienen acceso. No es que el propietario de un sitio web tiene que centrarse en el único caso de WordPress, Joomla, Drupal o Magento, pero en todos los sitios web dentro del mismo entorno para evitar cosas como la contaminación cruzada local. Esto es complicado debido a las diferentes opciones de implementación y configuración disponibles, y debido a la falta general de conocimiento por parte del propietario del sitio web. Estos desafíos no sólo están afectando a los pequeños propietarios de sitios web, pero se pueden ver en las grandes organizaciones. Por desgracia, la distribución del conocimiento y la educación no es tan rápida como la adopción del usuario.

Gracias por leer nuestro informe y espero que te gustó. Si tiene información adicional que podríamos rastrear y reportar, por favor háganoslo saber. Tenemos nuevos conjuntos de datos y hemos comenzado a colectar los datos del informe Q2 que esperamos que lo disfruten.

Descargar el Informe