Informe de Sitios Web Hackeados 2016 - T2

Cómo los Sitios Web Son Hackeados y Cuál Malware Se Usa

Este informe se basa en información recogida y analizada por el Equipo de Remediación de Sucuri, que incluye el Equipo de Respuesta a incidentes y el Equipo de Investigación de Malware. Analizamos más de 9.000 sitios web infectados y compartimos las estadísticas relativas a:

  • Aplicaciones CMS de código abierto afectadas
  • Detalles sobre la plataforma WordPress
  • Listas negras notificando sitios web hackeados
  • Familias de Malware y sus efectos
Blacklist

Introducción

El informe de la tendencia de sitios web hackeados se introdujo por primera vez en el primer trimestre de 2016. Fue el primer informe de este tipo a partir de los metadatos recogidos por el equipo de remediación de Sucuri. Este informe es más conciso y directo en su enfoque y amplía la información recogida en otros trimestres. Toda la información incluye actualizaciones del segundo trimestre de 2016.

La única constante en este informe son los administradores de sitios web mal entrenados y sus efectos en los sitios web.

Este informe mostrará las tendencias basadas en aplicaciones CMS más afectadas por infecciones en el sitio web y demostrará los tipos de familias de malware que están siendo utilizadas por los atacantes. Además, hemos introducido nuevos conjuntos de datos sobre el número de sitios web reportados durante la fase de remediación y los detalles opcionales sobre WordPress.

Este informe se basa en una muestra representativa del total de sitios web con los que trabajamos en el segundo trimestre de 2016. Se utilizó un total de 9.771 sitios web infectados. Esta es la muestra que ha proporcionado los datos más consistentes para prepar este informe.

Descargar el Informe

Análisis de CMS

Basado en los datos, las tres plataformas CMS más afectadas, así como en el informe del primer trimestre de 2016, son WordPress, Joomla! y Magento. Esto no quiere decir que estas plataformas son más o menos seguras que otras.

En la mayoría de los casos la infección analizada tenía poco o nada que ver con el uso de la base de CMS en sí, pero con la implementación inadecuada, configuración y mantenimiento en general de los webmasters o de sus hosts.

Infection distribution

WordPress cayó 4% menos del 78% en el primer trimestre (T1) al 74% en el segundo trimestre (T2). Joomla! tuvo un aumento del 2,2% desde el 14% en el primer trimestre al 16,2% en el segundo trimestre. Todas las demás plataformas mantuvieron una distribución constante (con cambio mínimo).

En el segundo trimestre, el 74% de los sitios web infectados fueron construidos en la plataforma WordPress; un 4% menos que en el primer trimestre. Al igual que en el primer trimestre debido a los bajos números relativos, Undefined, ModX y vBulletin fueron eliminados del informe.

Affected cms month

Análisis de CMS Desactualizados

Mientras la principal causa de infecciones sea resultante de las vulnerabilidades encontradas en componentes extensibles de aplicaciones CMS, es importante analizar y comprender el estado del CMS en los sitios web que trabajamos. Softwares obsoletos han sido un problema grave desde que la primera parte del código se colocó en el papel virtual. Con tiempo, motivación y recursos suficientes, los atacantes identifican y explotan las vulnerabilidades del software.

Para que los datos sean manejables, los dividimos en dos categorías distintas específicas para el núcleo de la aplicación y para sus componentes extensibles:

  • CMS Actualizado
  • CMS Desactualizado

Un CMS se consideró obsoleto si no estaba en la versión más reciente de seguridad recomendada o no había parcheado el medio ambiente con las actualizaciones de seguridad disponibles (como es el caso en las implementaciones de Magento) en el momento que Sucuri fue contratada para realizar los servicios de respuesta a incidentes.

Out of date cms

Basado en esta información, hemos visto una disminución del 1% en sitios web WordPress desactualizados y un aumento del 4% en instalaciones Drupal desactualizadas. Es muy temprano para decir que es un indicador de la mejora en la gestión de sitios web y de la postura de los propietarios de sitios web, ya que estos cambios están todavía en el rango aceptable de desviación estándar.

Como muestran los resultados en el primer trimestre, Joomla! (86%) y Magento (96%) encabezan la lista de sitios web infectados y plataformas mal gestionadas. El reto de estar actualizado se debe a tres áreas: instalaciones altamente personalizadas, problemas con la compatibilidad y falta de personal especializado para ayudar en la migración. Esto tiende a crear problemas con las actualizaciones y parches para la organización debido a problemas de incompatibilidad e impactos potenciales sobre la disponibilidad del sitio web.

Análisis de WordPress

Al igual que en el primer trimestre, ofrecemos un análisis a fondo de la plataforma WordPress, ya que constituye el 74% de la muestra. El top 3 de los plugins / scripts WordPress sigue siendo TimThumb, Revslider y Gravity Forms:

Q1 vs Q2 Comparison Between Top Impacting Plugins

Esto fue el top tres de los plugins desactualizados y vulnerables cuando un sitio web contrató a Sucuri para sus servicios de respuesta a incidentes:

Out of date plugins

El cambio más importante se produjo en relación a Gravity Forms, pues identificamos una mejora del 29% en el impacto del plugin de los sitios web hackeados. Esto puede ser debido a un número de factores, entre los cuales el más importante sería el total del mercado afectado que ha sido parcheado, protegido o ambos. De nuevo, es prematuro sacar conclusiones, entonces continuaremos el monitoreo en los próximos trimestres.

Los tres plugins tenían un parche disponible hacía más de un año, TimThumb hacía varios años (cuatro años para ser exactos, en torno a 2011). Gravity Forms recibió un parche en la versión 1.8.20 en diciembre de 2014 para arreglar la vulnerabilidad Arbitrary File Upload (AFU) que está causando los problemas identificados en este informe. RevSlider recibió un parche sin grandes anuncios en febrero de 2014, divulgado publicamente por Sucuri en septiembre de 2014. Compromisos en masa empezaron desde deciembre de 2014 y continuaron. Esto muestra y reitera los desafíos que enfrenta la comunidad en la sensibilización a educar sobre los problemas de propietarios de sitios web, permitiendo a los propietarios corregir los problemas y facilitando el mantenimiento diario y la gestión de los sitios web por sus webmasters. TimThumb era la revelación más interesante de este análisis.

En este ralatório, ampliamos nuestros datos de telemetría para incluir información que puede ser valiosa con el tiempo. La primera parte de la información está en la distribución de los plugins más comunes en los sitios web infectados analizados.

Nota: Si alguno % del plugin no coincide con el uso general del plugin, es probable que sea un indicio de que algo anda mal.

WordPress Plugin Usage

Aún no tenemos un porcentaje correcto sobre el uso de plugins en todos los sitios web analizados, lo que hace que la comparación sea más difícil, pero es algo que estamos investigando para mejorar nuestros próximos informes trimestrales.

En promedio, un sitio web comprometido tiene 12 plugins instalados.

Análisis de Listas Negras

En nuestro informe anterior, se pierde la oportunidad de incluir datos sobre listas negras - cuál de los sitios web infectados fueron puestos en listas negra y por quién. La comprensión de cómo funcionan las listas negras y de cómo afectan a la reputación de la marca de un sitio web es importante y debe ser un conjunto de datos monitoreado por cada propietario de sitios web.

La notificación por estar en una lista negra, como Google, puede ser devastadora para la funcionalidad de un sitio web. Las notificaciones pueden afectar cómo los usuarios acceden a un sitio web, cómo el sitio web está clasificado en las páginas de resultados de motores de búsqueda (Search Engine Result Pages - SERP) y también pueden afectar negativamente a los medios de comunicación, como el correo electrónico. De acuerdo con nuestro análisis, alrededor del 18% de los sitios web infectados fueron puestos en una lista negra. Esto indica que aproximadamente el 82% de los miles de sitios web infectados con los que trabajamos estaban distribuyendo software malicioso, lo que pone destaca la necesidad y la importancia de la monitorización continua de su propiedad web.

Blacklist Warning Distribution Between Providers

En nuestros resultados de escaneo, utilizamos algunas listas negras diferentes. La más destacada es Google Safe Browsing, que representa el 52% de los sitios web en la lista negra (de los 18%), que es también el 10% de todos los sitios web infectados con los que trabajamos. Norton y Yandex, cada uno tenía más del 30% de las listas negras y SiteAdvisor más del 11%. Todas las demás listas negras notificaron menos del 1% y fueron sacadas del informe (incluyendo: PhishTank, Spamhaus y otras).

Nota: El porcentaje total nunca será del 100%, ya que algunos de los sitios web han sido reportados por múltiples listas negras al mismo tiempo.

Familias de Malware

Parte de nuestra investigación en el último trimestre incluye el análisis de las diversas tendencias de infección, específicamente en lo que se refiere a las familias de malware. Familias de malware permiten a nuestro personal evaluar y comprender mejor las acciones de los atacantes, lo que inevitablemente conduce a sus intenciones.

Un sitio web hackeado puede tener varios archivos modificados con diferentes familias de malware (una relación de muchos a muchos). Depende de la intención o del propósito del atacante en cómo planea aprovechar su nuevo asset (asset es el término utilizado para describir el sitio web adquirido que ahora es parte de la red). En promedio, limpiamos 80 archivos por sitio web comprometido en este trimestre (diferente de los más de 160 archivos limpiados por sitio web en el Primer Trimestre).

Infections trends

Pequeño Glosario de Términos

Familia de Malware

Descripción

Puerta Trasera

Los archivos utilizados para reinfectar y retener acceso.

Malware

Término genérico utilizado para el código del lado del navegador utilizado para crear drive by downloads.

SPAM-SEO

Compromiso cuyo objetivo es el SEO del sitio web.

HackTool

Exploit o herramienta de DDoS utilizada para atacar a otros sitios web.

Mailer

Generador de herramientas de spam, desarrollado con el abuso de los recursos del servidor.

Defaced

Hacks que inutilizan la página principal del sitio web y promoven temas no relacionados (es decir, Hacktavismo).

Phishing

Utilizado para phishing lures en los cuales el intento de ataque engaña a los usuarios para compartir información confidencial (información de log in, tarjetas de crédito, etc..)

Respecto al trimestre anterior, el 71% de todos los compromisos tenía una puerta trasera basado en PHP escondida dentro del sitio web; un modesto incremento en el primer trimestre (4%). Estas puertas traseras permiten a un atacante tener acceso al ambiente mucho tiempo después de que ha infectado con éxito el sitio web y ejecutar sus actos nefastos. Estas puertas traseras permiten a los atacantes eludir los controles de acceso existentes en el entorno del servidor web. La eficacia de estas puertas traseras provienen de engañar a la mayoría de las tecnologías de escáneres de sitios web. Las mismas puertas traseras son a menudo también bien escritas, pero no siempre emplean la ofuscación y no muestran signos externos de un compromiso para los visitantes del sitio web.

Puertas trasera a menudo sirven como punto de entrada para el ambiente, tras el compromiso con éxito (es decir, la capacidad para seguir comprometiendo sitios web). Las propias puertas traseras a menudo no son la intención del atacante. La intención es el ataque, que se encuentra en forma de spam de SEO condicional, redirecciones maliciosas o infecciones drive-by-download.

Alrededor del 38% (un aumento del 6% en relación al primer trimestre) de todos los casos de infección, en realidad son utilizados para las campañas de spam de SEO (a través de PHP, inyecciones en la base de datos o redirecciones .htaccess ), donde el sitio web fue infectado con el contenido de spam o con redirecciones de los visitantes a páginas específicas de spam. El contenido se utiliza a menudo en forma de canales de anuncios farmacéuticos (disfunción eréctil, Viagra, Cialis, etc) e incluye otras inyecciones para industrias como la moda y el entretenimiento (Casino, pornografía). Es interesante analizar que el spam de SEO conforma el 38% de las infecciones que estamos viendo, sobre todo porque no son parte de las notificaciones de Google u otros motores de búsqueda incluidos en este informe.

Infection trends comparison

El número de desfiguraciones (defacements) continuó la tendencia a la baja (~3%) y se relaciona a la evolución de los atacantes y sus TTPs.

Conclusión

Este informe confirma lo que ya se sabe; software vulnerable sigue siendo un problema y es una causa importante de hacks de sitios web de hoy. Mientras que el muestreo de datos fue menor de lo esperado, la relación entre los diversos campos analizados fue similar.

Algunas conclusiones de este informe incluyen:

  • WordPress sigue liderando en número de sitios web infectados limpiados (74%) y el top tres de los plugins que afectan a la plataforma siguen siendo Gravity Forms, TimThumb y RevSlider.
  • WordPress produjo un descenso en la proporción de software core desactualizado e infectados (1%), mientras que Drupal tiene un aumento del 3%, (84%). Joomla! y Magento siguen liderando la proporción de plataformas desactualizadas.
  • Nuevos conjuntos de datos muestran que, en promedio, las instalaciones de WordPress tienen 12 plugins y el informe proporciona una lista de los plugins más populares en sitios web comprometidos que Sucuri ha visto.
  • Se introdujeron nuevos conjuntos de datos que muestran el porcentaje de sitios web infectados en una lista negra. Sólo el 18% de estos sitios web fueron notificados por una lista negra y Google formó el 52% de este grupo (10% de todos los sitios web infectados).
  • El análisis de familias de malware mostró que el spam de SEO sigue aumentando al 38% en el trimestre (un incremento del 6%) y las puertas traseras también aumentaron al 71%.

Hay poca información que indique que hay algún cambio que se produce entre la información difundida por los profesionales de seguridad de la información (InfoSec) y lo que hacen los administradores del sitio web.

Similar a lo que hemos informado en el primer trimestre, podemos esperar que las tecnologías de código abierto sigan cambiando la industria de sitios web. Vamos a ver cambios en la forma en que los sitios web son comprometidos. Hoy en día, hay un descenso en los conocimientos necesarios para tener un sitio web, lo que crea un pensamiento confundido tanto por los propietarios de sitios web como por los servicios prestados.

Gracias por leer nuestro informe. Esperamos que haya disfrutado y que nuestro informe le haya sido de gran ayuda. Si hay alguna información adicional que usted cree que es relevante, cuéntenos. Tenemos nuevos datos que se rastrearán para el informe en T3.