Informe de Sitios Web Hackeados 2016 - T3

Tendencias: Cómo los Sitios Web Son Hackeados y Cuál Malware Se Usa

Este informe se basa en información recogida y analizada por el Equipo de Remediación de Sucuri, que incluye el Equipo de Respuesta a incidentes y el Equipo de Investigación de Malware. Analizamos más de 8.000 sitios web infectados y compartimos las estadísticas relativas a:

  • Aplicaciones CMS de código abierto infectadas
  • Detalles sobre la plataforma WordPress
  • Listas negras notificando sitios web hackeados
  • Familias de Malware y sus efectos
Blacklist

Introducción

El informe de la tendencia de sitios web hackeados se produce por Sucuri y resume las últimas tendencias de los malos actores, identificando las últimas tácticas, técnicas y procedimientos vistos por el Equipo de Remediación. Este informe se basará en los datos de los trimestres anteriores, incluidos los datos actualizados para el tercer trimestre de 2016/T3.

La única constante en este informe son los administradores de sitios web mal entrenados y sus efectos en los sitios web.

Este informe mostrará las tendencias basadas en las aplicaciones CMS más afectadas por infecciones en el sitio web y demostrará los tipos de familias de malware que están siendo utilizadas por los atacantes y actualizaciones sobre el estado de la lista negra del sitio web. En este informe se eliminaron los datos correspondientes a las configuraciones de plugins de WordPress.

Este informe se basa en una muestra representativa del total de sitios web con los que trabajamos en el tercer trimestre de 2016. Se utilizó un total de 7.937 sitios web infectados. Esta es la muestra que ha proporcionado los datos más consistentes para prepar este informe.

Descargar el Informe

Análisis de CMS

Basado en los datos, las tres plataformas CMS más afectadas, así como en los informes del primer y del segundo trimestre de 2016, son WordPress, Joomla! y Magento. Esto no quiere decir que estas plataformas son más o menos seguras que otras.

En la mayoría de los casos la infección analizada tenía poco o nada que ver con el uso de la base de CMS en sí, pero con la implementación inadecuada, configuración y mantenimiento en general de los webmasters o de sus hosts.

Infection distribution WordPress, Joomla, Drupal, and Magento

La telemetría del T3 muestra que las cosas fueron relativamente estables en todas las plataformas. Los cambios generales parecían marginales: Joomla! y Magento han tenido un aumento del 1%. El modesto aumento en Magento no es una sorpresa, teniendo en cuenta la tendencia de este año de los atacantes cambiar su enfoque poara las plataformas utilizadas para el comercio en línea (el comercio electrónico).

Hacked CMS month WordPress, Joomla, Drupal, and Magento

El gráfico anterior proporciona una ilustración mensual de la distribución de la plataforma para las cuatro principales aplicaciones de CMS que supervisamos.

Análisis de CMS Desactualizados

Mientras la principal causa de infecciones sea resultante de las vulnerabilidades encontradas en componentes extensibles de aplicaciones CMS (extensiones, plugins, módulos), es importante analizar y comprender el estado del CMS en los sitios web que trabajamos.

  • CMS Actualizado
  • CMS Desactualizado

Un CMS se consideró obsoleto si no estaba en la versión más reciente de seguridad recomendada o no había parcheado el medio ambiente con las actualizaciones de seguridad disponibles (como es el caso en las implementaciones de Magento) en el momento que Sucuri fue contratada para realizar los servicios de respuesta a incidentes.

Out of date CMS statistics

El cambio más sorprendente de este trimestre fue el aumento del 6% en las versiones vulnerables y desactualizadas de las instalaciones de WordPress en el punto de infección. En T1 / T2, el 56% y 55% de los sitios web WordPress hackeados tenían instalaciones desactualizadas.

Drupal también ha tenido un aumento del 2% de T2 para T3.

Similar a los trimestres anteriores, Magento (94%) y Joomla! (84%) estaban en su mayoría desactualizados y vulnerables en el punto de infección.

No hubo cambio en por qué creemos que esto está sucediendo. Parece proceder de tres áreas: implementaciones altamente personalizadas, problemas con compatibilidad y la falta de personal disponible para ayudar en la migración dentro de las respectivas organizaciones. Estos tienden a crear problemas de actualización y corrección para las organizaciones, como problemas de incompatibilidad y los posibles impactos a la disponibilidad del sitio web.

El aspecto más preocupante de esta tendencia es la plataforma Magento, una de las plataformas líderes para el comercio en línea de grandes organizaciones. Hay un aumento en el interés de los hackers para atacar a la plataforma y a su entorno de datos ricos, dirigiéndose a los datos del titular de la tarjeta (es decir, información de la tarjeta de crédito, incluida la información del PAN - Permanent Account Number). Habrá más información al respecto en el informe del cuarto trimestre.

Análisis del WordPress

Al igual que en los trimestres anteriores, ofrecemos un profundo análisis de la inmersión en la plataforma WordPress, ya que constituye el 74% de nuestro muestreo.

El top 3 de los plugins WordPress sigue siendo TimThumb, Revslider y Gravity Forms:

Top hacked WordPress plugins

Este fue el top 3 de los plugins vulnerables que estaban desactualizados cuando Sucuri proporcionó servicios de respuesta a incidentes:

Out of date plugins

En el tercer trimestre vimos una mejora en Revslider, cayendo del 10% al 8,5%, y en GravityForms, bajando del 6% al 4%. El número total de instalaciones de WordPress infectadas como resultado de estas tres plataformas ha disminuido significativamente este año, de 25% en el primer trimestre, a 18% en el tercer trimestre. La disminución se espera ya que más propietarios de sitios web y hosts siguen proactivamente parcheando sus entornos. El conjunto de datos más interesante y posiblemente perturbador es la falta de cambio en TimThumb. Creemos que esto tiene que ver con el hecho de que muchos propietarios de sitios web no saben que tienen el script en su sitio web, similar a lo que vemos ocurrir con Revslider.

Los datos muestran, sin embargo, que a medida que estos plugins son parcheados, otros comenzarán a tomar su lugar. Actualmente no hay otros plugins que se usen en masa que representen más del 1% de nuestro conjunto de datos.

Nota: Los tres plugins tenían un parche disponible hacía más de un año, TimThumb hacía varios años (cuatro años - 2011). Gravity Forms recibió un parche en la versión 1.8.20 en diciembre de 2014 para arreglar la vulnerabilidad Arbitrary File Upload - AFU que está causando los problemas identificados en este informe. RevSlider recibió un parche sin grandes anuncios en febrero de 2014, divulgado publicamente por Sucuri en septiembre de 2014. Compromisos en masa empezaron desde diciembre de 2014 y continuaron. Esto muestra y reitera los desafíos que enfrenta la comunidad en la sensibilización a educar sobre los problemas de propietarios de sitios web, permitiendo a los propietarios corregir los problemas y facilitando el mantenimiento diario y la gestión de los sitios web por sus webmasters.

Desafortunadamente, en este informe tuvimos que eliminar la distribución de plugins debido a datos dañados durante el análisis. Esperamos reintroducir este conjunto de datos en trimestres futuros.

Análisis de Listas Negras

En T3 continuamos nuestro análisis de listas negras. Las listas negras de sitios web tienen la capacidad de afectar negativamente a los propietarios de sitios web, por lo que es importante entender cómo eliminar una advertencia de lista negra.

La notificación por una autoridad de lista negra como Google puede ser devastadora para la funcionalidad del sitio web. Eso puede afectar cómo los visitantes acceden a un sitio web, cómo el sitio web se ubica en las páginas de resultados del motor de búsqueda (SERP) y también puede afectar negativamente a los medios de comunicación como el correo electrónico.

Según nuestro análisis, aproximadamente el 15% de los sitios web infectados estaban en la lista negra (una caída del 3% desde 18% en el segundo trimestre). Esto indica que aproximadamente el 85% de los miles de sitios web infectados con los que trabajamos distribuían libremente malware. Esto destaca la importancia de la supervisión continua de su propiedad web más allá de los medios tradicionales como las herramientas para webmasters de Google y Bing. También destaca que el monitoreo de listas negras no es suficiente para detectar si un sitio web ha sido comprometido.

Website blacklist warning distribution Google, McAfee, Norton

En nuestros escaneos, verificamos una serie de listas negras diferentes. La lista negra más destacada era Google Safe Browsing, que representó el 69% de los sitios web de la lista negra, que también pasa a ser el 10% del total de sitios web infectados con los cuales trabajamos. Norton Safe Web tenía el 24% del total de listas negras y McAfee SiteAdvisor el 10% de las listas negras. Todas las demás listas negras que comprobamos marcaron menos del 1% y se eliminaron del informe (incluyendo: PhishTank, Spamhaus y otras listas negras menores).

Nota: El porcentaje nunca será el 100%, ya que algunos sitios web fueron marcados por varias listas negras al mismo tiempo.

Familias de Malware

Parte de nuestra investigación en el último trimestre incluye el análisis de las diversas tendencias de infección, específicamente en lo que se refiere a las familias de malware. Las familias de malware permiten a nuestro equipo evaluar y entender mejor las tácticas, técnicas y procedimientos de los atacantes (tactics, techniques and procedures - TTP), lo que inevitablemente nos lleva a sus intenciones.

Un sitio web hackeado puede tener varios archivos modificados con diferentes familias de malware (una relación de muchos a muchos). Depende de la intención del atacante (es decir, la acción sobre el objetivo) en la forma en que planea aprovechar su nuevo activo (es decir, el sitio web que ahora forma parte de su red).

Infections trends

Pequeño Glosario de Términos

Familia de Malware

Descripción

Backdoor

Los archivos utilizados para reinfectar y retener acceso.

Malware

Término genérico utilizado para el código del lado del navegador utilizado para crear drive by downloads.

Spam-SEO

Infección cuyo objetivo es el SEO del sitio web.

HackTool

Exploit o herramienta de DDoS utilizada para atacar a otros sitios web.

Mailer

Spam que genera herramientas, desarrolladas para abusar de los recursos del servidor.

Defaced

Hacks que inutilizan la página principal del sitio web y promoven temas no relacionados (Hacktavismo).

Phishing

Utilizado para phishing lures en los cuales el intento de ataque engaña a los usuarios para compartir información confidencial (información de log in, tarjetas de crédito...)

Respecto al trimestre anterior, el 72% de todos los compromisos tenía un backdoor basado en PHP escondido dentro del sitio web. Estos backdoors permiten que un atacante tenga acceso al ambiente mucho tiempo después de que haya infectado con éxito el sitio web y ejecutado sus actos nefastos. Estos backdoors permiten a los atacantes eludir los controles de acceso existentes en el entorno del servidor web. La eficacia de estas puertas traseras provienen de engañar a la mayoría de las tecnologías de escáneres de sitios web.

Backdoors a menudo sirven como punto de entrada para el ambiente, tras el compromiso con éxito (es decir, la capacidad para seguir comprometiendo sitios web). Los propios backdoors a menudo no son la intención del atacante. La intención es el ataque, que se encuentra en forma de spam de SEO condicional, redirecciones maliciosas o infecciones drive-by-download.

Aproximadamente el 37% de todos los casos de infección son utilizados maliciosamente para las campañas de spam de SEO (a través de PHP, inyecciones de bases de datos o redirecciones .htaccess). En estos casos el sitio web es infectado con contenido de spam o redirige a visitantes a páginas específicas de spam. El contenido utilizado aparece a menudo en forma de anuncios farmacéuticos (disfunción eréctil, Viagra, Cialis, etc.) e incluye otras inyecciones para industrias como la moda y el entretenimiento (Raybans baratos, casino, pornografía).

Infection trends comparison

Una observación muy interesante fue el fuerte aumento en scripts de correo en el tercer trimestre, saltando entre el 12% y el 19%, desde el 7% en el segundo trimestre. También hubo un modesto aumento del 4% en las herramientas de hacking que se encuentran en los sitios web infectados. Abusar de los recursos del sistema para cosas como correos electrónicos de spam no es una novedad, pero el fuerte aumento al 19% en un trimestre muestra que más atacantes usan esta técnica o nuevos métodos mejorados de abuso de estos recursos.

Otra observación interesante fue el descenso del 10% en la distribución de malware, del 60% en el segundo trimestre al 50% en el tercer trimestre. Es difícil decir si esto es una anomalía u otra razón no identificada. El cuarto trimestre deberá explicar mejor las últimas tendencias.

Además, analizamos lo que los atacantes modificaron una vez que el compromiso fue exitoso y pudimos atribuirlos a los tres archivos siguientes:

Top 3 modified files

Nuestro servicio de respuesta a incidentes también limpió aproximadamente 92 archivos en cada solicitud de eliminación de software malicioso. Eso es un aumento del 15% en relación al segundo trimestre. Esto no necesariamente se refiere a los hacks más complejos, pero a un aumento en la profundidad de los archivos afectados a cada hack. También se trata de la cuestión de que la limpieza de los síntomas en un archivo a menudo no es suficiente para eliminar una infección por completo.

Number of cleaned files

Conclusión

Este informe confirma lo que ya se conocía; el software vulnerable sigue siendo un problema y es la principal causa de los hacks de hoy en día.

En este informe se infiere que:

  • WordPress continúa liderando los sitios web infectados en los que trabajamos (en 74%).
  • Los tres plugins principales que afectan a WordPress continúan siendo Gravity Forms, TimThumb y RevSlider, bajando del 25% en el primer trimestre al 18% en el tercer trimestre. Sin embargo, ha habido un notable aumento en sus impactos.
  • Hubo un notable aumento en las instalaciones de WordPress desactualizadas en el punto de la infección, que aumentó del 55% en T2 al 61% en T3. Tanto Joomla! como Magento continúan liderando el paquete con instalaciones vulnerables desactualizadas en el punto de la infección.
  • La telemetría de listas negras mostró una reducción del 3% en los sitios web en la lista negra (sólo el 15%), aumentando el número de sitios web infectados que no son detectados por los motores de lista negra hasta el 85%. Google aumentó su participación para el 69% del 52% en el segundo trimestre.
  • El análisis de las familias de malware demostró que el spam de SEO continúa aumentando, manteniéndose estable en el 37% (el 1% menos que en el segundo trimestre). También mostró un fuerte aumento en los scripts de correo, de 12% a 19%, y una disminución del 10% en la distribución de malware del 60% en T2 al 50% en el tercer trimestre.
  • En este trimestre se presentó un nuevo conjunto de datos que describía qué archivos de los malos actores están modificando de manera más consistente con cada incidencia: index.php (25%), header.php (20%) y .htaccess (10%).

Los datos no indican que hay algún cambio que ocurre entre la orientación que está siendo difundida por los profesionales de seguridad de la información (InfoSec) y las acciones que los administradores de sitios web están tomando.

Al igual con lo que informamos en trimestres anteriores, podemos esperar que, como las tecnologías de código abierto siguen cambiando, la industria del sitio web seguirá viendo las evoluciones en la forma en que están comprometidos. En la actualidad hay una fuerte disminución en el conocimiento necesario para tener un sitio web, que está criando la mentalidad equivocada con los propietarios de sitios web y proveedores de servicios.

Gracias por leer nuestro informe. Esperamos que haya disfrutado y que nuestro informe le haya sido de gran ayuda. Si hay alguna información adicional que usted cree que es relevante, cuéntenos. Tenemos nuevos datos que se rastrearán para el informe en T4.

Contáctenos