Según ha publicado Kaspersky Lab más del 60% de los sitios que ellos mismos han monitorizado (entre 100.000 y 300.000 webs de 2006 a 2009) han sido vulnerados más de una vez por atacantes para alojar malware durante el año 2009.
Según este estudio los sitios infectados han aumentado en 100 veces con respecto a hace solo tres años. De uno de cada 20.000 en 2006 a uno de cada 150 en 2009.
Phishtank, un repositorio de páginas que alojan phishing y lugar habitual donde encontrar webs vulnerables, también ha visto cómo han aumentado el número de incidentes. Recibió en octubre de 2009 más de 23.000 avisos. En el mismo mes de 2006 se reportaron alrededor de 7.000.
Para conseguir acceso a las páginas, los atacantes usan técnicas que también aprovechan de forma automatizada malware como Gumblar, del que ya se ha hablado en una-al-día en otras ocasiones.
Aunque la industria busca métodos para evitar que el usuario visite páginas infectadas o peligrosas desarrollando herramientas como Google Safe Browsing o la barra de herramientas de Netcraft, el número no para de crecer.
En ocasiones hemos encontrado sitios vulnerados por varios grupos de atacantes y con diferentes shells alojadas (una shell es un método habitual que utiliza un atacante para controlar una página web), accesibles desde semanas o meses atrás. El descuido o la falta de conocimiento sobre cómo actuar ante estas situaciones son los errores que se cometen con mayor frecuencia.
Es muy importante que cuando se nos comunica que un sitio web del que se es responsable ha sido vulnerado, se intente investigar sobre cómo se ha producido el incidente y arreglar el fallo lo antes posible. De lo contrario es muy probable que la página vuelva a ser atacada. Es necesario revisar la existencia de shells, etiquetas iframe usadas para atacar a los visitantes, malware, etc. Es necesario detectarlos y eliminarlos. Si se da el caso, es recomendable pedir la ayuda a la compañía de hosting para la investigación, puesto que dispondrán de más datos.
Es imprescindible además, que tras haber sufrido un ataque, se cambien las contraseñas que se usan en el servidor.
vtorre@hispasec.com
Más información:
Estudio de kaspersky
http://www.viruslist.com/en/analysis?pubid=204792089
una-al-dia (22/05/2009) «Gumblar» en los medios
http://www.hispasec.com/unaaldia/3863/gumblar-los-medios
Estadísticas de phishtank
http://www.phishtank.com/stats/2009/10/
http://www.phishtank.com/stats/2006/10/
Deja una respuesta