Cuando la mencionada botnet dejó de enviar spam, el volumen de spam a escala mundial se redujo en un tercio. Desde el desmantelamiento de Rustock, otras botnets han aumentado sus actividades para aprovechar el vacío dejado en el mercado. Bagle ha ocupado ahora el lugar de Rustock como botnet más activa a la hora de enviar spam en 2011.

MessageLabs Intelligence identificó que el volumen de spam a nivel mundial disminuyó un 33,6% entre el 15 y el 17 de marzo después de las acciones legales contra los hosts de comando y control utilizados por la botnet Rustock. Los días tras el desmantelamiento de Rustock, el spam representó aproximadamente 33.000 millones de correos electrónicos al día, en comparación con una media de 52.000 millones al día en la semana anterior.

“Queda por ver si los delincuentes detrás de Rustock podrán recuperarse de este esfuerzo coordinado contra lo que se ha convertido en una de las botnets más técnicamente sofisticadas de años recientes”, afirma Paul Wood, analista de MessageLabs Intelligence en Symantec.cloud. “Rustock ha tenido un papel de importancia en el entorno de botnets y malware desde enero de 2006, lo que representa un espacio de tiempo mayor que otros ataques realizados en esa misma fecha.

Merece la pena destacar que Bagle no apareció entre las diez principales botnets dedicadas al envío de spam a finales de 2010 tal y como se destaca en el informe anual sobre seguridad. A finales de 2010, Rustock había sido responsable de un 47,5% de todo el spam, enviando aproximadamente 44.100 millones de correos electrónicos al día.

También en marzo, MessageLabs Intelligence analizó el tráfico de spam de las diez principales botnets encargadas de enviar spam. Desde finales de 2010, la más activa botnet, Bagle, ha enviado aproximadamente 8.310 millones de correos electrónicos de spam cada día, la mayoría con enlaces a productos farmacéuticos. Bagle no tiene muchos bots bajo su control o máximos de tráfico tan grandes y dominantes como Rustock, pero sus resultados han sido más constantes.

En marzo, el 83,1% del spam a escala mundial fue enviado por botnets, un aumento de 6,1 puntos porcentuales con el 77% a finales de 2010. Durante el pasado año, las botnets enviaron una media del 88,2% del spam mundial.

“Las Botnets han sido y continúan siendo un recurso destructivo y, a lo largo de los años, se han convertido en el mecanismo de suministro de los individuos encargados de difundir mensajes spam, siendo totalmente necesarias para realizar sus actividades maliciosas.

Las botnets también se utilizan para otros fines como, por ejemplo, el lanzamiento de ataques distribuidos para denegación de servicio, para albergar contenido ilegal de sitios web en los ordenadores atacados (conocidos como bots), además de para apoderarse de datos personales e instalar programas spyware para realizar un seguimiento de las actividades de los usuarios”, señala Wood.

Otros aspectos destacados del informe:

• Spam: en marzo de 2011, la proporción mundial de spam en el tráfico de correo electrónico proveniente de fuentes maliciosas, nuevas y previamente desconocidas disminuyó un 2% (1 de cada 1,26 correos electrónicos).
• Virus: la proporción mundial de virus transmitidos a través de correo electrónico en el tráfico de correo electrónico proveniente de fuentes maliciosas, nuevas y previamente desconocidas fue de 1 de cada 208,9 correos electrónicos (0,479%) en marzo, con un aumento de 0,134% puntos desde febrero. En marzo, el 63,4% de virus transmitidos a través del correo electrónico contenía enlaces a sitios web maliciosos, lo que significa un descenso del 0,1% desde enero.
• Phishing: en marzo, la actividad de phishing fue muy similar a la registrata en febrero: de 1 de cada 252,5 correos electrónicos (0,396%) fue phising.
• Seguridad Web: Los análisis de la actividad de la seguridad identificaron una media de 2.973 nuevos sitios web por día que albergan malware y otros programas potencialmente no deseados como spyware y adware, lo que significa una disminución del 27,5 % desde febrero. Asimismo, un 0,37 % de los dominios maliciosos bloqueados fueron nuevos en marzo, un 1,9% menos que en enero, y un 24,5% de todo el malware basado en web bloqueado fue nuevo en marzo, un 4,2% menos que en el mes pasado.
• Amenazas contra endpoints: el endpoint es, a menudo, la última línea de defensa y análisis. Las amenazas que se encuentran aquí pueden arrojar luz sobre la naturaleza más amplia de las amenazas que afectan a empresas, especialmente las de los ataques combinados. Es probable que los ataques que llegan a los terminales ya hayan burlado otras capas de protección instaladas como los filtros de la pasarela de acceso a la Red.

Las amenazas contra endpoints, como por ejemplo portátiles, PC y servidores, pueden penetrar en una organización a través de diferentes mecanismos, entre los que se incluyen los ataques de paso por visita a sitios web infectados y por los ataques de troyanos y gusanos que se propagan copiándose en unidades sustituibles. Los análisis de malware bloqueados con mayor frecuencia durante el mes pasado indicaron que el virus Sality.AE fue el más prevalente. Sality.AE se propaga mediante archivos ejecutables e intenta descargar archivos maliciosos en Internet.

MessageLabs desplegó técnicas como el análisis heurístico y la detección genérica para identificar y bloquear correctamente diferentes variantes de las mismas familias de malware, además de identificar nuevas formas de código malicioso que busca explotar ciertas vulnerabilidades que se pueden identificar de forma genérica.

Aproximadamente un 15,7% del malware bloqueado más frecuentemente el mes pasado se identificó y bloqueó de esta manera, utilizando para ello protección de seguridad de endpoints.

Tendencias geográficas: 

• Omán fue el país que recibió más spam en marzo, con una tasa del 87,2%
• En EE UU,el 79,6% de correo electrónico fue spam y en Canadá fue del 79,4%. Los niveles de spam en el Reino Unido fueron del 79,1%
• En Holanda, el spam representó el 80,2% del tráfico de correo electrónico, mientras que los niveles de spam alcanzaron el 80 % en Alemania, el 78,9% en Dinamarca y el 78,8% en Australia
• Los niveles de spam en Hong Kong alcanzaron el 80,6% y el 77,7% en Singapur. Los niveles de spam en Japón fueron del 76,4%
• En Sudáfrica, el spam representó el 79,5 % del tráfico de correo electrónico
• Luxemburgo fue el país más afectado por malware transmitido por correo electrónico, con 1 de cada 26,2 correos electrónicos bloqueados como maliciosos en marzo. Este gran aumento fue el resultado de una gran cantidad de variantes de malware de Bredolab, Zeus y SpyEye, que se observaron en otros países, incluyendo Sudáfrica
• En Reino Unido, 1 de cada de 98,8 correos electrónicos contenían malware. En los EE.UU. los niveles de virus fueron 1 de cada 507,9 y 1 de cada 160,1 en Canadá. En Alemania, los niveles de virus alcanzaron 1 de cada 352,7; 1 de cada 916,8 en Dinamarca y 1de cada 467,1 en Holanda
• En Australia, 1 de cada 261,0 correos electrónicos fueron maliciosos, y 1 de cada 357,3 en Hong Kong; en Japón fue 1 de cada 1.015,0 en comparación con 1 de cada 823,8 en Singapur
• En Sudáfrica, 1 de cada 76,9 correos electrónicos contenía contenido malicioso.

Tendencias verticales y sectoriales:

• En marzo el sector que recibió más spam - con una tasa del 82,3% - siguió siendo el sector del automóvil
• Los niveles de spam en educación fueron del 81%; el 79,6 % para el sector químico y farmacéutico; 79,8 % para servicios de TI; 78,8% para establecimientos comerciales; 78,1% para el sector público y 78% para el sector financiero
• En marzo, el sector público/gubernamental siguió siendo el más afectado por malware, con 1 de cada 27 correos electrónicos bloqueados como maliciosos
• Los niveles de virus en el sector químico y farmacéutico fueron de 1 de cada 302,2; 1 de cada 326,5 para el sector de servicios de TI; 1 de cada 397 para establecimientos comerciales; 1 de cada 109,6 en educación y 1 de cada 318,9 en el sector financiero.

MessageLabs Intelligence Report de marzo de 2011 ofrece más información sobre todas las tendencias y cifras indicadas anteriormente, además de unos datos más detallados sobre las tendencias geográficas y verticales. Puede acceder al informe completo en: http://www.messagelabs.com/intelligence.aspx