CIBERSEGURIDAD

El informe de seguridad / estado de Internet de Akamai del segundo trimestre de 2017 analiza la reaparición del malware PBot; algoritmos de generación de dominios; Relación entre el comando y control de Mirai y los objetivos de ataque

0 73 4 minutos de lectura


Los datos publicados recientemente muestran que la denegación de servicio distribuida (DDoS) y los ataques a aplicaciones web están aumentando una vez más, según el Informe sobre el estado de Internet / seguridad del segundo trimestre de 2017 publicado por Akamai Technologies, Inc. (NASDAQ: AKAM). A este aumento contribuyó el malware PBot DDoS, que resurgió como la base de los ataques DDoS más fuertes que Akamai ha visto este trimestre.
En el caso de PBot, los actores malintencionados utilizaron código PHP de hace décadas para generar el mayor ataque DDoS observado por Akamai en el segundo trimestre. Los atacantes pudieron crear una mini botnet DDoS capaz de lanzar un ataque DDoS de 75 gigabits por segundo (Gbps). Curiosamente, la botnet Pbot estaba compuesta por 400 nodos relativamente pequeños, pero aún así podía generar un nivel significativo de tráfico de ataque.
Otra entrada en la lista «todo lo viejo es nuevo otra vez» está representada por el análisis del equipo de investigación de amenazas empresariales de Akamai sobre el uso de algoritmos de generación de dominios (DGA) en la infraestructura de comando y control (C2) de malware. Aunque se introdujo por primera vez con el gusano Conficker en 2008, la DGA sigue siendo una técnica de comunicación de uso frecuente para el malware actual. El equipo descubrió que las redes infectadas generaban aproximadamente 15 veces la tasa de búsqueda de DNS de una red limpia. Esto se puede explicar como el resultado del acceso a dominios generados aleatoriamente por el malware en las redes infectadas. Dado que la mayoría de los dominios generados no estaban registrados, intentar acceder a todos generaba mucho ruido. Analizar la diferencia entre las características de comportamiento de las redes infectadas y las limpias es una forma importante de identificar la actividad del malware.
Cuando se descubrió la botnet Mirai en septiembre pasado, Akamai fue uno de sus primeros objetivos. La plataforma de la compañía continuó recibiendo y defendiendo con éxito los ataques de la botnet Mirai a partir de entonces. Los investigadores de Akamai han utilizado la visibilidad única de la compañía en Mirai para estudiar diferentes aspectos de la botnet, más específicamente en el segundo trimestre, su infraestructura C2. La investigación de Akamai ofrece un fuerte indicio de que Mirai, como muchas otras redes de bots, ahora está contribuyendo a la mercantilización de DDoS. Si bien se observó que muchos de los nodos C2 de la botnet realizaban «ataques dedicados» contra IP seleccionadas, se observó que incluso más participaban en lo que se considerarían ataques de «pago por juego». En estas situaciones, se observó que los nodos Mirai C2 atacaban IP durante un breve período, se inactivaban y luego volvían a emerger para atacar diferentes objetivos.
“Los atacantes buscan constantemente debilidades en las defensas de las empresas, y cuanto más común, más efectiva es una vulnerabilidad, más energía y recursos le dedicarán los piratas informáticos”, dijo Martin McKeay, defensor de seguridad senior de Akamai. “Eventos como la botnet Mirai, la explotación utilizada por WannaCry y Petya, el aumento continuo de los ataques SQLi y el resurgimiento de PBot ilustran cómo los atacantes no solo migrarán a nuevas herramientas, sino que también regresarán a herramientas antiguas que previamente han demostrado ser altamente eficaz.»

Por los números:
Otros hallazgos clave del informe incluyen:

  • El número de ataques DDoS en el segundo trimestre aumentó en un 28 por ciento de un trimestre a otro después de tres trimestres de disminución.
  • Los atacantes DDoS son más persistentes que nunca, atacando objetivos un promedio de 32 veces durante el trimestre. Una empresa de juegos fue atacada 558 veces o aproximadamente seis veces al día en promedio.
  • Egipto fue el origen del mayor número de direcciones IP únicas utilizadas en frecuentes ataques DDoS con el 32 por ciento del total mundial. El último trimestre, Estados Unidos ocupó ese lugar y Egipto no estaba entre los cinco primeros.
  • Se utilizaron menos dispositivos para lanzar ataques DDoS este trimestre. La cantidad de direcciones IP involucradas en ataques DDoS volumétricos se redujo en un 98 por ciento de 595,000 a 11,000.
  • La incidencia de ataques a aplicaciones web aumentó un cinco por ciento de un trimestre a otro y un 28 por ciento de un año a otro.
  • Los ataques SQLi se utilizaron en más de la mitad (51 por ciento) de los ataques a aplicaciones web de este trimestre, frente al 44 por ciento del trimestre anterior, generando casi 185 millones de alertas solo en el segundo trimestre.

Una copia gratuita del Informe sobre el estado de Internet / seguridad del segundo trimestre de 2017 está disponible para descargar en http://akamai.me/2i9vrdz. Descargue tablas y gráficos individuales, incluidos los asociados en http://akamai.me/2w6mI1v.

Metodología
El Akamai Informe sobre el estado de Internet / seguridad del segundo trimestre de 2017 combina datos de ataque de toda la infraestructura global de Akamai y representa la investigación de un conjunto diverso de equipos en toda la empresa. El informe proporciona un análisis de la seguridad actual en la nube y el panorama de amenazas, así como información sobre las tendencias de los ataques utilizando datos recopilados del Plataforma inteligente de Akamai. Los colaboradores del Informe sobre el estado de Internet / seguridad incluyen profesionales de la seguridad de Akamai, incluido el Equipo de respuesta de inteligencia de seguridad (SIRT), la Unidad de investigación de amenazas, Seguridad de la información y el grupo Análisis personalizado.

Sobre Akamai
Como la plataforma de entrega en la nube más grande y confiable del mundo, Akamai facilita a sus clientes brindar las mejores y más seguras experiencias digitales en cualquier dispositivo, en cualquier momento y en cualquier lugar. La plataforma de distribución masiva de Akamai no tiene paralelo en escala con más de 200.000 servidores en 130 países, lo que brinda a los clientes un rendimiento superior y protección contra amenazas. La cartera de Akamai de soluciones de rendimiento web y móvil, seguridad en la nube, acceso empresarial y entrega de video está respaldada por un servicio al cliente excepcional y una supervisión 24 horas al día, 7 días a la semana. Para saber por qué las principales instituciones financieras, líderes en comercio electrónico, proveedores de medios y entretenimiento y organizaciones gubernamentales confían en Akamai, visite www.akamai.com, blogs.akamai.com o @Akamai en Twitter.

Publicaciones relacionadas

Glasswall recauda con éxito 18 millones de libras esterlinas de los principales inversores para financiar la expansión continua

“Reddit de América Latina” sufre violación de datos: la industria de la ciberseguridad reacciona

El foro de seguridad de la información examina los problemas de seguridad de la tecnología Blockchain en el último resumen.

Emma Watson emprende acciones legales por fotos privadas robadas en ‘Hack’

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar