FlagLunes, 17 Diciembre 2018

Información de valor para integradores de Seguridad Electrónica y Ciberseguridad

 

 

letras ataq

 

NETSCOUT lanzó su Informe de Inteligencia de Amenazas NETSCOUT 2018, que ofrece inteligencia de amenazas de Internet con alcance mundial en conjunto con el análisis de nuestra organización de investigación de seguridad. El informe cubre las últimas tendencias y actividades de los grupos estado nación de amenazas persistentes avanzadas (APT), las operaciones de crimeware y las campañas de ataque de denegación de servicio distribuido (DDoS).

"ATLAS es un proyecto colaborativo con cientos de clientes proveedores de servicios que han acordado compartir datos de tráfico anónimos que equivalen aproximadamente a un tercio de todo el tráfico de Internet. Desde este único punto de vista, NETSCOUT está en una posición ideal para brindar inteligencia sobre ataques DDoS, familias de malware y botnets que amenazan la infraestructura de Internet y la disponibilidad de la red ", dijo Hardik Modi, Director Senior de Inteligencia de Amenazas de NETSCOUT. Este informe deja en claro que los ciberactores están aprovechando cada vez más las amenazas a escala de Internet, como NotPetya, para campañas dirigidas y altamente selectivas ".

"NETSCOUT brinda información única sobre el panorama global de amenazas a través de su infraestructura ATLAS. Si bien es más conocida por la defensa DDoS, la compañía ha creado una impresionante organización de investigación de seguridad que se adentra en las campañas de malware y botnets a nivel mundial, proporcionando un contexto necesario para el entorno general de amenazas. Al estudiar la infraestructura, el comando y el control, están recopilando gran parte de su inteligencia directamente de la fuente", dijo Rob Ayoub, director de investigación en el programa de productos de seguridad de IDC.

Aspectos más destacados del informe:

1. Ataques DDoS entran en la era del terabit. Los ataques de Memcached del invierno pasado marcaron el comienzo de la era de los ataques terabits DDoS. De hecho, NETSCOUT Arbor mitigó el mayor ataque DDoS visto hasta ahora, un ataque DDoS de 1.7 Tbps en febrero de 2018.

2. Aumenta el volumen, disminuye la frecuencia. Vimos cerca de 2.8 mil millones de ataques en la primera mitad de 2018. Si bien esa es una gran cantidad de ataques, la gran noticia radica en el tamaño y no en la frecuencia. De 2017 a 2018, vimos una ligera caída en la frecuencia de ataque acompañada de un aumento dramático en el tamaño y la escala del ataque. Sin embargo, esa caída en la frecuencia no significa que los ataques DDoS disminuyan. El tamaño máximo de los ataques DDoS aumentó 174% en H1 2018 en comparación con el mismo período de 2017. Consideramos que a medida que las herramientas de ataque se vuelven más sofisticadas, los atacantes consideran más fácil y económico lanzar ataques más grandes y efectivos.

3. Los grupos APT se expanden más allá de la arena tradicional. Más naciones están operando programas cibernéticos ofensivos y nosotros en la comunidad de investigación estamos observando un conjunto más amplio de ciberactores. De hecho, la actividad patrocinada por el estado nación se ha desarrollado más allá de los actores comúnmente asociados con China y Rusia, ya que nuestros hallazgos incluyen campañas atribuidas a Irán, Corea del Norte y Vietnam.

4. Los actores de Crimeware diversifican los métodos de ataque. Si bien las campañas de correo electrónico siguen siendo el principal lugar de encuentro, observamos cambios notables en los métodos diseñados para acelerar la proliferación de malware. Inspirados por los eventos de gusanos de 2017 como WannaCry, los principales grupos de crimeware agregaron módulos de gusanos a otro malware con objetivos distintos, como robo de credenciales o cargadores tradicionales. También vimos un mayor enfoque en la minería de criptomonedas en el malware. Parece que los atacantes ven este método como una alternativa menos riesgosa y más rentable que el ransomware, ya que este último tiene el desafortunado efecto secundario de llamar la atención de las agencias de aplicación de la ley.

5. Los países pueden ser un importante objetivo de las campañas DDoS. Si bien la tendencia de un gran aumento en el tamaño de los ataques sobre un crecimiento en la frecuencia se desarrolló de forma bastante uniforme en todas las regiones, vimos a algunos países y regiones como objetivos desproporcionados. Asia Pacífico experimentó una cantidad inmensa de ataques de alto volumen en comparación con otras regiones. China surgió destacadamente como un país objetivo, con 17 ataques mayores a 500 Gbps en la primera mitad de 2018 versus ninguno durante el mismo período del año anterior.

6. Los objetivos de las verticales de la industria se expanden. Nuestro análisis de las verticales objetivo revela algunas ideas año tras año. Los proveedores de servicios de telecomunicaciones y hosting presentan la mayoría de los ataques, pero también vimos grandes cambios en diferentes verticales. Los ataques contra integradores de sistemas y consultorías aumentaron, y agencias gubernamentales como consulados, embajadas, el Fondo Monetario Internacional, el Departamento de Estado y las Naciones Unidas experimentaron un fuerte repunte en los ataques. Esto se alinea con el uso de DDoS contra los objetivos por parte del gobierno, así como aquellos que se oponen ideológicamente a los intereses representados por estas instituciones.

7. Nuevos vectores de ataque DDoS se aprovechan rápidamente. La campaña de ataque de Memcached utilizó vulnerabilidades en servidores Memcached mal configurados para lanzar enormes ataques DDoS, un proceso que tomó muy poco tiempo desde el informe inicial hasta la primera herramienta de ataque disponible y utilizada para causar impacto global. Si bien hubo una movilización considerable en todo el mundo para reparar servidores vulnerables, el vector sigue siendo explotable y se seguirá utilizando. La realidad es que, una vez que se inventa un tipo de DDoS, en realidad nunca desaparece.

8. Nueva clase de abuso de SSDP Simple Service Discovery Protocol (SSDP) se ha utilizado para ataques de reflexión / amplificación durante muchos años, ASERT desacreditó informes este año que afirmaban que esta herramienta existente representaba un nuevo tipo de campaña DDoS con el potencial de millones de dispositivos vulnerables. Sin embargo, ASERT descubrió una nueva clase de abuso de SSDP donde los dispositivos ingenuos responderán a los ataques de reflexión / amplificación SSDP con un puerto no estándar. La inundación resultante de paquetes UDP tiene puertos de origen y destino efímeros, lo que dificulta la mitigación: un ataque de difracción SSDP.

9. Las campañas dirigidas APT pueden implicar huellas a escala de Internet. A medida que los grupos APT de estado nación continúan desarrollándose globalmente, nos interesaron particularmente las observaciones de la actividad a escala de Internet en el ámbito estratégico, donde campañas como NotPetya, CCleaner, VPNFilter, etc. implicaron una amplia proliferación a través de Internet, incluso cuando los objetivos finales en algunos casos eran altamente selectivos.

10. Aparecen nuevas plataformas y objetivos de crimeware. No satisfechos con agregar nuevos módulos de malware, los actores de crimeware también desarrollaron afanosamente nuevas plataformas, como la beta de Kardon Loader observada por ASERT. Al mismo tiempo, plataformas de malware conocidas como Panda Banker están siendo dirigidas a nuevos objetivos.