¿Cuál es el estado de Internet y ciberseguridad?

Akamai analiza el resurgimiento del malware PBot, los algoritmos de generación de dominios, la relación entre los nodos de mando y control de Mirai y los objetivos de ataque.

Publicado el 05 Sep 2017

47388_63

Datos recientes muestran el aumento de los ataques DDoS y contra aplicaciones web, según se indica en el Informe sobre el estado de Internet en materia de seguridad del segundo trimestre de 2017 publicado por Akamai Technologies. A este aumento ha contribuido el malware DDoS PBot que, una vez más, constituye la base de los mayores ataques DDoS detectados por Akamai este trimestre.

En el caso de PBot, los agentes maliciosos hicieron uso de código PHP bastante antiguo para generar el mayor ataque DDoS detectado por Akamai en este periodo. Los atacantes lograron generar una minibotnet DDoS capaz de lanzar un ataque DDoS de 75 Gbps. Curiosamente, la botnet PBot se compone de 400 nodos, un número relativamente pequeño y, aun así, capaz de generar un nivel significativo de tráfico de ataque.

A la lista de “todas las modas vuelven” hay que añadir el análisis de utilización de algoritmos de generación de dominios (DGA) en infraestructuras de mando y control (C2) de malware realizado por el equipo de investigación de amenazas a las empresas de Akamai. Introducidos por primera vez con el gusano Conficker en 2008, los DGA han permanecido como técnica de comunicación de uso frecuente en el malware actual. El equipo detectó que las redes infectadas generaron un índice de consulta DNS aproximadamente 15 veces mayor que una red limpia. Esto se puede explicar como el resultado de acceso a dominios generados aleatoriamente por el malware en las redes infectadas. Puesto que la mayoría de los dominios generados no se habían registrado, el intento de acceder a todos ellos supuso la generación de gran cantidad de ruido. El análisis de la diferencia entre las características de comportamiento de las redes infectadas en comparación con el de las limpias constituye un método importante para identificar la actividad de malware.

Cuando la botnet Mirai fue detectada en septiembre del año pasado, Akamai era uno de sus primeros objetivos. A partir de ese momento, la plataforma de la compañía continuó recibiendo ataques y defendiéndose de ellos con éxito. Los investigadores de Akamai aprovecharon la excepcional visibilidad con la que contaban de dicha botnet para estudiar los diferentes aspectos de Mirai y, específicamente durante este segundo trimestre, su infraestructura de C2. El estudio realizado por Akamai es un claro indicador de que Mirai, al igual que muchas otras botnets, está contribuyendo a la comoditización de los DDoS. Si bien se detectó que muchos de los nodos C2 fuera de la botnet realizaban “ataques específicos” contra determinadas IP, se observaron muchos otros relacionados con lo que se podría considerar ataques “a sueldo”. En este último caso, los nodos C2 de Mirai atacaban las IP durante poco tiempo y volvían a surgir para atacar objetivos distintos.

Mirai, al igual que muchas otras botnets, está contribuyendo a la comoditización de los DDoS

Los atacantes indagan constantemente los puntos débiles en las defensas de una empresa y cuanto más común es una vulnerabilidad, más eficaz es su ataque y los hackers dedicarán más energía y recursos a ello”, declara Martin McKeay, experto principal en seguridad de Akamai. “Eventos como la botnet Mirai, la explotación utilizada por WannaCry y Petya, el continuo aumento de ataques de SQLi y el resurgimiento del PBot demuestran que, los atacantes no solo migran a nuevas herramientas, sino que también vuelven a utilizar algunas antiguas, cuya eficacia está más que probada“.

Datos en cifras:

Entre otros, el informe destaca los siguientes datos:

  • El número de ataques DDoS en el segundo trimestre ha aumentado en un 28%, tras tres trimestres en los que había bajado.
  • Los atacantes DDoS son más persistentes que nunca, y atacan objetivos un promedio de 32 veces al trimestre. Una empresa de videojuegos fue atacada 558 veces, aproximadamente seis veces al día de media.
  • Egipto fue el origen del mayor número de direcciones IP únicas utilizadas en los ataques DDoS frecuentes, con el 32% del total mundial. El trimestre pasado, Estados Unidos ocupaba este puesto; Egipto no estaba entre los cinco primeros.
  • Se utilizaron menos dispositivos para lanzar ataques DDoS en este trimestre. El número de direcciones IP implicadas en ataques DDoS volumétricos cayó el 98%, de 595.000 a 11.000.
  • La incidencia de ataques a aplicaciones web aumentó un 5% con respecto al trimestre anterior y 28% respecto al año anterior.
  • Los ataques SQLi fueron la opción utilizada en más de la mitad (51%) de los ataques a aplicaciones web este trimestre, un 44% más que el anterior, generando casi 185 millones de alertas solo en el segundo trimestre.

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

C
Redacción Computing

Artículos relacionados

Artículo 1 de 3