Informe de Akamai desglosa las
estadísticas de ataques DDoS y contra aplicaciones web, junto con analizar el
resurgimiento del malware PBot, los algoritmos de generación de dominios, la
relación entre los nodos de mando y control de Mirai y los objetivos de ataque.
Datos recientes muestran el aumento de
los ataques DDoS y contra aplicaciones web, según se indica en el Informe sobre
el estado de Internet en materia de seguridad del segundo trimestre de 2017
publicado por Akamai Technologies, Inc., (NASDAQ: AKAM). A este aumento ha
contribuido el malware DDoS PBot que, una vez más, constituye la base de los
mayores ataques DDoS detectados por Akamai este trimestre.
En el caso de PBot, los agentes
maliciosos hicieron uso de código PHP bastante antiguo para generar el mayor
ataque DDoS detectado por Akamai en este periodo. Los atacantes lograron
generar una mini botnet DDoS capaz de lanzar un ataque DDoS de 75 Gbps.
Curiosamente, la botnet PBot se compone de 400 nodos, un número relativamente
pequeño y, aun así, capaz de generar un nivel significativo de tráfico de
ataque.
A la lista de “todas las modas
vuelven” hay que añadir el análisis de utilización de algoritmos de generación
de dominios (DGA) en infraestructuras de mando y control (C2) de malware
realizado por el equipo de investigación de amenazas a las empresas de Akamai.
Introducidos por primera vez con el gusano Conficker en 2008, los DGA han
permanecido como técnica de comunicación de uso frecuente en el malware actual.
El equipo detectó que las redes infectadas generaron un índice de consulta DNS
aproximadamente 15 veces mayor que una red limpia. Esto se puede explicar como
el resultado de acceso a dominios generados aleatoriamente por el malware en
las redes infectadas. Puesto que la mayoría de los dominios generados no se
habían registrado, el intento de acceder a todos ellos supuso la generación de
gran cantidad de ruido. El análisis de la diferencia entre las características
de comportamiento de las redes infectadas en comparación con el de las limpias
constituye un método importante para identificar la actividad de malware.
Cuando la botnet Mirai fue detectada
en septiembre del año pasado, Akamai era uno de sus primeros objetivos. A
partir de ese momento, la plataforma de la compañía continuó recibiendo ataques
y defendiéndose de ellos con éxito. Los investigadores de Akamai aprovecharon
la excepcional visibilidad con la que contaban de dicha botnet para estudiar
los diferentes aspectos de Mirai y, específicamente durante este segundo
trimestre, su infraestructura de C2. El estudio realizado por Akamai es un
claro indicador de que Mirai, al igual que muchas otras botnets, está
contribuyendo a la comoditización de los DDoS. Si bien se detectó que muchos de
los nodos C2 fuera de la botnet realizaban “ataques específicos” contra
determinadas IP, se observaron muchos otros relacionados con lo que se podría
considerar ataques “a sueldo”. En este último caso, los nodos C2 de Mirai
atacaban las IP durante poco tiempo y volvían a surgir para atacar objetivos
distintos.
“Los atacantes indagan constantemente los
puntos débiles en las defensas de una empresa y cuanto más común es una
vulnerabilidad, más eficaz es su ataque y los hackers dedicarán más energía y
recursos a ello”, declara Martin McKeay, experto principal en seguridad de
Akamai. “Eventos como la botnet Mirai, la explotación utilizada por WannaCry y
Petya, el continuo aumento de ataques de SQLi y el resurgimiento del PBot
demuestran que, los atacantes no solo migran a nuevas herramientas, sino que
también vuelven a utilizar algunas antiguas, cuya eficacia está más que
probada”.
Entre otros, el informe destaca los
siguientes datos:
- El número de ataques DDoS en el segundo trimestre ha aumentado en un 28%, tras tres trimestres en los que había bajado.
- Los atacantes DDoS son más persistentes que nunca, y atacan objetivos un promedio de 32 veces al trimestre. Una empresa de videojuegos fue atacada 558 veces, aproximadamente seis veces al día de media.
- Egipto fue el origen del mayor número de direcciones IP únicas utilizadas en los ataques DDoS frecuentes, con el 32% del total mundial. El trimestre pasado, Estados Unidos ocupaba este puesto; Egipto no estaba entre los cinco primeros.
- Se utilizaron menos dispositivos para lanzar ataques DDoS en este trimestre. El número de direcciones IP implicadas en ataques DDoS volumétricos cayó el 98%, de 595.000 a 11.000.
- La incidencia de ataques a aplicaciones web aumentó un 5% con respecto al trimestre anterior y 28% respecto al año anterior.
- Los ataques SQLi fueron la opción utilizada en más de la mitad (51%) de los ataques a aplicaciones web este trimestre, un 44% más que el anterior, generando casi 185 millones de alertas solo en el segundo trimestre.
Puede descargar una copia gratuita del
Informe sobre el estado de Internet en materia de seguridad del segundo
trimestre de 2017 aquí http://akamai.me/2i9vrdz. Para descargar los distintos cuadros
y gráficos, incluidos los asociados, haga clic en http://akamai.me/2w6mI1v.
Metodología
El Informe de Akamai sobre el estado
de Internet en materia de seguridad del segundo trimestre de 2017 incluye datos
sobre ataques extraídos de la infraestructura global de Akamai e
investigaciones de diversos equipos de la organización. El informe proporciona
un análisis del actual panorama de amenazas y seguridad en la nube, así como
información detallada sobre las tendencias de los ataques utilizando los datos recopilados
por Akamai Intelligent Platform. Entre otros agentes, a la elaboración del
Informe de Akamai sobre el estado de Internet en materia de seguridad
contribuyen profesionales de la seguridad de Akamai, incluido el equipo de
respuesta a incidentes e inteligencia en seguridad (SIRT), la unidad de
investigación de amenazas, la seguridad de la información, y el grupo de
análisis personalizado.
Fuente: Diarioti.com