Los botnets permanecen como amenaza constante e importante en internet
Antecedentes
Las empresas, los gobiernos y los consumidores deberían prestar más atención al riesgo que representan las botnets, según un nuevo informe sobre amenazas publicado por CenturyLink, Inc. En 2017, los Laboratorios de Investigación de Amenazas de CenturyLink rastrearon una media de 195.000 amenazas diarias, que impactaron en promedio, a 104 millones de objetivos exclusivos – desde servidores y computadoras a dispositivos portátiles u otros conectados a internet – gracias al trabajo de las botnets. Este anuncio sigue a la ampliada visión de CenturyLink sobre el panorama de las amenazas.
Contexto Importante
• Más de 4.000 millones de personas – esencialmente la mitad de la población mundial – actualmente tiene acceso a internet.
• Entre los petabytes de datos que atraviesan nuestra backbone global, los Laboratorios de Investigación de Amenazas de CenturyLink rastrearon una media de 195.000 amenazas por día en 2017, que impactaron en promedio a 104 millones de objetivos individuales por día.
• El costo estimado de un ataque DDoS es de US$ 500/minuto; un ataque DDoS tiene una duración promedio de 6 a 24 horas.
• IDG espera que, hasta 2020, la cantidad de unidades IoT instaladas aumente a 28.100 millones.
Entrevista a CenturyLink:
P: ¿Qué son los Laboratorios de Investigación de Amenazas de CenturyLink?
• Los Laboratorios de Investigación de Amenazas de CenturyLink son un grupo de científicos de datos que analiza y responde a las ciber amenazas en torno de toda nuestra red global.
P: ¿Por qué CenturyLink está lanzando este informe?
• Como proveedor global de servicios de red, creemos que necesitamos un abordaje proactivo para asegurar la internet, compartiendo nuestra inteligencia sobre amenazas y mitigando proactivamente las ciber amenazas conocidas.
P: ¿Cómo se obtiene esta inteligencia? ¿De dónde viene esta inteligencia?
• El alcance y la profundidad de la amplia concientización de CenturyLink sobre las amenazas proviene de su backbone IP global, uno de los más grandes del mundo.
CenturyLink:
o Compila 114.000 millones de registros de NetFlow todos los días
o Captura más de 1.300 millones de eventos de seguridad diariamente
o Monitorea 5.000 servidores C2 conocidos de manera continua
o Responde a una cifra cercana a los 120 ataques de DDoS por día y los mitiga
o Elimina aproximadamente 40 redes C2 por mes
P: Además de publicar este informe, ¿qué hace CenturyLink con esta inteligencia?
• Como proveedor global de servicios de red, creemos que necesitamos un abordaje proactivo para asegurar la internet, compartiendo nuestra inteligencia sobre amenazas y mitigando proactivamente las ciber amenazas conocidas.
• A diferencia de otras entidades de investigación en seguridad, los Laboratorios de Investigación de Amenazas de CenturyLink no se limitan a monitorear el tráfico malicioso de manera pasiva a través de la red; los equipos trabajan para prevenir activamente que los malos actores usen los recursos de la red de CenturyLink – o los de nuestros clientes – para llevar a cabo actividades delictivas.
P: ¿Cuáles son algunos de los hallazgos clave en el informe?
• El aprendizaje más importante de este informe de amenazas es que las botnets siguen siendo una ciber amenaza constante.
o En 2017, los Laboratorios de Investigación de Amenazas de CenturyLink rastrearon una media de 195.000 amenazas diarias, que impactaron en promedio, a 104 millones de objetivos exclusivos, desde servidores y computadoras a dispositivos portátiles u otros conectados a internet.
• El segundo hallazgo clave del informe es que mientras algunas explotaciones (exploits) se destacan más en las noticias, no deberíamos ignorar aquéllas que silenciosamente acumulan grupos más grandes de víctimas.
o Por ejemplo, hemos visto que los medios le prestaron una atención desproporcionada a Mirai por encima de la dedicada a Gafgyt, un precursor de Mirai. Según nuestro análisis, hasta ahora Gafgyt se ha mostrado como una amenaza pasada por alto – una con un tiempo de duración máxima notablemente superior y con una cantidad de víctimas mayor.
• Finalmente, los malos actores son atraídos por Mirai y Gafgyt porque ofrecen una amplia variedad de opciones customizables para llevar a cabo sus ataques, dependiendo de su intención, su objetivo y el resultado deseado.
o Nuestro informe explora en profundidad la evolución de estos métodos y tendencias actuales que estamos observando respecto de determinados tipos de ataques.
P: ¿Cómo se compara este informe con los informes de amenazas de otras compañías?
• Esta inteligencia se diferencia de otros informes sobre amenazas del sector porque se basa exclusivamente en aquello que los Laboratorios de Investigación de Amenazas de CenturyLink ve a través de la red troncal global de CenturyLink.
P: ¿Qué pueden hacer las empresas con esta información?
• Es importante que las empresas y los consumidores conozcan los métodos que utilizan los ciberdelincuentes para cometer ataques, a fin de proteger su información confidencial y sus operaciones.
• Como proveedor global de servicios de red, creemos que necesitamos un abordaje proactivo para asegurar internet, compartiendo nuestra inteligencia sobre amenazas y mitigando proactivamente las ciber amenazas conocidas.
P: ¿Cuáles son algunos de los hallazgos globales, regionales o específicos de cada país?
• Las geografías con redes e infraestructura de TI sólidas y de rápido crecimiento continúan siendo la principal fuente para la actividad de los ciberdelincuentes.
o Los cinco principales países por volumen de tráfico de internet malicioso global en 2017 fueron Estados Unidos, Rusia, China, Brasil y Ucrania.
o Los cinco principales países que hospedaron la mayoría de los servidores de comando y control (C2), que reúnen y comandan botnets, fueron los Estados Unidos, Rusia, Ucrania, China y Alemania.
• Mientras que los países y regiones con infraestructura de comunicación robusta suministraron, sin saberlo, ancho de banda para los ataques DDoS de IoT, también representaron algunas de las mayores víctimas en función del volumen de comandos de ataque.
o Los cinco principales países de destino del tráfico de ataque de bot fueron los Estados Unidos, China, Alemania, Rusia y el Reino Unido.
o Los cinco principales países por volumen de hosts o bots comprometidos fueron los Estados Unidos, China, Brasil, el Reino Unido y Alemania.
• [Vea las tablas adicionales al final de este documento]
P: Uds. se centran en algunas explotaciones (exploits) específicas en el informe. ¿Puede hablar un poco más sobre eso?
• Así es. Uno de los hallazgos más importantes de este informe es que mientras algunas explotaciones acaparan más las noticias, no deberíamos ignorar aquéllas que silenciosamente afectan a un grupo mayor de víctimas.
• Mirai y sus variantes han sido foco de numerosas noticias y de una cobertura constante en los medios, pero en 2017, los Laboratorios de Investigación de Amenazas de CenturyLink han sido testigos de más ataques de Gafgyt que afectan a más víctimas, con una duración de los ataques, considerablemente más prolongada.
o En 2017, rastreamos 562 C2s exclusivas con un uptime mínimo de un día y máximo de 117días.
o Durante el mismo periodo, rastreamos 339 C2s exclusivas con un uptime mínimo de un día y máximo de 83 días.
P: Ok – pero ¿qué pasa con la amenaza [X]? ¿Por qué ustedes están centrados solo en IoT DDoS?
• Hemos visto que la frecuencia y el tamaño de los ataques DDoS aumentan a un ritmo alarmante.
o El ataque DDoS Krebonsecurity.com en septiembre 2016 fue el mayor ataque registrado en 665 Gbps.
o Marzo de 2018: GitHub sufrió un ataque DDoS de 1.3 Tbps
• Gracias a nuestra visión expandida del panorama de las amenazas, creemos que necesitamos un abordaje proactivo para asegurar internet, compartiendo nuestra inteligencia sobre amenazas y mitigando proactivamente las ciber amenazas conocidas.
Consumidores:
P: Hemos escuchado mucho sobre diferentes "hackeos" y explotaciones últimamente. ¿Qué significa eso realmente?
• Un "hackeo" es cuando terceros (malos actores/ciberdelincuentes) acceden a una red o dispositivo de computadora, generalmente con fines maliciosos.
• Las varias maneras en que alguien puede ser "hackeado" incluyen: hacer clic en enlaces de email, descargar aplicaciones infectadas, contraseñas antiguas / fáciles de descifrar…
P: Por qué hemos visto tantos "hackeos"/ violaciones últimamente?
• Dos razones: tanto nosotros (la industria/las empresas) somos cada vez más expertos, pero también lo son los malos actores.
• La proliferación de dispositivos conectados: Internet of Things (IoT)
• Mala seguridad cibernética como el uso de contraseñas / nombres de usuario padrón para módems y otros dispositivos IoT
• No actualizar parches de software para vulnerabilidades
P: ¿Qué tan grave es en realidad?
• En 2017, los Laboratorios de Investigación de Amenazas de CenturyLink rastrearon una media de 195.000 amenazas diarias, que impactaron en promedio, a 104 millones de objetivos exclusivos – desde servidores y computadoras a dispositivos portátiles u otros conectados a internet – gracias al trabajo de las botnets.
P: ¿Por qué los dispositivos de IoT son un gran objetivo para los ciberdelincuentes?
• IoT es prolífico: IDG espera que la cantidad de unidades de IoT instaladas crezca a unos 28.100 millones en 2020.
• Muchos dispositivos conectados a Internet no se pueden reparar o actualizar fácilmente con nuevas implementaciones de seguridad.
• Las contraseñas predeterminadas normalmente no se modifican o no se pueden cambiar.
• Los consumidores y las empresas no han considerado cómo los dispositivos de IoT pueden convertirse en puntos de vulnerabilidad para ellos.
o De acuerdo con los resultados de un estudio publicado recientemente por HP, seis de cada diez dispositivos IoT tenían vulnerabilidades cibernéticas comunes, y el 70 por ciento no encriptaban las comunicaciones a través de Internet.
• Muchos dispositivos de IoT recopilan datos personales.
P: ¿Qué es Shodan? ¿Qué es lo consigue ver Shodan?
• Shodan es una herramienta de búsqueda IoT utilizada tanto por investigadores de seguridad y profesionales, como por ciberdelincuentes.
• En los últimos años, Shodan agregó una nueva sección con cámaras web vulnerables
o La vulnerabilidad de webcam de Shodan muestra la vista desde cámaras que tienen un puerto abierto, carecen de autenticación y transmiten video.
o Captura una imagen y pasa a la siguiente.
o Las vistas dentro de cunas, hogares privados, bares y negocios son accesibles.
P: ¿Qué deben hacer los consumidores para protegerse?
• Mantenerse actualizados sobre los últimos parches de software para sus aplicaciones y programas de computadora, así como las actualizaciones de firmware para sus dispositivos IoT.
• Siempre cambiar el nombre de usuario/contraseña predeterminados para cualquier dispositivo, especialmente su módem.
• Practicar la buena higiene cibernética:
o No usar contraseñas comunes
Pensar en contraseñas frase y no en contraseñas palabras – son mucho más difíciles de descifrar que el nombre de un perro o una fecha de cumpleaños.
Mezcla de números, letras y caracteres especiales.
• Ejemplo: MyFavoritePieisApple = #M4Favorit3Pi3isAppl3!
o No comparta contraseñas
o Use contraseñas diferentes para cada cuenta.
P: ¿Qué más podemos hacer para protegernos?
• ¡Haga preguntas! Para todas las empresas que almacenen sus datos, debe saber por qué, donde y como.
o Deben tener una sólida postura de seguridad que incluya inteligencia de amenazas activa y datos segmentados para proteger a los clientes.
• Cambia tus contraseñas regularmente.
• Active la autorización de dos factores para sus cuentas online.
Tablas por Países
Lea el Informe sobre Amenazas de CenturyLink 2018: http://lookbook.centurylink.com/threat-report.
• CenturyLink:
o Compila 114.000 millones de registros de NetFlow todos los días
o Captura más de 1.300 millones de eventos de seguridad diariamente
o Monitorea 5.000 servidores C2 conocidos de manera continua
o Responde a una cifra cercana a los 120 ataques de DDoS por día y los mitiga
o Elimina aproximadamente 40 redes C2 por mes
Vea el comunicado de prensa MultiVu: https://www.multivu.com/players/English/8085056-level-3-communications-2018-threat-report/
Observaciones Clave
• En CenturyLink, valoramos la seguridad. Nuestro objetivo es utilizar nuestra visión expansiva del panorama de las amenazas para proteger nuestra red y las de nuestros clientes de los actores maliciosos.
• Como proveedor global de servicios de red, creemos que necesitamos un abordaje proactivo para asegurar la internet, compartiendo nuestra inteligencia sobre amenazas y mitigando proactivamente las ciber amenazas conocidas.
• A diferencia de otras entidades de investigación en seguridad, los Laboratorios de Investigación de Amenazas de CenturyLink no se limitan a monitorear el tráfico malicioso de manera pasiva a través de la red; los equipos trabajan para prevenir activamente que los malos actores usen los recursos de la red de CenturyLink – o los de nuestros clientes – para llevar a cabo actividades criminales.
Estadísticas Generales de Seguridad
CenturyLink:
o Compila 114.000 millones de registros de NetFlow todos los días
o Captura más de 1.300 millones de eventos de seguridad diariamente
o Monitorea 5.000 servidores C2 conocidos de manera continua
o Responde a una cifra cercana a los 120 ataques de DDoS por día y los mitiga
o Elimina aproximadamente 40 redes C2 por mes
o El alcance y la profundidad de la amplia concientización de CenturyLink sobre las amenazas proviene de su backbone IP global, uno de los más grandes del mundo. Esta infraestructura crítica soporta a las operaciones globales de CenturyLink e informa a su conjunto integral de soluciones de seguridad, que incluyen detección de amenazas, monitoreo de registro seguro, mitigación de DDoS y soluciones de seguridad basadas en la red.
Fuente: news.centurylink.com