El informe detallado para operadores de Akamai se basa en la experiencia de Nominum y pone de relieve la eficacia de la seguridad basada en DNS.
Akamai Technologies, la plataforma de distribución en la nube más grande y respetada del mundo, ha anunciado esta semana que ya está disponible su Informe sobre el estado de Internet en materia de seguridad para operadores en la primavera de 2018, que muestra que el intercambio de información es un factor importante en la defensa frente a las ciberamenazas. En él, se analizan los datos procedentes de más de 14 billones de consultas de DNS que Akamai ha recopilado entre septiembre de 2017 y febrero de 2018 a partir de redes de proveedores de servicios de comunicación (CSP) de todo el mundo.
Durante más de 19 años, Nominum, adquirida por Akamai en 2017, se ha servido de datos detallados de DNS para mejorar la protección general frente a ciberataques sofisticados como los ataques distribuidos de denegación de servicio (DDoS), el ransomware, los troyanos y las botnets. El informe detallado para operadores de Akamai se basa en la experiencia de Nominum y pone de relieve la eficacia de la seguridad basada en DNS que está enriquecida con datos procedentes de otras capas de seguridad. Este enfoque de seguridad por capas implica el uso de diversas soluciones de seguridad para proteger de manera colectiva los datos de una organización.
«Tener conocimientos aislados de los ataques a sistemas individuales no es suficiente para que los equipos de seguridad puedan enfrentarse al complicado panorama de amenazas de hoy en día»,indica Yuriy Yuzifovich, director de Ciencia de Datos e Inteligencia ante Amenazas en Akamai. Y añade: «Comunicarse con diversas plataformas es esencial para la adquisición de conocimientos en todos los equipos, sistemas y conjuntos de datos. Creemos que las consultas de DNS que nuestro servicio proporciona actúan como un componente estratégico para dotar a los equipos de seguridad de los datos necesarios para obtener esa visión general del panorama de amenazas».
Cómo hacer frente a la botnet Mirai: la colaboración en acción
La colaboración entre equipos dentro de Akamai ha desempeñado un papel fundamental en el descubrimiento de los dominios de mando y control (CnC) de Mirai para que las futuras detecciones de esta botnet sean más exhaustivas. El equipo de respuesta a incidentes e inteligencia en seguridad (SIRT) de Akamai no ha perdido de vista a Mirai desde sus inicios, utilizando cebos para detectar sus comunicaciones e identificar sus servidores CnC.
A finales de enero de 2018, los equipos de Nominum y SIRT de Akamai compartieron una lista en la que se enumeraban más de 500 dominios CnC de Mirai sospechosos. El objetivo era entender si, mediante los datos de DNS y la inteligencia artificial, se podía aumentar esta lista de CnC para, de este modo, conseguir una detección de Mirai más completa en el futuro. A través de varias capas de análisis, los equipos combinados de Akamai pudieron aumentar el conjunto de datos CnC de Mirai y descubrieron una conexión entre sus botnets y los distribuidores del ransomware Petya.
Este análisis colaborativo indica una evolución de las botnets del IoT, desde un caso de uso casi exclusivo del lanzamiento de ataques DDoS hasta actividades más sofisticadas, como la distribución de ransomware y la criptominería. Las botnets del IoT son difíciles de detectar porque hay muy pocos indicadores de riesgo para la mayoría de los usuarios. Aun así, gracias a la investigación colaborativa que estos equipos llevaron a cabo, ahora se pueden detectar y bloquear muchos nuevos dominios CnC para controlar la actividad de la botnet.
Equipos de criptominería de JavaScript: un turbio modelo de negocio
El aumento exponencial del empleo de la criptominería por parte de los usuarios se ha reflejado en un drástico y visible aumento del número de cepas de malware basado en criptominería, así como del número de dispositivos infectados por ellas.
Akamai ha identificado dos modelos de negocio diferentes para la criptominería a gran escala. El primer modelo utiliza la capacidad de procesamiento de los dispositivos infectados para explotar tokens de criptomoneda. El segundo utiliza código incrustado en sitios de contenido que hacen que los dispositivos que visitan el sitio trabajen para el analizador criptográfico. Akamai realizó un exhaustivo análisis de este segundo modelo de negocio, ya que plantea un nuevo desafío de seguridad tanto para los usuarios como para los propietarios de sitios web. Después de analizar los dominios de analizadores criptográficos, pudo estimar el coste que supone esta actividad, en lo que se refiere a la potencia del equipo y a los beneficios económicos. Según una conclusión interesante de esta investigación, la criptominería podría convertirse en una alternativa viable a los ingresos por publicidad para financiar sitios web.
Amenazas en constante cambio: malware y vulnerabilidades reutilizados
La ciberseguridad no es un sector estático. Los investigadores han observado que los hackers reutilizan antiguas técnicas aplicándolas en el panorama digital actual. Durante los seis meses que Akamai ha dedicado a la recopilación de estos datos, algunas importantes campañas de malware y vulnerabilidades muestran notables cambios en sus procedimientos operativos, entre los que se incluyen los siguientes:
- Se descubrió que el protocolo de detección automática de proxy web (WPAD) se estaba utilizando para exponer sistemas Windows a ataques de tipo intermediario entre el 24 de noviembre y el 14 de diciembre de 2017. WPAD está diseñado para utilizarse en redes protegidas (por ejemplo, LAN), por lo que los ordenadores quedan al descubierto ante importantes ataques cuando están expuestos a Internet.
- Los desarrolladores de malware han añadido a sus métodos la recopilación de credenciales de inicio de sesión en redes sociales, además de información financiera. Terdot, una rama de la botnet Zeus, crea un proxy local y permite a los atacantes realizar ciberespionaje y difundir noticias falsas en el navegador de la víctima.
- La botnet Lopai ilustra de qué manera estos desarrolladores están creando herramientas más flexibles. Este malware móvil ataca fundamentalmente dispositivos Android y utiliza un enfoque modular que permite a los propietarios crear actualizaciones con nuevas capacidades.
Puede descargar una copia gratuita del Informe sobre el estado de Internet en materia de seguridad para operadores en la primavera de 2018 aquí.