Las ciberamenazas escalan más rápidamente que la capacidad de muchas organizaciones para identificarlas, bloquearlas y mitigarlas. La visibilidad es un imperativo en este escenario de amenazas en continua expansión, aunque según un nuevo informe sobre amenazas publicado por CenturyLink, actuar resulta aún más esencial.
“A medida que las empresas se focalizan en la innovación digital, ingresan a un mundo de amenazas y riesgos sin precedentes, las amenazas continúan evolucionando, al igual que los actores maliciosos. Los estados-nación bien financiados y los grupos delictivos focalizados han remplazado a los revoltosos lobos solitarios y a los atacantes menos sofisticados, motivados por la fama de las salas de chat. Afortunadamente, a través de nuestros insights contamos con la capacidad para defender nuestra red y las redes de nuestros clientes de estas amenazas en evolución”, comentó Mike Benjamin, a cargo de la división de investigación y operaciones sobre amenazas de CenturyLink.
Estas redes de computadoras infectadas continúan teniendo éxito debido a la facilidad con la que comprometen a sus objetivos y a su capacidad de operar remotamente y de manera encubierta. botnets tales como necurs, emotet y themoon han demostrado evoluciones tanto en complejidad como en resiliencia. Las familias de malware como gafgyt y mirai también constituyen una preocupación constante, toda vez que sus objetivos son los dispositivos de IoT.
A menudo se pasa por alto al servidor de nombre de dominio (DNS) como un vector potencial de ataque. Sin embargo, hemos visto un incremento de los ataques basados en DNS, tales como la tunelización de DNS. Un ataque de tunelización de DNS puede utilizarse para codificar datos en los subdominios de una consulta o respuesta de DNS, posibilitando un acceso constante a la red para extraer datos, evitar controles de seguridad o enviar tráfico arbitrario. En un período reciente que abarcó varias semanas, black lotus labs detectó un promedio diario de abuso de 250 dominios, algo que representa más de 70.000 búsquedas en cada dominio.
Los ataques de denegación distribuida de servicio (DDoS) siguen causando demoras en el servicio y sacando a las empresas de circulación. Mientras observamos una progresión constante en la magnitud de los ataques, también detectamos un incremento en los ataques de ráfaga, con una duración de un minuto o menor. Durante el primer semestre del año, el centro de operaciones de seguridad (SOC) de CenturyLink mitigó más de 14.000 ataques de DDoS contra los clientes. Un punto interesante para destacar es que de los primeros 100 ataques de mayor envergadura, en el primer semestre del año, el 89% fue multi-vector.
Las geografías con infraestructura y redes de TI crecientes siguen siendo la fuente principal para la actividad cibercriminal. Los primeros cinco países más atacados en el primer semestre de 2019 fueron, Estados Unidos, China, India, Rusia y Vietnam. Mientras que los Estados Unidos, China y Rusia figuran en el listado año tras año, India y Vietnam son nuevos en este grupo de cinco países. Diariamente, más de 139 mil millones de sesiones NetFlow y 771 millones de consultas DNS son ingeridas por varios modelos de aprendizaje automático de inteligencia sobre amenazas, desarrollados por black lotus labs.
