El año 2020 ha sido marcado por abismantes cambios en los escenarios que conforman el panorama de Ciberinteligencia. Por su parte, la situación de la amenaza, ha visto la oportunidad de explotar este proceso acelerado de transformación digital, que en líneas generales, conlleva a incrementar las brechas de seguridad de las organizaciones. Bajo este nuevo escenario, es que el tercer trimestre nos ha entregado importantes datos a considerar en el contexto de los ataques DDoS.
Ataques DDoS en el tercer trimestre de 2020
En el tercer trimestre, se observa una caída significativa en todos los indicadores en relación con el período anterior. Esto es más probable debido a la actividad anómala de DDoS observada en el segundo trimestre que a una pausa inusual de este trimestre, lo que se vuelve claro al comparar la imagen actual con los datos del mismo período en 2019.
Tipos de ataque de DDoS mas comunes
Países más afectados en el cono Latinoamericano
Tendencias del trimestre
Según Kaspersky DDoS Intelligence han evidenciado que el tercer trimestre está muy por detrás del primer trimestre en términos de:
Botnets reportadas en el Q3:
Ransom Distributed Denial-of-Service (RDDoS)
Desde mediados de agosto, se han estado enviando correos electrónicos a empresas con una carta de extorsión, exigiendo el pago y amenazando con ataques DDoS selectivos si sus demandas no se cumplen. Estas solicitudes de extorsión son de actores de amenazas que se hacen pasar por "Fancy Bear", "Armada Collective" y "Lazarus Group". Las cartas se envían por correo electrónico y, por lo general, contienen datos específicos de la víctima, como números de sistema autónomo (ASN) o direcciones IP de servidores o servicios a los que se dirigirán si no se cumplen sus demandas. Es una campaña global con amenazas reportadas por organizaciones en finanzas, viajes y comercio electrónico en APAC, EMEA, Norteamérica y Sudamérica.
Cabe señalar que este tipo de campañas no es algo nuevo, existiendo boletines de otras fuentes de ciberseguridad, que reportaron campañas similares desde 2016.
Modus operandi
Amenazas y Capacidades anunciadas
Akamai SIRT ha estado rastreando los ataques de los llamados actores Armada Collective y Fancy Bear, informando en uno de sus reportes que han podido visualizar las siguientes capacidades:
Situación de la Amenaza en Sudamérica
Siendo una campaña a nivel global ya se ha tenido conocimiento de ataques Ransom Distributed Denial-of-Service (RDDoS) dirigida principalmente al sector financiero y retail sudamericano. Además en RRSS importantes investigadores conocedores del panorama de amenazas ya han advertido de que este tipo de amenazas ha sido recurrente en el sector financiero desde mediados de agosto de 2020.
La amenaza del futuro: Katana, nueva variante mejorada de la botnet Mirai
Investigadores identificaron recientemente una nueva variante de la Botnet Mirai que es denominada como Katana. Aunque la Botnet Katana aún está en desarrollo, ya cuenta con módulos como capa 7 DDoS, diferentes claves de encriptación para cada fuente, autorreplicación rápida y conexión segura al servidor de comando y control (C&C). Existe evidencia de que Katana puede estar vinculada a una Botnet bancaria HTTP en el futuro.
Análisis de Katana
Avira Protection Lab, informó que la Botnet Katana intenta explotar viejas vulnerabilidades de seguridad en enrutadores LinkSys y GPON (más antiguos). Aunque Katana utiliza exploits antiguos Avira asume que Katana se encuentra en la fase de prueba y desarrollo, sin embargo, ha llamado la atención por las siguientes características:
El problema con las nuevas variantes de Mirai como Katana es que se ofrecen en la DarkNet o a través de sitios habituales como YouTube, lo que permite a los ciberdelincuentes sin experiencia crear sus propias redes de bots.
Panorama
El Internet de las cosas (IoT) ofrece una multitud de recursos para los ataques distribuidos de denegación de servicios (DDoS) y contra aplicaciones web. Los ciber actores están aprovechando los dispositivos del IoT no solo para lanzar botnets de DDoS basadas en malware, sino también como proxies para llevar a cabo actividades maliciosas. El uso conjunto de estos dispositivos para invadir los objetivos hace que los ataques DDoS de 300 Gbps sean cada vez más comunes.
El cuarto trimestre esperamos ver indicadores comparables a los de finales de 2019, debido al frenesí de ventas de Navidad y Año Nuevo. aunque, después del segundo trimestre anormalmente activo, sería temerario hacer predicciones.
https://www.bankinfosecurity.com/even-in-t... |
https://ift.tt/3oATH6s |