[Estado de Internet]/SeguridadINFORME PARA OPERADORES

P R I M A V E R A 2 0 1 8

Resumen ejecutivo

Resumen ejecutivo. Akamai, el principal y más respetado proveedor de servicios de distribución de contenido en la nube de todo el mundo, utiliza su plataforma, conocida como Akamai Intelligent Platform™ y distribuida globalmente, para procesar billones de transacciones al día en Internet. Esto nos permite recopilar enormes cantidades de datos sobre diversos parámetros relativos a la conectividad de banda ancha, la seguridad en la nube y la distribución de contenido multimedia. El informe sobre el estado de Internet se creó con el fin de que tanto empresas como instituciones gubernamentales pudieran tomar mejores decisiones estratégicas aprovechando estos datos y la información que ofrecen. Akamai publica informes sobre el estado de Internet elaborados a partir de estos datos, en los que se abordan aspectos relacionados con la conectividad de banda ancha y la seguridad en la nube.

El informe sobre el estado de Internet en materia de seguridad para operadores de la primavera de 2018 se centra en los datos de DNS de la infraestructura global de Akamai y muestra las investigaciones de diversos equipos de todo el mundo.

Implicaciones para la empresa. Ahora más que nunca, el intercambio de datos y la colaboración son esenciales para el buen estado de las distintas organizaciones y de Internet en su conjunto. No se trata solo de que las empresas necesiten compartir datos con otras corporaciones, sino que necesitan colaborar para que los datos sean relevantes. Compartir y correlacionar datos de forma interna plantea un reto para muchas organizaciones; intercambiarlos con otras empresas complica aún más el problema.

Este informe se centra en cómo el intercambio de información entre las organizaciones, y de forma interna en las mismas, permite mejorar la inteligencia y crear una Internet más segura. El redactor invitado de este informe (Megan Stifel, director ejecutivo de Silicon Harbor Consultants y antiguo director de Política Internacional de Ciberespacio en el Consejo Nacional de Seguridad) destaca la importancia del intercambio de datos y la confianza a la hora de proteger nuestros sistemas.

Aprender a combinar los datos de varias fuentes y obtener información a partir de su correlación es una de las responsabilidades más importantes de los equipos de seguridad. Este informe representa una evolución de los informes de Akamai y un gran esfuerzo para obtener datos e inteligencia de toda la organización con el fin de crear una imagen más completa de las amenazas a las que nos enfrentamos. Animamos a las organizaciones a que exploren su propio entorno para comprender mejor los flujos de datos e información, que actualmente podrían no estar aprovechándose al máximo.

Fig. X Correlación de mando y control de Mirai el 23/1/2018 a las 21:00

0,94

0,97

0,950,99

0,990,93

0,92

0,93

0,94

0,94

0,95

0,95

0,96

0,94

0,97

0,97

0,910,93

0,93

0,92

0,93

0,97

0,97

0,98

0,98

0,98

0,98

0,98 0,98

0,94

0,99

1,00

1,00

ccc.snicker.ir.,1

picesboats.club.,1

0x01.nexusiotsolutions.net.,1

snicker.ir.,1

rootyi.site.,1

nexusaquariums.ir.,1

nullstress.pw.,1

deathlives.ddns.net.,1

suckmyass1983.ddns.net.,1

bigboatzarereppin.hopto.org.,1

Resumen de los editores. El equipo de investigación en materia de seguridad de Akamai analizó más de 14  billones de consultas de DNS en los últimos seis meses para informar a nuestros lectores sobre el malware, las botnets y otras amenazas que atacan diariamente tanto a empresas como a usuarios individuales. La familia de botnets Loapi destaca una evolución del malware con una naturaleza más flexible. Al mismo tiempo, vemos que las fuerzas del mercado, impulsadas por las criptomonedas, están afectando a empresas y desarrolladores de malware por igual. La combinación de nuestros datos de DNS con una investigación más amplia en Akamai, así como en otras organizaciones, nos permite analizar más a fondo la botnet Mirai y su funcionamiento: un esfuerzo continuo para muchas organizaciones.

A veces, parece que estas amenazas son estáticas, que no cambian ni crecen nunca. También hay épocas en las que nuestros adversarios parecen avanzar a pasos de gigante, como cuando se creó la botnet Mirai. Sin embargo, en los dos casos son solo ilusiones creadas por los efectos finales de los cambios lentos y progresivos que tienen lugar constantemente en el panorama. Solo entendiendo los cambios aparentemente pequeños, como el cambio de Loapi a una estructura modular, tendremos la posibilidad de predecir cambios más importantes, como la rápida adopción de la vulnerabilidad de Memcached para los ataques DDoS. La evolución parece repentina si no puede ver lo que pasa entre bambalinas cuando no está atento.

14.000.000.000.000CONSULTAS DE DNS ANALIZADAS EN 6 MESES

Ninguna organización, ni siquiera una que disponga de una red de dimensión planetaria como Akamai, puede ver e interpretar todo. Solo cuando combinamos nuestra información podemos ver los pequeños cambios que conducen a saltos evolutivos.

Rastreador de amenazas. No solo las amenazas nuevas salen caras. Durante el periodo analizado recientemente, se detectaron dos picos en la actividad maliciosa. El primero de ellos fue del 3 de octubre al 1 de noviembre, impulsado por el tráfico de dominio de mando y control de la botnet Dorkbot. La botnet se está actualizando para aprovechar el nuevo algoritmo de generación de dominios de los desarrolladores de malware.

El segundo pico de actividad no lo provocó una botnet concreta. En cambio, la causa del aumento de las búsquedas de dominio fue la explotación del protocolo de detección automática de proxy web (WPAD). Cuando se expone a Internet, WPAD permite a un atacante insertar un archivo de configuración de proxy en los sistemas expuestos y abrirlos a los ataques de tipo intermediario.

Es importante recordar que no todas las amenazas son globales. Analizamos cinco amenazas muy localizadas. Algunos de estos bots tenían como objetivo países concretos y mantenían una infraestructura

Fig. 9 Distribución de bots por número de tipos de amenazas diferentes consultados

Fig. 10 Porcentaje acumulado de bots por número de tipos de amenazas

0% 25% 50% 75% 100%

31% 15% 40% 13%

Fig. 11 Porcentaje de los 500 bots más importantes por amenaza

0%

20%

40%

60%

80%

NOTIFICACIÓN DE MALWAREAUTOIT SPYBOT SALITYDESCARGADORES (VARIOS)TROYANOS ANDROID (VARIOS)CONFICKER B PALEVO VIRUT CLÚSTER DE DÍA CERO NECURS

0%

25%

50%

75%

100%

9%18%

27%32% 36% 39% 42% 47% 53%

63%76%

87%95% 98% 99% 100%

1 TIPO 2 TIPOS 3 TIPOS 4 TIPOS 5 TIPOS 6 TIPOS 7 TIPOS 8 TIPOS 9 TIPOS 10 TIPOS 11 TIPOS 12 TIPOS 13 TIPOS 14 TIPOS 15 TIPOS 16 TIPOS

68,4% 68,4% 67,6% 66,2%

46%39,8%

24%19,4%

11,4% 10,2% 7,6%

1-4 TIPOS 5-8 TIPOS 9-12 TIPOS 13-16 TIPOS

A nadie le sorprende que las criptomonedas sean la nueva tendencia en malware. Con la cifra de casi 20 000 dólares que alcanzó el Bitcoin el año pasado, tanto los desarrolladores de malware como los sitios legítimos están empezando a explorar formas de analizar las monedas ("minería") de sus servidores. Aunque sabemos que no es correcto que alguien utilice su ordenador para realizar análisis mediante la instalación de malware, la ética de un sitio con JavaScript que recurre a sus ciclos de CPU para funcionar todavía es ambigua.

Colaboración en acción. No es frecuente encontrarse con una botnet como Mirai. Sin embargo, esta concretamente es importante porque puso de manifiesto algunos de los mejores aspectos que puede tener la seguridad. Varias organizaciones se comunicaban entre sí para recopilar, analizar y difundir toda la información posible acerca de la botnet. Muchas de estas organizaciones siguen intercambiando experiencias y compartiendo datos.

En el estudio realizado en el informe sobre el estado de Internet del cuarto trimestre de 2017 se trata en profundidad el abuso de credenciales y los tipos de herramientas que se utilizan en este ámbito. Observar las solicitudes de DNS y las resoluciones de dominio de las botnets nos proporciona un punto de vista diferente de las actividades de este tipo de amenaza.

Para descargar el informe completo, visite akamai.com/stateoftheinternet-security.

específica para la región, mientras que otros se apoyaban en servicios en la nube para desarrollarse.

Tendencias emergentes. Usar malware para robar datos financieros es cosa del pasado... Al menos eso es lo que parecen creer algunos desarrolladores de malware. El malware Terdot, descendiente de la familia de Zeus, se ha diversificado para incluir una recopilación de credenciales de medios sociales como parte de su campaña. El malware actúa como un proxy, lo que le permite dirigir al usuario al sitio que desee el desarrollador, algo que brinda una serie de opciones interesantes.

La botnet Loapi tiene un enfoque diferente. Diseñado para funcionar en dispositivos móviles, este malware se utilizó originalmente para impulsar los ataques DDoS. Sin embargo, sus creadores decidieron que esto no era suficiente y lanzaron una versión modular. Esto significa que la botnet se puede modificar fácilmente cuando se encuentra una nueva vulnerabilidad o se necesita una nueva capacidad.

Fig. 9 Distribución de bots por número de tipos de amenazas diferentes consultados

Fig. 10 Porcentaje acumulado de bots por número de tipos de amenazas

0% 25% 50% 75% 100%

31% 15% 40% 13%

Fig. 11 Porcentaje de los 500 bots más importantes por amenaza

0%

20%

40%

60%

80%

NOTIFICACIÓN DE MALWAREAUTOIT SPYBOT SALITYDESCARGADORES (VARIOS)TROYANOS ANDROID (VARIOS)CONFICKER B PALEVO VIRUT CLÚSTER DE DÍA CERO NECURS

0%

25%

50%

75%

100%

9%18%

27%32% 36% 39% 42% 47% 53%

63%76%

87%95% 98% 99% 100%

1 TIPO 2 TIPOS 3 TIPOS 4 TIPOS 5 TIPOS 6 TIPOS 7 TIPOS 8 TIPOS 9 TIPOS 10 TIPOS 11 TIPOS 12 TIPOS 13 TIPOS 14 TIPOS 15 TIPOS 16 TIPOS

68,4% 68,4% 67,6% 66,2%

46%39,8%

24%19,4%

11,4% 10,2% 7,6%

1-4 TIPOS 5-8 TIPOS 9-12 TIPOS 13-16 TIPOS

[Estado de Internet]/SeguridadINFORME PARA OPERADORES

P R I M A V E R A 2 0 1 8

Acerca de Akamai. Akamai, la mayor plataforma de distribución en la nube del mundo y en la que confían más usuarios, ayuda a los clientes a ofrecer las mejores y más seguras experiencias digitales en cualquier dispositivo, en cualquier momento y en cualquier lugar.

La plataforma ampliamente distribuida de Akamai ofrece una escala inigualable, con más de 200 000 servidores repartidos por 130 países, para garantizar a sus clientes el máximo rendimiento y protección frente a las amenazas. La cartera de soluciones de rendimiento web y móvil, seguridad en la nube, acceso empresarial y distribución de vídeo de Akamai está respaldada por un servicio de atención al cliente

excepcional y una supervisión ininterrumpida. Para descubrir por qué las principales instituciones financieras, líderes de comercio electrónico, proveedores de contenidos multimedia y de entretenimiento, y organizaciones gubernamentales confían en Akamai, visite

www.akamai.com y blogs.akamai.com, o bien siga a @Akamai en Twitter. Puede encontrar los datos de contacto de todas nuestras oficinas en www.akamai.com/locations. Publicado el 18 de abril.

Contacto /

sotisecurity@akamai.comTwitter: @akamai_soti / @akamai

www.akamai.com/stateoftheinternet-security