A visibilidade do ambiente de ameaças em constante expansão é algo crucial, mas, de acordo com um novo relatório sobre ameaças distribuído pela CenturyLink, agir é ainda mais essencial. “À medida que as empresas focam em inovação digital, elas entram em um mundo de ameaças e riscos sem precedentes”, disse Mike Benjamin, líder da divisão de pesquisas e operações sobre ameaças da CenturyLink, o Black Lotus Labs.
Segundo ele, as ameaças continuam a evoluir, assim como os atores maliciosos. Estados-nação bem financiados e grupos criminosos focados substituíram o encrenqueiro lobo solitário e os atacantes menos sofisticados motivados pela fama das salas de chat. Felizmente, através de nossos insights práticos, podemos defender nossa rede e a de nossos clientes contra essas ameaças em evolução.
As redes falsas de computadores infectados continuam a ter sucesso por causa da facilidade com que comprometem seus alvos e devido a sua capacidade de ser operada remotamente e de forma oculta. Botnets como Necurs, Emotet e TheMoon demonstraram evoluções tanto em complexidade como em resiliência. Famílias de malware como Gafgyt e Mirai também são preocupações constantes pois tem os dispositivos de IoT como alvo.
Servidor de Nome de Domínio (DNS, Domain Name Server) é frequentemente negligenciado como um potencial vetor de ataque. No entanto, temos visto um aumento em ataques baseados em DNS, tais como tunelamento de DNS. Um ataque de tunelamento de DNS pode ser usado para codificar dados nos subdomínios de uma consulta ou resposta DNS, possibilitando um acesso inalterado à rede para extrair dados, subverter controles de segurança ou enviar tráfego arbitrário. Através de um período recente de diversas semanas, o Black Lotus Labs detectou uma média de 250 domínios por dia sendo abusados, representando mais de 70.000 buscas em cada domínio.
Os ataques de Negação Distribuída de Serviço (DDoS, Distributed Denial of Service) continuam a causar atrasos em serviços e tirar empresas do ar. Embora tenhamos observado progressões contínuas no tamanho dos ataques, detectamos também um aumento em ataques de explosão (burst), durando um minuto ou menos. Durante a primeira metade do ano, o Centro de Operações de Segurança da CenturyLink (SOC) mitigou mais de 14.000 ataques de DDoS contra clientes. Um ponto de interesse a se notar é que dos 100 maiores ataques, na primeira metade do ano, 89 por cento foram multivetor.
Geografias com infraestrutura e redes de TI crescentes continuam a ser a fonte principal para as atividades cibercriminosas. Os principais cinco países que mais sofreram ataques na primeira metade de 2019 foram: Estados Unidos, China, Índia, Rússia e Vietnã. Embora os Estados Unidos, a China e a Rússia tenham aparecido na lista ano após ano, a Índia e o Vietnã são novos aos cinco principais. A maioria dos ataques de C2 na primeira metade de 2019 foi direcionada aos Estados Unidos, à China, Rússia, Holanda e ao México. A Holanda e o México são novos acréscimos aos cinco principais.
Diariamente, mais de 139 bilhões de sessões de NetFlow e 771 milhões de consultas de DNS são ingeridas por vários modelos de inteligência sobre ameaças de aprendizado de máquinas desenvolvido pelo Black Lotus Labs. De janeiro a junho de 2019, o Black Lotus Labs:
- Monitorou 1.2 milhões de ameaças exclusivas diariamente, representando 15 milhões de hosts maliciosos distintos.
- Validou 4.120 novos C2s, o que equivale a cerca de 686 C2s por mês.
- Rastreou 3.8 milhões de ameaças exclusivas por mês. Essas ameaças são comparadas com os metadados de NetFlow e DNS da CenturyLink para alertar os clientes sobre um potencial comprometimento.
