RESUMEN EJECUTIVO:
En un nuevo informe, los investigadores de seguridad cibernética han destacado cuán extendidas son realmente las amenazas de malware, iluminando los peligros de las amenazas específicas de la infraestructura DNS.
El año pasado, entre el 10% y el 16% de las organizaciones vieron tráfico DNS que se originaba en sus redes hacia servidores de comando y control (C2) asociados con botnets y otras amenazas maliciosas.
Más del 25% de ese tráfico se dirigió a servidores pertenecientes a intermediarios de acceso inicial (IAB); individuos que venden acceso a la red corporativa a otros ciberdelincuentes, lo que les permite lanzar ataques de ransomware.
A medida que los investigadores de seguridad cibernética analizaban grandes volúmenes de tráfico DNS malicioso perteneciente tanto a empresas como a usuarios que trabajan desde cualquier lugar, los investigadores observaron varios brotes y campañas.
Observaron la propagación de FluBot, un malware basado en Android que se abría paso de una nación a otra, y la prevalencia de grupos delictivos que intentaban destruir empresas.
Como se señaló anteriormente, el ejemplo más claro de esto apareció en forma de tráfico C2 significativo relacionado con los corredores de acceso iniciales que violan deliberadamente las redes corporativas para luego monetizar el acceso a la red.
Los investigadores pudieron observar hasta siete billones de solicitudes de DNS por día.
Con base en los datos, los investigadores determinaron que más del 30% de las organizaciones analizadas con tráfico C2 malicioso forman parte del sector manufacturero. Las organizaciones del sector de servicios empresariales, alta tecnología y comercio también estaban en riesgo.
Los investigadores señalaron que las dos verticales principales en los datos de DNS, que consistían en servicios de fabricación y comerciales, también reflejan las principales industrias afectadas por el ransomware Conti.
Los investigadores separaron los datos de tráfico de C2 y obtuvieron varias ideas adicionales. Por ejemplo, las botnets representaron el 44% del tráfico C2 malicioso. La botnet más grande que observó el tráfico C2 basado en la empresa se conoce como QSnatch. Se basa en un poco de malware que infecta específicamente el firmware de los dispositivos de almacenamiento conectados a la red de QNAP obsoletos.
Apareciendo por primera vez en 2014, QSnatch permanece activo hasta el día de hoy. Un aviso de mediados de 2020 indicó que más de 62,000 dispositivos estaban infectados en todo el mundo. QSnatch evita la instalación de actualizaciones de seguridad y está armado para el raspado de credenciales, el registro de contraseñas, el acceso remoto y la exfiltración de datos.
La segunda categoría de amenazas más destacada en el análisis de tráfico de DNS C2, como se mencionó anteriormente, consistió en intermediarios de acceso iniciales. La amenaza más importante en este grupo es Emotet, una de las botnets más notorias desplegadas para el acceso inicial a las redes corporativas.
Dada la información más reciente sobre la actividad maliciosa que afecta a las redes empresariales a través de DNS, los expertos en seguridad cibernética pueden desear tomar medidas para evitar potenciales negativos. Una forma de hacerlo consiste en realizar evaluaciones de brechas y cerrar brechas cuando sea relevante.
Además, las organizaciones que aún no lo hayan hecho deberían considerar la adopción de los principios de Confianza Cero. La microsegmentación, la detección y respuesta de puntos finales (EDR) y las puertas de enlace web seguras pueden resultar de especial utilidad.
Además, los investigadores recomiendan asegurarse de que los dispositivos de almacenamiento conectados a la red (NAS) estén protegidos de manera adecuada. La segmentación y otras herramientas pueden ayudar.
Más información aqui. Por último, para recibir más noticias de vanguardia sobre seguridad cibernética, mejores prácticas y análisis de expertos, regístrese en el CyberTalk.org boletín de noticias.
Post ¿Su organización se encuentra entre las 1 de cada 10 con tráfico de malware? Los datos de DNS revelan una verdad aterradora apareció primero en Charla cibernética.