Descargo de responsabilidad: este artículo tiene como objetivo brindar información sobre las amenazas cibernéticas tal como las ve la comunidad de usuarios de CrowdSec.
¿Qué pueden decirnos decenas de miles de máquinas sobre las actividades ilegales de los piratas informáticos?
¿Recuerdas esa escena en Batman – The Dark Knight, donde Batman usa un sistema que agrega datos de sonido activos de innumerables teléfonos móviles para crear una fuente de metasonar de lo que está sucediendo en un lugar determinado?
Es una analogía interesante con lo que hacemos en CrowdSec. Al agregar señales de intrusión de nuestra comunidad, podemos ofrecer una imagen clara de lo que está sucediendo en términos de piratería ilegal en el mundo.
Después de 2 años de actividad y analizando 1 millón de señales de intrusión diariamente de decenas de miles de usuarios en 160 países, comenzamos a tener una fuente global precisa de amenazas cibernéticas «Batman sonar». Y hay algunos puntos interesantes para resumir.
Una ciberamenaza con muchas caras
En primer lugar, la amenaza cibernética global es muy versátil. ¿Qué vemos cuando observamos los tipos de ataques reportados, su origen y los Sistemas Autónomos (SA) detrás de las direcciones IP maliciosas?
Los escáneres y los intentos de fuerza bruta siguen siendo los vectores de intrusión más populares que ve nuestra comunidad y ocupan el primer lugar. Bastante lógico, ya que la vigilancia es el primer paso para una intrusión más avanzada. Las actividades de escaneo vistas por nuestra comunidad son principalmente escaneos de puertos o sondeos basados en HTTP.
Entre los diferentes tipos de intrusión utilizados por los piratas informáticos, los intentos de fuerza bruta en servicios confidenciales (SSH, correo electrónico, URL de administración, etc.) son el número 2. No es información revolucionaria, pero cuando los estudios muestran que los ataques de fuerza bruta representan el 6% de los ataques cibernéticos en el mundo, no sorprende verlo como dominante, especialmente porque sigue siendo uno de los más fáciles y económicos de automatizar e implementar (hola script kiddies). Debido a que es bastante fácil de contrarrestar, uno pensaría que rara vez funciona, pero ¡hey, 6%!
Log4J aún no es un trato hecho
Entre los intentos de explotación más populares que ve nuestra comunidad, tenemos Log4j. De hecho, disfrutó de la tormenta del año pasado sobre cómo una simple utilidad de registro de código abierto para Apache con una vulnerabilidad se apoderó del mundo de la ciberseguridad y causó interminables dolores de cabeza a los expertos en ciberseguridad. Y, por supuesto, el mundo criminal estaba más que feliz de explotarlo con bots de escaneo automático en busca de servicios vulnerables.
Bueno, nuestra comunidad ha sido testigo de la tormenta. Una vez que pasó el pico de diciembre después de la divulgación, las cosas se calmaron un poco, pero las actividades de escaneo de Log4j comenzaron nuevamente, aunque a un nivel más bajo pero constante, impulsado por bots.
El mensaje clave es que si cree que está protegido porque pasó la tormenta del «marketing», piénselo dos veces.
Todavía hay una actividad muy agresiva que busca usar la vulnerabilidad.
Por ejemplo, hace un par de semanas, se escaneó un amplio espectro de nuestra comunidad cuando más de 500 usuarios informaron la dirección IP 13.89.48.118 en menos de 12 horas. Se unió a más de 20000 direcciones IP en la lista de bloqueo de la comunidad para su remediación.
Direcciones IP: principal recurso de los ciberdelincuentes
Las direcciones IP rara vez son malévolas para siempre y su reputación puede cambiar de un día para otro. Dado que la comunidad comparte constantemente información sobre ellos, cualquier actualización se puede transferir instantáneamente a los usuarios. A la larga, proporciona datos invaluables sobre la duración de la agresividad de las direcciones IP.
Esta es una instantánea de la cantidad de direcciones IP que llegaron a los lagos de datos de CrowdSec (marcadas como maliciosas). Lo que es interesante notar es que los ciberdelincuentes están cambiando las direcciones IP que usan para cometer sus ataques:
* solo el 2,79% de estos son miembros permanentes de nuestra base de datos
* 12,63% de todas las IP recopiladas cambian cada semana
* La tasa de renovación diaria se sitúa en el 1,8 %
**Los sistemas autónomos tienen diferentes enfoques para mitigar las IP comprometidas**
Cada IP forma parte de un pool de direcciones gestionadas por un AS (Sistema Autónomo). Un AS es una red extensa o un grupo de redes que tienen una política de enrutamiento unificada. Cada computadora o dispositivo que se conecta a Internet está conectado a un AS. Por lo general, cada AS es operado por una sola organización grande, como un proveedor de servicios de Internet (ISP), una gran empresa de tecnología empresarial, una universidad o una agencia gubernamental y, como tal, es responsable de las direcciones IP.
Cada IP agresiva compartida por la comunidad CrowdSec se enriquece con su AS. Esto, combinado con los datos sobre la duración de la agresividad, puede proporcionar una imagen clara de cómo los AS administran las IP comprometidas.
Si bien mirar simplemente la cantidad de activos comprometidos podría ser un ángulo, no sería necesariamente justo. No todos los operadores tienen el mismo tamaño, y algunos alojan servicios «más riesgosos» (hola PHP CMS obsoleto) que otros.
La duración promedio malévola de todas las IP en el mismo AS indica la diligencia debida del operador para identificar y tratar los activos comprometidos. La distribución de la duración promedio se muestra con flechas que apuntan a la posición del AS más informado para los principales proveedores de nube. Por ejemplo, en AWS, las direcciones comprometidas permanecen comprometidas durante un promedio de 3 días. Azul 9 días. Al final del gráfico, AS de China o Rusia (sorpresa…) «son menos rápidos» para actuar sobre las IP comprometidas.
Este artículo tiene como objetivo brindar una descripción general de la actividad de amenazas y la inteligencia que los usuarios de CrowdSec ven a diario. Por favor consulta la versión completa del informe aquí si quieres más detalles.