Nuestros ciberenemigos han estado bastante ocupados. Así lo demuestran las estadísticas de nuestra red global de honeypots durante la segunda mitad del 2018. Los servidores de F-Secure registraron cuatro veces más ataques, y reconocimiento de intentos, que en el mismo período del año anterior.

Los ataques observados iban principalmentemente dirigidos hacia el Telnet – protocolo para acceso remoto a computadores –, lo que atribuímos a la creciente cantidad de dispositivos inteligentes en uso actual. En segundo lugar detectamos tráfico malicioso en los protocolos SSH, SMB y SMTP. El involucrar al servidor web fue un aspecto muy importante, aparte de las amenazas a Telnet mencionadas. Los ataques se originaron espacios IP de Estados Unidos y Rusia, seguidos por Italia y el Reino Unido.

Durante los últimos años, hemos estado publicando un informe semestral sobre el tráfico en nuestra red global de honeypots – servidores señuelo – creados con el objeto de atraer a los atacantes y vigilar su comportamiento. Nuestros honeypots suelen imitan servicios populares como SMB, SSH y HTTP. El tráfico en ellos es un buen indicador de las tendencias de cibercriminalidad actuales.

Después de los casos de WannaCry y NotPetya en el 2017, por ejemplo, observamos un incremento del tráfico en el puerto SMB 445, que hasta ese entonces siempre había presentado poca actividad. (no obstante, seguimos constatando niveles elevados de tráfico SMB).

Quién ataca a quién

Echemos un vistazo a la dirección IP – protocolo internet – para ver de qué países provenían los ataques y hacia cuáles fueron dirigidos.

La mayor cantidad de tráfico tuvo orígen en el espacio IP de Estados Unidos, seguido por el de Rusia, de bastante menos envergadura. En este caso es necesario recalcar que no hay forma de saber con exactitud si los ataques fueron iniciados en un país determinado, ya que los hackers dirigen sus ataques a través de proxies para evitar ser detectados. Ellos suelen emplear VPNs, TOR – “The Onion Router”, método para transmitir anónimamente datos por el internet – o infraestructura vinculada a diferentes lugares para evadir a las autoridades.

Esta lista de países no pretende demostrar un comportamiento típico de uno u otro país. Claramente el motivo de la mayoría de los ciberpiratas es el económico y ellos están simplemente llevando a cabo sus ataques DDoS – ataques de denegación de servicio – o enviando malware, entre otros tantos métodos utilizados.

Lo que si sabemos con certeza son los destinos de los ataques. Èstos son los países que atrajeron el mayor interés:

Al mencionar la palabra ciberdelincuentes, la gente se imagina a un adversario enmascarado sentado en un escritorio llevando a cabo cada uno de estos ataques, pero esto no es el caso. El porcentaje de actividad humana, es decir, manual, es de alrededor del 0,1% de acuerdo a lo que ven nuestras honeypots. El 99,9% del tráfico proviene de bots – robots informáticos que se ejecutan ciberataques de manera automática – , malware y otras herramientas automatizadas. Desde luego que son personas quienes crean estas herramientas y las configuran, pero la gran cantidad de ataques, cientos de millones, son sólo posibles debido a la automatización.

Los ataques provienen de cualquier tipo de dispositivo conectado, un computador cualquiera, un reloj inteligente o un cepillo de dientes IoT – internet de las cosas –  pueden ser objeto de escaneo o intento de ataque.

Si bien es cierto, el Reino Unido ocupa un lugar destacado en la lista de países de origen, resulta interesante que no aparezca entre los primeros lugares como país de origen en nuestra lista de “Países fuentes y sus destinos”. Al igual que en el período anterior, seguimos viendo ataques del Reino Unido dirigidos a una amplia gama de países, pero en pequeñas cantidades por país. El mayor objetivo del Reino Unido fueron los Estados Unidos con unos 85.000 ataques. Al igual que en el mismo período del año anterior, el objeto favorito fue SMB, con un 99% de los ataques.

Puertos y protocolos

Entre julio y diciembre del 2018 el 83% del tráfico estuvo en el puerto TCP 23, el cual se usa para Telnet – protocolo para acceso remoto a computadores – . Al comienzo de este período hicimos algunos ajustes en la parte de Telnet de nuestros honeypots, lo que contribuyó a su aumento, ya que nuestros servidores quedaron en aún mejores condiciones para reconocer los ataques de este tipo. Sin embargo, las actuales cifras también ponen en evidencia el hecho de que los dispositivos inteligentes suelen utilizar claves con combinaciones predeterminadas, lo que los convierte en presa fácil.

Una gran parte de la actividad de Telnet está relacionada con los “thingbots”, dispositivos conectados al internet que pasan a ser parte de una red de bots. Es así como detectamos una fuerte campaña de Telnet centrada en la última quincena de diciembre. La cual es considerada por los ciberdelincuentes como una excelente época para realizar ataques, la gente suele estar distraída por la temporada de vacaciones y mucha gente va viajando.

A continuación del puerto 23, el puerto 22 (asociado con SSH, que también intenta iniciar sesión de forma remota) fue el segundo puerto más amenazado. El puerto 445 ocupó el tercer lugar con la actividad de SMB, lo que sería un descenso respecto al periodo anterior. En el primer semestre de 2018 habíamos visto un aumento de 127 millones de ataques a través de él. Antes de los ataques de WannaCry y NotPetya del 2017, el tráfico de ataques de SMB era moderado, ni siquiera apareciendo entre los 20 primeros puertos.

Como ya lo informamos en diciembre pasado, el SMTP o tráfico de ataques por correo electrónico en forma de malware y spam ocupa el cuarto lugar. El quinto puesto lo ocupa el tráfico de MySQL probablemente relacionado con intentos de robo de datos, ya que MySQL es bastante popular entre los usuarios de sistemas de administración de contenido como WordPress, Drupal y Joomla.

La lista sigue con el protocolo CWMP puede asociarse con el protocolo TR- (el cual presenta vulnerabilidades conocidas) que se utiliza para la gestión remota de dispositivos como módems,  routers, gateways, telefonía por internet y descodificadores.

Servidores y servicios

Gracias a nuestra herramienta de topología web, F-Secure Riddler, nos pudimos centrar en los servidores y servicios que son las fuentes más populares de ciberataques. Liderando esta lista estan Nginx, Apache y WordPress, que frecuentemente se se usa con fines maliciosos. Como consecuencia del IoT – internet de las cosas –, el atacar al servidor web es uno de los principales factores detectados por nuestros honeypots.

Uso de claves

Al intentar infiltrarse a los servicios de honeypot, e l nombre de usuario y las contraseñas más utilizadas por los criminales no cambian mucho, “root” y “admin” están siempre presentes. Sin embargo, un hecho interesante a destacar es que las claves del segundo y sexto lugar son las predeterminadas para una cámara inteligente de Dahua y una DVR H.264 chinas.

El entorno de la empresa

 ¿Pero cómo se ven afectadas las empresas por las amenazas externas? Para encontrar respuesta a esta pregunta realizamos una encuesta online a 3.350 responsables de tomar decisiones en la TI, gerentes de 12 países y además personas importantes en esta área. Quisimos saber más acerca de la detección de las empresas, tanto de ciberataques casuales como dirigidos durante el 2018. Dos tercios de los encuestados afirmaron que su empresa había detectado al menos un ataque, el 22% dijo que no había detectado ninguno y el 12% o no sabía o simplemente se abstuvo de responder.

Las empresas de mayor tamaño detectaron una mayor cantidad de ataques, así el 20% de las empresas con más de 5.000 empleados dijeron haber registrado cinco o más intentos de infiltración, en comparación las empresas menor tamaño, de entre 200 y 500 empleados, donde sólo un 10% de ellas detectaron cinco o más ataques. Sólo el 16% de las compañías más grandes afirmaron nunca haber detectado un ataque, no así  las empresas de menos de 500 empleados que dijeron en un 28% no haber registrado ningún tipo de amenaza.

Mientras que empresas francesas, alemanas y japonesas no reportaron detecciones de ataques,  los países nórdicos y Estados Unidos denunciaron cinco o más casos. Casi la mitad de las compañías indias afirmaron haber tenido de dos a cinco, a diferencia de otros países, en los cuales aproximadamente un tercio de las empresas reportaron de dos a cinco infiltraciones.

Como dato general, menos de un tercio de las compañías reportaron usar algún tipo de solución de detección y respuesta.

Conclusión

Si algo hemos aprendido de haber observado durante años el tráfico de nuestros honeypots es que mientras más cambian las cosas, más siguen siendo iguales. Por más que los hackers utilicen una táctica nueva para amenazar a los dispositivos inteligentes y armar una red de bots más grande; por más que envíen gusanos a las empresas con software exigiendo rescate o que enviando spam o ataquen servicios web, ellos continuarán modificando sus métodos siempre buscando el camino más fácil para obtener dinero.

La mejor defensa sigue siendo utili unar programa de seguridad integral que incluya a las personas, los procesos y la tecnología:

Disminuya su superficie atacable. Limite la complejidad de sus redes, software y hardware. Sepa qué sistemas y servicios está utilizando y desconecte aquellos que no sean necesarios.

Involucre a sus trabajadores. Eduque a los empleados en conceptos de seguridad e incorpore procesos y procedimientos que éstos puedan seguir.

Prefiera el uso de tecnologías “en capas”. La seguridad funciona mejor en capas. Combine tecnologías de predicción, prevención, detección y respuesta.

¿Le gustaría ver más acerca de este informe?