0
0
O sistema de nome de domínio (DNS) da Internet tornou-se uma espécie de superestrada para os agentes de ameaças, com uma em cada seis organizações experimentando tráfego de rede malicioso na forma de malware, como Emotet, ataques de phishing ou atividade de comando e controle (C2). em um determinado trimestre, descobriram os pesquisadores.
Pesquisadores da Akamai analisaram dados de mais de 7 trilhões de solicitações diárias de DNS para examinar como os agentes de ameaças estão aproveitando os servidores e dispositivos que as empresas usam para gerenciar essas solicitações para conduzir suas atividades nefastas.
O que eles descobriram é que os invasores estão aumentando e diminuindo o zoom das redes via DNS com uma frequência alarmante, com entre 23% e 27% das organizações experimentando pelo menos uma instância em que o tráfego C2 foi observado saindo de sua rede em um determinado trimestre. disseram os pesquisadores da Akamai em um relatório publicado hoje.
Esse tráfego fornece “uma previsão muito precisa de ataques em andamento e pode fornecer uma imagem muito precisa do cenário de ameaças”, diz Eliad Kimhy, líder da equipe de pesquisa de segurança cibernética da Akamai.
Além disso, grande parte desse tráfego ocorre em tempo real, tornando mais difícil para a empresa se defender dele, acrescenta.
“Os invasores estão cada vez mais operando com uma filosofia de ‘mãos no teclado’, dando a tarefa de hackear uma organização a um operador real”, diz Kimhy. “Isso fará com que detectar e interromper o tráfego C2 seja um aspecto crucial da segurança de uma organização, e provavelmente veremos isso desempenhar um papel cada vez maior no ataque moderno”.
Emotet, QSnatch e o estado atual dos ataques
Os pesquisadores da Akamai relataram uma série de descobertas sobre não apenas como os invasores estão usando o DNS , mas também que tipo de ataque e malware são mais prevalentes em suas observações. Uma das mais interessantes foi que a forte ameaça Emotet, que ressurgiu recentemente após um breve hiato, não está apenas de volta, mas de volta com força total.
“Ele é predominante e parece conduzir campanhas massivas para tentar violar as organizações”, diz Kimhy.
Os pesquisadores observaram uma “campanha massiva” no ano passado e parece que o grupo de ameaças está se preparando para outra, diz ele. “Este é um grupo muito difícil de enfrentar, pois é especializado em violar e vender acesso a grupos mais perigosos, como grupos de ransomware”, observa Kimhy.
Além disso, esse ressurgimento do Emotet é um bom indicador de que mais ataques – potencialmente de grupos de ransomware – estão por vir, já que o malware costuma ser usado como acesso inicial às redes, diz ele.
Na verdade, os pesquisadores descobriram que 9% dos dispositivos de rede infectados que eles observaram alcançando os domínios acessados C2s associados ao grupo ransomware-as-a-service (RaaS), demonstrando o risco contínuo de ataques de ransomware com consequências prejudiciais aos negócios – incluindo custos de correção e recuperação, honorários advocatícios, multas, tempo de inatividade resultando em perda de produtividade e danos à marca e à reputação — para a empresa.
Os invasores também estão cada vez mais encontrando seu caminho nas redes das organizações por meio de dispositivos de armazenamento conectado à rede (NAS) na parte traseira do botnet QSnatch, com mais de um terço dos dispositivos afetados que os pesquisadores observaram mostrando tráfego que leva a domínios C2 relacionados a essa ameaça, os pesquisadores descobriram.
Esses dispositivos podem representar “uma enorme superfície de ameaça” se não estiverem bem protegidos, já que as organizações costumam usar dispositivos NAS para backups e armazenamento de dados cruciais, de acordo com a Akamai.
“Encontrar-se em uma posição em que seus dados são roubados ou os backups excluídos em apoio a um ataque de ransomware pode ser uma posição terrível para se estar”, diz Kimhy.
Em termos de quais tipos de organizações os invasores buscam usando o DNS, os pesquisadores descobriram que manufatura, serviços comerciais e varejo enfrentam o maior risco, embora nenhum setor esteja a salvo de ataques iminentes.
Como os defensores cibernéticos podem se proteger contra ameaças de DNS
Dada a percepção sobre a atividade maliciosa atual pegando carona nas redes corporativas via DNS, os administradores de segurança agora podem se proteger contra as ameaças mais comuns que visam suas redes. Uma maneira de fazer isso é realizar avaliações de lacunas e fechar essas lacunas quando necessário, disseram os pesquisadores.
No geral, dado o atual cenário de ameaças, conhecimento é poder, diz Kimhy. “As equipes de segurança precisam saber quem está do outro lado do ataque – e quais grupos colocam sua organização em risco – para que possam se defender”, diz ele.
Além disso, o conselho de “recorde quebrado” de adotar uma mentalidade de “confiança zero” continua a soar verdadeiro, com a implantação de “produtos especializados em interromper um ataque que ultrapassou o perímetro” – comodetecção e resposta de endpoint (EDR) , microssegmentação e gateways da Web seguros (SWGs) — oferecendo uma vantagem especial na defesa contra o atual cenário de ameaças, disseram os pesquisadores.
Dada a ameaça avançada imposta aos dispositivos NAS, os pesquisadores da Akamai também recomendaram que as organizações garantam que qualquer empresa que tenha em sua rede seja protegida com segurança. “É altamente recomendável que as equipes de segurança garantam que seus dispositivos NAS estejam atualizados”, diz Kimhy, “e devidamente protegidos por meio de segmentação ou outras ferramentas apropriadas”.
FONTE: DARK READING