El número de servidores de comando y management de botnet se disparó …



Los servidores de todo el mundo que se utilizaron para controlar sistemas infectados con malware aumentaron más del 71% en comparación con 2018, dice Spamhaus.

Por segundo año consecutivo, el número de servidores utilizados por los atacantes en todo el mundo para controlar los sistemas infectados con malware aumentó considerablemente.

El Proyecto Spamhaus, que rastrea los nombres de dominio y las direcciones IP utilizadas por los actores de amenazas para alojar servidores de comando y handle de botnet (C2), identificó 17,602 servidores de este tipo alojados en un whole de 1,210 redes diferentes en todo el mundo en 2019.

El número representó un gran salto del 71.5% sobre los 10,263 servidores botnet C2 que Spamhaus detectó y bloqueó en 2018, y casi el doble en número de los 9,500 servidores en 2018. De hecho, Botnet C2 representó el 41% de todos los listados en Lista de bloqueo de Spamhaus en 2019, en comparación con solo el 15% en 2017 y el 25% el año pasado.

El fuerte aumento es una indicación de la creciente popularidad de las botnets como un vector de ataque entre los actores de amenazas, dijo Spamhaus en un informe esta semana. Alrededor del 60% de las nuevas botnets C2 que Spamhaus detectó en 2020 estaban asociadas con malware que robaba credenciales, como Lokibot y AZORult. Alrededor del 20%, la siguiente proporción más alta, se utilizó para controlar troyanos de acceso remoto (RAT) que roban datos, el más prolífico de los cuales fue Nanocore.

La Lista de bloqueo de Spamhaus (SBL) es una foundation de datos en tiempo actual de direcciones IP y URL asociadas con fuentes de spam conocidas y amenazas como botnet C2s. Las empresas y el ISP pueden usar el tándem de la foundation de datos con otras listas de bloqueo para bloquear el spam y otras amenazas en línea.

Al igual que en años anteriores, los datos de Spamhaus mostraron que algunos de los ISP que albergaron el mayor número de C2 de botnet el año pasado tenían su sede en los Estados Unidos. Más de 1,580 servidores de botnet en 2019, por ejemplo, se alojaron solo en Cloudflare, más del doble de los 629 alojados por Alibaba de China, que ocupa el segundo lugar.

En muchos casos, los servidores de comando y regulate se ejecutaban en sitios net comprometidos y servidores que pertenecen a clientes de ISP como Cloudflare. Esto probablemente les dificultó detectar la actividad ilegal. Pero una proporción sustancial también se estableció a través de registros fraudulentos, como resultado de las debilidades en los procesos de verificación y verificación de clientes del ISP, Spamhaus
dijo.

Pero por primera vez, Rusia ocupó el primer lugar entre los países que albergan la mayor cantidad de servidores de comando y manage. La cantidad de botnets C2 en el país aumentó 143% en 2018 a 4,712, en comparación con 4,007 en los Estados Unidos.

Revisión de clientes laxa

Spamhaus atribuyó el aumento en Rusia a los actores de amenazas que aprovechaban los procedimientos de registro relativamente laxos entre los proveedores de servicios de World-wide-web en el país. China también subió las listas del puesto 13 en 2018 al cuarto lugar el año pasado con 770 servidores, un aumento que Spamhaus atribuyó también a los procedimientos de registro laxos.

Namecheap, con sede en EE. UU., Fue una vez más el registrador de dominios más abusado, con casi el 25% de todos los C2 de botnet detectados y bloqueados el año pasado, todos registrados a través de la compañía. Pero China y Rusia tuvieron más registradores en la lista de los 20 mejores el año pasado que Estados Unidos. «En su mayoría se los está abusando legítimamente», dice Vincent Hanna, investigador del Proyecto Spamhaus. «El mercado de registradores es uno de márgenes muy delgados y mucha automatización. Ninguno de los dos deja mucho espacio para una investigación cuidadosa de los clientes y pedidos».

Según Spamhaus, sus datos de botnets de 2019 mostraron que los ISP en el este en common están rezagados con respecto a sus homólogos occidentales en lo que respecta a los procedimientos de registro y al cumplimiento de sus términos y condiciones.

Las empresas occidentales en la lista de ISP que alojan la mayoría de los C&C de botnet tienen un alto volumen, pero son pocos en número. «Al mismo tiempo, muchas más compañías orientales tienen clientes fraudulentos, lo que indica que los procedimientos de abuso y los problemas de investigación de clientes están más extendidos allí, y no se limitan a un puñado de compañías», dice Hanna.

Los dominios de nivel superior (TLD) más abusados ​​en 2019 fueron los dominios .com y .web. Más del 50% de las botnets C2 se alojaron solo en estos dos dominios. Otros TLD muy maltratados incluyeron dot ru, dot info, dot cm y dot pw, el dominio de nivel outstanding para Palau. Sin embargo, varios otros dominios previamente abusados ​​se cayeron de la lista más abusada, incluidos .critique, .stream, .bid y .trade.

Para los registradores y los ISP, la verificación cuidadosa del cliente es clave. «Encontrar los registros fraudulentos a menudo no es tan difícil, pero debe hacerse», dice Hanna. «Los registros que se preocupan por la reputación de todo el TLD saldrán de manera proactiva e intentarán encontrar registros problemáticos por sí mismos».

Contenido relacionado:

Botnets sirviendo más malware multipropósito

¿Qué hay en una botnet? Investigadores espían a los operadores de Geost

MasterMana Botnet muestra que los problemas vienen a bajo costo

8 formas en que las empresas, sin saberlo, ayudan a los hackers

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más strategies





Enlace a la noticia primary