Casi 2.000 dominios maliciosos con temática COVID-19 creados cada día


Según un nuevo informe, más de 86,600 dominios nuevos relacionados con la pandemia se consideran «riesgosos» o «maliciosos».

Un nuevo informe de investigadores de la Unidad 42 de Palo Alto Networks descubrió que más de 86,600 dominios de los 1.2 millones de nombres de dominios recientemente registrados (NRD) que contienen palabras clave relacionadas con la pandemia COVID-19 del 9 de marzo de 2020 al 26 de abril de 2020 se clasifican como «riesgosos» o «maliciosos».

Jay Chen de la Unidad 42 escribió un estudio que analiza todos los nuevos nombres de dominio que contienen palabras clave relacionadas con el COVID-19 pandemia y descubrió que Estados Unidos, Alemania, Rusia e Italia tenían el mayor número de dominios de coronavirus maliciosos. Estados Unidos tuvo la mayor cantidad de lejos, con más de 29,000.

En promedio, Chen descubrió que entre el 9 de marzo de 2020 y el 26 de abril de 2020 se crearon 1,767 dominios maliciosos con temática COVID-19, y de los 86,600 dominios más, 2,829 dominios alojados en nubes públicas se consideraron «riesgosos». o «malicioso».

Casi el 80% se alojó en Amazon Internet Sequence, aproximadamente el 15% en Google Cloud System, el 6% en Azure y menos del 1% en Alibaba. El informe es basado en los datos recopilados por RiskIQ, que rastrea nuevos dominios que tienen las palabras clave «coronav», «covid», «ncov», «pandemia», «vacuna» y «virus».

«Es interesante ver que solo el 5% de los NRD se encuentran maliciosos en las nubes públicas, mientras que el 7.5% de los NRD se encuentran maliciosos en toda World-wide-web. El precio más alto y el proceso de detección / monitoreo más riguroso probablemente hagan que los actores maliciosos estén menos dispuestos alojar dominios maliciosos en nubes públicas «, escribió Chen.

«Durante nuestra investigación, notamos que algunos dominios maliciosos se resuelven en múltiples direcciones IP, y algunas direcciones IP están asociadas con múltiples dominios. Esta asignación de muchos a muchos a menudo ocurre en entornos de nube debido al uso de redes de entrega de contenido y puede hacer que Los firewalls basados ​​en IP son ineficaces «.

VER: Coronavirus: políticas y herramientas críticas de TI que toda empresa necesita (TechRepublic High quality)

Chen continúa explicando que en el análisis de la Unidad 42 de dominios maliciosos, descubrió que en las redes de entrega de contenido (CDN), como Amazon Cloudfront o Cloudflare, cientos o miles de dominios en la ubicación geográfica cercana pueden resolverse a la misma IP de un servidor perimetral.

«Las CDN reducen la latencia de la purple y mejoran la disponibilidad del servicio al almacenar en caché el contenido world-wide-web estático en los servidores perimetrales. Sin embargo, dado que un dominio malicioso comparte las mismas IP que otros dominios benignos en la misma CDN, también actúa como una cobertura para dominios maliciosos». adicional.

Una IP particular de Cloudflare, IP 23.227.38 (.) 64, está directamente vinculada a 50 dominios riesgosos o maliciosos, dice el informe, y agrega que más de 2,000 dominios benignos también se resuelven en la misma IP. Este diseño, que Chen llama «mapeo de dominio a IP de muchos a muchos», es muy difícil de bloquear para los firewalls porque una IP en la lista negra «puede fallar al bloquear el tráfico hacia / desde un dominio malicioso, mientras que involuntariamente hace que muchos otros dominios benignos sean inaccesibles. »

Según Chen, los ciberdelincuentes están utilizando la nube para disfrazar los ataques de phishing y los intentos de entrega de malware porque las amenazas que provienen de la nube son más difíciles de defender debido a los recursos que permiten una mayor evasión de detección y amplificación del ataque.

La disaster hace que sea aún más imperativo que los millones de empresas que recurren a plataformas en la nube en medio de los esfuerzos de cuarentena aprovechen las herramientas de seguridad nativas de la nube.

«Con COVID-19 impulsando un aumento en la adopción de la nube, vemos no solo ataques dirigidos a los usuarios de la nube sino también amenazas que se originan en la nube. Con miles de dominios maliciosos que se conectan todos los días, es imperativo proteger cada punto closing con monitoreo continuo y herramientas automáticas de prevención de amenazas «, escribió Chen.

«Sin embargo, los servicios o aplicaciones alojados en la nube generalmente dan a los usuarios menos visibilidad y hacen que el monitoreo de la pink sea más desafiante. El problema se vuelve aún más complicado cuando se trabaja en un entorno de múltiples nubes».

Ver también

Ver en una máscara médica en un PC portátil abierto.

Imagen: Getty Photographs / iStockphoto



Enlace a la noticia original