NetScout Inteligencia de amenaza

NE T SCOU T THRE en
I NT ELLI GENCE MEMORIA
Desarrollado por ATLAS

Los resultados de la primera mitad 2018

1
NetScout Inteligencia de amenaza

INTRODUCCIÓN 4

TABLA Carta de NetScout Inteligencia de

amenaza 4

DE CONTENIDO Resumen ejecutivo 5

DD o SATTACKTRENDS 7

Visión de conjunto 7

Año tras año Tendencias Ataque Volumen 9

Los ataques regionales 10

Los ataques de sectores verticales 11

Destacados DDoS 13
SSDP 13

memcached 14

Las redes de bots de la IO 15

Mirai dieciséis

ADVANCED Thre las tendencias 17

Visión de conjunto 17

Destacados Actor nación-Estado 18

Plataforma petrolera 19

Fantasía oso 20

Cobra oculta 22

océano Lotus 23

donot equipo 24

Aspectos destacados de crimeware 25

Emotet 26

Trickbot 26

Kardon cargador 27

Panda banquero 28

CONCLUSIÓN 29

2
 NetScout Inteligencia de amenaza

CARTA DE AMENAZA
NetScout INTELL IGENCE
hardik MODI Director Senior de Inteligencia de amenaza NetScout

El panorama global amenaza cibernética continúa evolucionando, desatando

técnicas de ataque cada vez más sofisticados y persistentes a escala de Internet.

Hoy en día, los atacantes pueden liberar enormes terabits por segundo a escala visibilidad a escala de Internet ATLAS' se ve reforzada por el análisis de nuestra

ataques DDoS Rutinariamente aprovechar cientos de miles de Internet de los objetos ASERT (el Atlas de la Seguridad y el Equipo de Investigación de Ingeniería) Desde

(IO) dispositivos para lanzar ataques contra objetivos específicos que pueden ser los hace más de una década, los investigadores y analistas de seguridad de clase

océanos y los continentes de distancia Además, patrocinados por el estado avanzado mundial de ASERT han sido la construcción de las herramientas y bases de datos de

amenaza persistente (APT grupos) que representan una amplia gama de primera línea para analizar el malware a escala de Internet. Los profesionales de

estados-nación son vistos como impactante, mientras que la actividad crimeware inteligencia de seguridad dentro de ASERT son parte de un grupo de expertos que se

tradicional sigue proliferando. conoce como 'super' remediadores y representan el mejor en las prácticas de

seguridad de la información y la inteligencia de amenazas

NetScout Arbor ha seguido de manera activa este espacio desde 2007, cuando

la compañía lanzó su amenaza activa Sistema de Análisis de Nivel (ATLAS ®), el

cual recoge, analiza, da prioridad, y distribuye datos sobre las amenazas Mediante el uso de internet escala ATLAS' visibilidad conjunción con las explotaciones más

emergentes para permitir la generación de inteligencia procesable para el tácticas tales como tuberías de análisis de software malicioso automatizados, sumideros,

consumo de personas y sistemas por igual escáneres, honeypots, y complementado por los conjuntos de datos de inteligencia de

código abierto y análisis ASERT, podemos proporcionar una vista única en el paisaje

amenaza, demostrada por un flujo constante de descubrimientos Este informe representa

A través de telemetría en una escala masiva, ATLAS ofrece una visibilidad sin
nuestra visión del panorama de amenazas en la primera mitad de 2018, sobre la base de
precedentes en las redes troncales en el centro de internet. Organizaciones
todas nuestras posiciones e impulsado por el análisis de nuestra unidad de inteligencia.
(incluyendo el 90 por ciento de los proveedores de servicios de nivel 1) estadísticas

de acción que representan aproximadamente un tercio de todo el tráfico de

Internet. NetScout Arbor correlaciona este y otros conjuntos de datos para

proporcionar inteligencia dando a las organizaciones una perspectiva más amplia

para entender mejor y reaccionar a las amenazas que enfrentan. reputación

ATLAS' permite compartir colaboración con casi el 70 por ciento de los equipos del

mundo de la informática de Respuesta a Emergencias (CERT).

3
 NetScout Inteligencia de amenaza

RESUMEN EJECUTIVO
2,8 MILL ION
ATAQUES EN LA PRIMERA
La naturaleza simbiótica del mundo transformado digitalmente también
MEDIA DE 2018
añade vulnerabilidad como actores maliciosos, los estados-nación, las
organizaciones criminales, o incluso los individuos pueden sacar
DESDE MemCached aparecieron,
PROMEDIO DE ATAQUE
provecho de las interdependencias que serpentean a través de nuestro
HA AUMENTADO
mundo conectado penetrante.

37%
Denegación de Servicio Distribuida (DDoS)-donde los atacantes tratan de acabar con un sitio web, aplicación

Aumento de los ataques de más o infraestructura inundándolo con peticiones- son un elemento fundamental de gran parte de esta actividad, y

de 300 Gbps vimos unos 2 8 millones de ataques en la primera mitad de 2018 por otra parte, los tamaños máximos de

ataque se han disparado, ya que los ataques basados ​en Memcached que se inició en febrero de 2018 marcó

7 47
el comienzo de la era de terabits de ataques el tamaño de los ataques ha aumentado a 47 ataques más de

300 Gbps en la primera mitad de 2018, en comparación con 7 en el mismo período de 2017 ataques DDoS

EN 1H 2017 EN 1H 2018 nunca han sido más innovadora, dinámica, o consecuente, y podría haber incluso más peligrosos ataques

DDoS en el horizonte.

SO, WhatChanged?

Los ataques DDoS nunca Ha habido una mayor innovación en herramientas y técnicas de ataque DDoS. La disponibilidad de este tipo de

herramientas mejoradas ha bajado la barrera de entrada, por lo que es más fácil para un espectro más amplio de los
han sido más, innovador, atacantes para lanzar un ataque DDoS ataque de objetivos también se han diversificado Solía ​ser que ciertos mercados

dinámico o consecuente. verticales eran posibles objetivos para un ataque DDoS, con las finanzas, juegos de azar, y el comercio electrónico lo alto de

la lista Hoy en día, cualquier organización, por cualquier delito o afiliación real o percibida, puede convertirse en un blanco

de un ataque DDoS

4
 NetScout Inteligencia de amenaza

LOTES de ataques
Nuevos ingresos CRIMINAL
opportuni TI ES

MI SCREANT I + D
SOBREVIVIR

RESUELVE EL
PROBLEMA

POST MORTEM PREPARAR

ESTAMOS
AQUÍ
Figura 1: La Amenaza DDoS y ciclo de respuesta

La escala de las amenazas DDoS también ha crecido En lugar de intrusiones dirigidas a base de

marcos personalizados y malware diseñado, la actividad DDoS ahora a menudo involucra a cientos de

miles, o incluso millones- de víctimas que en gran medida sirven para amplificar el ataque o terminar

como daño colateral, como indicado por los ataques de difracción de SSDP que se originaron en 2015 y
NetScout Inteligencia de
volvió a nacer este año.
amenaza ha creado una visión
representativa del panorama de las
Mientras DDoS amenazas tienen un enorme tamaño y la escala, la actividad de los delincuentes cibernéticos y
amenazas
Estado-nación grupos de espionaje plantean amenazas, así lo largo de los últimos 18 meses, gusanos de
sobre la base de todas nuestras
Internet, ataques de la cadena de suministro, y las instalaciones del cliente de equipo (CPE) / compromisos de

IO han abierto internetscale grupos APT actividad de las amenazas por el estado nación continúan
posesiones e impulsado por una amplia

desarrollándose a nivel mundial, que se utiliza como otro medio de estado-oficio y a menudo dirigidas a los investigación
gobiernos e instituciones de geo-estratégica relevancia de particular interés para nosotros son las y análisis.
observaciones de la actividad de Internet a gran escala en el ámbito estratégico, donde campañas como

NotPetya, CCleaner, VPNFilter, etc., implicados amplia proliferación a través de Internet, así como los objetivos

finales son muy selectivos Estas son diferentes a los ataques dirigidos empresas se han acostumbrado a tratar

con el paso del tiempo,que a menudo implican la lanza-phishing directa y alcance limitado para evitar la

detección y mantener la presencia A este respecto, campañas dirigidas ahora pueden ser respaldados por

intrusiones internetscale.

A medida que las amenazas crecen a través del paisaje, la posición única de NetScout Arbor proteger

las redes empresariales e Internet a través de nuestros clientes proveedores de servicios nos da una

gran visibilidad en este entorno dinámico y cambiante Haciendo uso de ese punto de vista integral

conjuntamente con el análisis de NetScout Inteligencia de amenaza, nos han creado una visión

representativa del panorama de amenazas basado en todas nuestras participaciones y conducido por

una extensa investigación y análisis.

5
NetScout Inteligencia de amenaza

TENDENCIAS ataque D
El paisaje DDoS es impulsado por una serie de actores, desde los creadores de malware a
entidades oportunistas que ofrecen servicios de alquiler. Son un grupo ocupado, en constante
desarrollo de nuevas tecnologías y permitir nuevos servicios mientras que la utilización
vulnerabilidades conocidas, botnets preexistentes, y técnicas de ataque bien entendidos.

Esto conduce a una tasa algo cíclico de incidencia, pero eso no significa que la dinámica subyacente no están

cambiando. atacantes DDoS son persistentes e innovadora, y que evolucionan constantemente su tecnología.

A veces se añaden nuevos módulos de software malicioso en la tecnología existente, como en el caso de

Mirai. Otras veces, una nueva vulnerabilidad presenta puntos o rápidamente utilizado que se abre una nueva

línea de ataque, como en los ataques masivos de Memcached este año. Inclusión de 0 días y el uso después

de liberación vulnerabilidades aumentan la eficacia de los ataques DDoS y propagación, alimentando la

propagación de las redes de bots que sirven futuros ataques.

Todo esto se suma a una línea ascendente global del riesgo en el tiempo. Así, mientras que en la actualidad existe

una relativa calma cuando se trata de la utilización de nuevos vectores de ataque, de ataque están en desarrollo,

ya que nuestros monitores del equipo ASERT e identifica estos grupos que llevan a cabo pruebas de campo en

vivo de malware en fase de desarrollo. La campaña de la IO Reaper que estaba en vivo durante dos semanas en

octubre de 2017 es un ejemplo. 1 Mientras tanto, los atacantes seguir evolucionando el malware existente. Por

ejemplo, Mirai continúa engendrar variantes, muchos con nuevas capacidades, incluyendo la exposición de las

capacidades de intrusión. Esto se basa en nuestros resultados anteriores presentados en DEF CON 25 en las

variantes de Windows de Mirai, lo que podría extender la red de bots dentro de la empresa a ser utilizados para la

propagación interna y la interrupción o DDoS internos, que ninguno de nosotros está preparado. 2,3

6
 NetScout Inteligencia de amenaza

DDoS

Como cualquier sector de la seguridad cibernética, que trata de DDoS es como tratar de luchar contra la hidra de

muchas cabezas de la mitología griega, como la adición de un nuevo módulo o pieza de malware es similar a la

adición de otra cabeza de la bestia. Peor aún, las viejas cabezas van nunca más plenamente de distancia. Mira SSDP,

por ejemplo: Este es un protocolo muy usado como abuso reflexión / amplificación que no le pertenece en el Internet.

Y, sin embargo, seguimos viendo despliegues. despliegues de SSDP vulnerables están siendo explotados para lanzar

ataques que engañan técnicas de defensa ingenuos. Además, hemos demostrado que hay una amplia clase de

dispositivos cuyas implementaciones pueden ser explotadas para lograr una intrusión.

Luego está Memcached, que fue utilizado para poner en marcha el mayor ataque DDoS hasta la fecha, fue en

armas un ataque de 1,7 Tbps DDoS divulgada por NetScout Arbor en Marzo de 2018. Este tipo de ataque por la

comunidad Booter / Stresser pocos días después de su aparición en el dominio público y es un factor importante en

el aumento de grandes tamaños ataque DDoS desde entonces.

7
NetScout Inteligencia de amenaza

FR OM FIRSTHALF 2 0 1 7
TOFIRSTHALF 2 0 1 8. . . PRIMER SEMESTRE
ataque DDoS
aumento de tamaño
2018 TENDENCIAS ataque DDoS
174% Comparando primera mitad (enero a junio) 2017-2018, se observó una disminución en la frecuencia de ataques acompañado

de un aumento dramático en el tamaño y la escala de ataque. Sin embargo, mientras que la primera mitad de 2018 vio un

menor número de ataques que el mismo período de 2017, esto no significa que los ataques DDoS están disminuyendo. El
Frecuencia global REHUSÓ GLOBAL MAX
tamaño máximo de ataque ha saltado con una pequeña caída en la frecuencia de los ataques. Mientras que los tamaños más

pequeños de ataque DDoS siguen predominando, tiene un aumento significativo en el tamaño de los ataques de más de 300

13% Gbps en el 1S 2018

Fecha

2017 2018
600K

500K

400K
Frecuencia

300K

200K

100K

0K

enero Febrero Marzo abril Mayo junio enero Febrero Marzo abril Mayo junio

Suma de frecuencia para cada mes Fecha desglosado por fecha de año. Color muestra detalles acerca de Region.

Región APAC EMEA LATAM NAMER

Figura 2: Ataque Global DDoS 1H 2017 y 1H 2018 Frecuencia

8
 NetScout Inteligencia de amenaza

REGIONALATTACKS GLOBAL
Esa misma tendencia, lo cual es un aumento en el tamaño de los ataques con un baño en la frecuencia jugado a cabo Aumento de los ataques de más
de 300 Gbps
de manera consistente en todas las regiones, como América Latina fue la única región reportar una mayor frecuencia

de los ataques, e incluso que el ascenso era relativamente pequeño (ver figura 2 ) Todas las demás regiones mostraron

una disminución en la frecuencia de ataques acompañado de un aumento en el tamaño máximo de ataque. Por

ejemplo, la región de Asia Pacífico experimentó una manera desproporcionada gran número de ataques en
7 47
ATENTADOS ATENTADOS
comparación con otras regiones buscando específicamente en China, hemos visto que los ataques de más de 500
EN 1H 2017 EN 1H 2018
Gbps aumentó de cero en el 1S 2017 a 17 en 1H 2018-una tasa de crecimiento particularmente grande Sin embargo,

América del Norte fue el lugar del ataque 1 Tbps 7, las más grandes ataque DDoS registrados hasta la fecha

Asia y el Pacífico
Aumento de los ataques de más de
300 Gbps

El crecimiento de grandes Ataques 2017 vs 2018

De 1H 1H 2017 a 2018,
5 35
50

hemos visto un aumento

dramático en el tamaño de ATENTADOS ATENTADOS
47 EN 1H 2017 EN 1H 2018
ataque
y la escala.

CHINA
Aumento de los ataques de más de
500 Gbps
40

30
0 17
ATAQUES ATAQUES
25 EN 2017 EN 2018

19

20

7
2 2
0

Más de 300 Gbps más de 400 Gbps más de 500 Gbps

2017 2018

Figura 3: El crecimiento global en grandes ataques 1H 2017 vs. 1H 2018

9
NetScout Inteligencia de amenaza

Para ambos años, los cuatro sectores sub-verticales superiores sigue siendo el mismo, y todos
VERTICAL
procedían de la categoría de información:
INDUSTRYATTACKS

Se analizaron los datos de ataques Los portadores de

telecomunicaciones alámbricas Servicios de procesamiento de datos,

ordenados por el Sistema de Clasificación alojamiento y servicios relacionados

Industrial de América del Norte (SCIAN)

códigos, que agrupa a las empresas en 22

Telecomunicaciones, Wireless
categorías generales que contienen varios Telecommunications
incluyendo cable y satélite
Carriers
subsectores grandes. Al comparar los

datos de 2017 con 1H 1H 2018 los datos

de los diez sectores más orientados reveló

No es sorprendente encontrar que los proveedores de telecomunicaciones observan la inmensa mayoría de los
algunas ideas respecto al año anterior. ataques, al igual que los datos de los servicios de alojamiento que incluye muchos proveedores de la nube Esto es

inherente a su función de proveedores de conectividad ataques en los que dichos proveedores son vistos como el

objetivo están centradas en sus suscriptores, tanto residencial y de negocios, así como la infraestructura

mantenida para operaciones.

Lo que hizo el cambio son el tamaño y la frecuencia de los ataques. portadores de telecomunicaciones por cable

encabezan la lista de los dos años cuando se trataba de frecuencia de los ataques. En 2017, el grupo sufrió

aproximadamente 996.000 ataques, con un tamaño máximo de ataque de 339 5 Gbps Sin embargo, 2018 contó

una historia diferente: la frecuencia de los ataques se redujo a aproximadamente 793.000, mientras que el ataque

máxima se disparó a un récord de 1 7 Tbps Lo mismo es verdadera a través de todo los cuatro primeros, con la

excepción de Procesamiento de datos, alojamiento y servicios relacionados, que experimentó un ligero descenso

en ambas áreas.

La lista también muestra algunos cambios en los objetivos populares Las sector sub-verticales de programación
WIRED
computacional personalizada Servicios, que incluye integradores de sistemas y consultoría casas cayeron del sexto al
TELEC OMMU caciones
décimo año a cabo más de año y en 2017, los servicios de carácter educativo categoría NAIC que contiene los colegios y
PORTADOR
universidades aparecieron en el octavo lugar, mientras incidencia cuatro puntos a 11 en 2018 mientras tanto, 2018
Tamaño máximo ATAQUE
mostraron una mayor atención al comercio electrónico, como Compras electrónicas y el pedido por correo Casas tomaron

posesión en el octavo lugar Este ensanchamiento y desplazamiento de objetivos puede ser visto como evidencia de que

339,5 1.7 el espectro objetivo se está expandiendo más allá de los sectores seleccionados tradicionales

Gbps TBPS
EN 1H 2017 EN 1H 2018
Lo más interesante de todo, sin embargo, fue la aparición de los Asuntos sub-verticales Internacionales en el

séptimo lugar de la parte de la categoría de la Administración Pública, este sector contiene información para los

ataques contra objetivos tales como consulados, embajadas, el Fondo Monetario Internacional, el Departamento de

Estado , y las Naciones Unidas Esto se alinea con el uso de DDoS contra objetivos por parte del gobierno, así

como los que ideológicamente opuestos a los intereses representados por estas instituciones.

10
 NetScout Inteligencia de amenaza

VERTICALES TOP blanco de los ataques DDoS

2017 2018

PORTADORES telecomunicaciones alámbricas PORTADORES telecomunicaciones alámbricas

1 # DE ATAQUES ATAQUE MAX CATEGORÍA # DE ATAQUES ATAQUE MAX CATEGORÍA

996495 339,5 Gbps Información 793377 1,7 Tbps Información

TELECOMUNICACIONES TELECOMUNICACIONES

2 # DE ATAQUES ATAQUE MAX CATEGORÍA # DE ATAQUES ATAQUE MAX CATEGORÍA

492367 622,3 Gbps Información 491314 302,0 Gbps Información

SERVICIOS DE PROCESAMIENTO DE DATOS, alojamiento y relacionados SERVICIOS DE PROCESAMIENTO DE DATOS, alojamiento y relacionados

3 # DE ATAQUES ATAQUE MAX CATEGORÍA # DE ATAQUES ATAQUE MAX CATEGORÍA

340679 367,0 Gbps? Información 316395? 316,9 Gbps? Información

Los operadores inalámbricos TELECOMUNICACIONES Los operadores inalámbricos TELECOMUNICACIONES

4 # DE ATAQUES ATAQUE MAX CATEGORÍA # DE ATAQUES ATAQUE MAX CATEGORÍA

219249 102,3 Gbps Información 157388 327,5 Gbps Información

ÁREA DE CLIENTE ORDENADOR DE PROGRAMACIÓN Los editores de software 

5 # DE ATAQUES ATAQUE MAX CATEGORÍA
# DE ATAQUES ATAQUE MAX CATEGORÍA

62181 451,7 Gbps Profesionales, la Ciencia, y 44724? 170,6 Gbps? Información

Servicios Técnicos

Los editores de software  ASUNTOS INTERNACIONALES 

6 # DE ATAQUES ATAQUE MAX CATEGORÍA # DE ATAQUES ATAQUE MAX CATEGORÍA

59839 151,5 Gbps Información 40711? 34,3 Gbps? Administración Pública

SERVICIOS EDUCATIVOS Compras electrónicas y POR CORREO CASAS 

7 # DE ATAQUES ATAQUE MAX CATEGORÍA # DE ATAQUES ATAQUE MAX CATEGORÍA

58604 28.3 Gbps Servicios educativos 39493? 170,6 Gbps Comercio al por menor

Compras electrónicas y POR CORREO CASAS  TELECOMUNICACIONES NO TRADICIONALES 

8 # DE ATAQUES ATAQUE MAX CATEGORÍA # DE ATAQUES ATAQUE MAX CATEGORÍA

56754 93,5 Gbps Comercio al por menor 39004? 600,0 Gbps Información

Informática y Electrónica de fabricación de productos ÁREA DE CLIENTE ORDENADOR DE PROGRAMACIÓN

9 # DE ATAQUES ATAQUE MAX CATEGORÍA # DE ATAQUES ATAQUE MAX CATEGORÍA

46894 56.8 Gbps de fabricación 31837 170,6 Gbps? Profesionales, la Ciencia, y

Servicios Técnicos

Otros servicios de informática RELACIONADOS SERVICIOS EDUCATIVOS 

# DE ATAQUES ATAQUE MAX
10
CATEGORÍA
# DE ATAQUES ATAQUE MAX CATEGORÍA
36737 36.2 Gbps Profesionales, la Ciencia, y
27164 96.8 Gbps Servicios educativos
Servicios Técnicos

11
NetScout Inteligencia de amenaza

DDoS
SSDP
Simple Service Discovery Protocol (SSDP) se ha utilizado para los ataques de reflexión / amplificación para muchos

REFLEJOS
años (En 2015, Arbor identificó ataques que utilizan el tráfico SSDP de puertos de origen efímeras.) Sin embargo,

ganó renovada atención en 2018 en medio de acusaciones de que esta herramienta existente representaba una

nuevo tipo de campaña con DDoS potencialmente millones de dispositivos vulnerables. Como NetScout Inteligencia

de amenaza demostró, esto es incorrecto 4 De la población total internet de aproximadamente 2 millones de SSDP

reflectores / amplificadores abusables, sólo hay aproximadamente 33,000-o 1 65 por ciento-que potencialmente

MASSTARGETEDINTRUSION podrían ser manipulados de esta manera, la carta del país SSDP muestra cómo los dispositivos con

implementaciones de SSDP vulnerables se distribuyen a nivel mundial (ver figura 4 a continuación)

S

2 MILLONES
Dispositivos en Internet que responden a Sin embargo, nuestro equipo descubrió una nueva clase de abuso SSDP donde los dispositivos ingenuos
SSDP
responderán a los ataques de reflexión de SSDP / amplificación con un puerto no estándar 5 La inundación resultante

de paquetes UDP tiene puertos de origen y de destino efímeras, hacer de la mitigación más difíciles de un ataque

de difracción SSDP Este comportamiento parece derivarse de la reutilización amplia en dispositivos CPE de la

1. 2 MILL ION biblioteca de código abierto libupnp La evidencia de eventos DDoS anteriores sugieren que los atacantes son

consciente de este comportamiento y puede elegir una piscina de estas víctimas mal comportamiento en base a la

Aplicación abusiva para SSDP eficacia de su ataque mitigar estos ataques requiere la inspección de paquetes de contenido para filtrar la avalancha
ATAQUES DIFRACCIÓN de respuestas SSDP y fragmentos no iniciales.

33000
PUEDE SER aprovecha para uso en

interior INTRUSIONES

2 7515
1 133 128
613
147 139 543
7
11
y cinco 1156 27
1
1250 2000 6 15
84 500
1
sesenta 105 207
1 143
2 3
1 2 4 4
36 6 111 19 dieciséis
1110
121 2
8 1 62
1 1
132225
1 7
sesenta y cinco 1 13 2970

365
30 1
11 1 1 5 3
50

160 2 186

527

Figura 4: SSDP Implementaciones vulnerables por país, mayo de 2,018 mil

Mapas basados ​en Longitud (genera) y latitud (generada). Colores muestra suma de recuento. Los detalles se muestran para el País. Mapa de calor sólo con fines
12
representativos; No se muestra todos los datos de país.
 NetScout Inteligencia de amenaza

MEMC dolía
La campaña de ataque Memcached utiliza vulnerabilidades en los servidores de Memcached mal configurados para poner en marcha DDoS enormes ataques, un proceso que

tuvo muy poco tiempo de los informes iniciales a la primera herramienta de ataque de ponerse a disposición De hecho, NetScout Arbor confirmó un ataque de 1,7 Tbps

reflexión / amplificación el 5 de marzo, un evento de registro 6 De 17.000 servidores citados en una lista pública tan vulnerable a este tipo de ataque el 5 de marzo, sólo 550

servidores permanecieron en riesgo por el final de junio de 2 018 (ver las figuras 5 y 6 más adelante) Esto muestra que la comunidad de Internet tiene ya sea fijo 96 8 por ciento

de estos servidores o los bloqueó a través de Internet, lo cual es encomiable por otro lado, 3 2 por ciento de los que siguen siendo vulnerables y se puede utilizar para lanzar

ataques, según la lista pública de los datos utilizados en este análisis por otra parte, los atacantes pueden utilizar fácilmente empresas de alojamiento flexible para desplegar

sus propios servidores vulnerables en todo el mundo y los utilizan para lanzar un ataque contra La realidad es que, una vez que se inventó un tipo DDoS, que nunca

desaparece

Memecache Mapa - Marzo

768
4 559
12
246 12

dieciséis
306 160
201 32
LARGESTDD o
4
SATTACKRECORDEDTODATE
120 25
3972 558 9 3 1 5
66 1
7 3 4029 119
1 47
1 14 2
6 1 13 Grabado por NetScout ARBOR
40 233 46 121
3 195
31 1 1
1
118 1 1 4
37 42 5

1.7 TBPS
3
87 30 229 14
160 1
121 2
2
36 555 3
2
11 2
59 8 27
Figura 5: 4 El 5 de marzo 2018
50 3 92
De marzo de 2018 Lista pública

de los servidores vulnerables 5

Memcached

VULNERABLESERVERS
Memecache Mapa - Junio

Contar 1 4029
17000 550
Mapa basado en Longitud (genera) y latitud (generada). Color muestra suma de Conde. Los detalles se muestran para el País.
EN RIESGO EN EN RIESGO EN

10 MARZO 2018 JUNIO DE 2018

1 53

19 14 10
30 3
92
99 3 4 1 1
5
1 1 6 3 15
2
1 1 1
5 19 1
8 10 3
1
1 1
1 1
10 3 32
2 2 4
dieciséis 25 3

2 19
1
1 7

31 61

Figura 6:
De junio de 2018 Lista pública

de los servidores vulnerables

Memcached

13

Contar 1 99
NetScout Inteligencia de amenaza

yo O TBOTNETS 
IO cubre una amplia gama de dispositivos, incluyendo (pero no limitados a): 

Las cámaras módems por sistemas Dispositivos

IP Base  cable / DSL  de DVR  médicos 

Cualquier dispositivo integrado que ejecuta un sistema operativo y tiene la capacidad de red (envío / recepción de
DISPOSITIVOS CONECTADOS
datos a través de una red) puede considerarse un dispositivo IO. dispositivos IO ir rápidamente al mercado y
VULNERABLES A BOTNETS IOT tienen bajos costos. Estos factores tienden a aumentar la posibilidad de que tales dispositivos exhibirán los tipos

más básicos de vulnerabilidades, tales como codificar / credenciales predeterminadas, desbordamientos de

27 BILL ION
buffer, y la inyección de comandos.

EN 2017
La mayoría de los dispositivos IO del consumidor contienen estos tipos de vulnerabilidades, que se agrava aún más

por el hecho de que los consumidores rara vez contemplan el aspecto de seguridad, o tal vez no entienden la

necesidad de aplicar las actualizaciones de seguridad regulares y parches Con casi 27 mil millones de dispositivos

125 BILL ION

conectados en el año 2017 se espera que crezca a 125 mil millones en 2030, 7 hacen un destino muy atractivo para

los creadores de malware

Para el año 2030

A medida que la explosión de los dispositivos IO no ha disminuido, esperamos ver incrementos en las redes de

bots de la IO correspondiente autores de malware seguirán aprovechar el malware basado en la IO en forma

automatizada, lo que aumenta rápidamente el tamaño botnet a través de gusano difusión, la funcionalidad de

proxy de red, y la explotación automatizado de vulnerabilidades en dispositivos orientados a Internet es

importante que las organizaciones aplican parches adecuados, actualizaciones, y las estrategias de mitigación de

DDoS para defender sus organizaciones

14
 NetScout Inteligencia de amenaza

Mirai
Mirai, visto como revolucionario en busca de malware que se dirige a los dispositivos IO, ha causado la destrucción de

todo el mundo y popularizado el malware basado en la IO Mirai fue utilizado por primera vez por los atacantes para
Mirai
lanzar múltiples de alto nivel, de alto impacto ataques DDoS contra diversas propiedades y servicios de Internet en CÓDIGO FUENTE DE PUBLICACIÓN

2016

El 30 de septiembre de 2016, el código fuente de Mirai fue publicada Desde entonces, los autores de la IO botnet 9.30. 2016
lo han utilizado como un marco para construir Mirai variantes como Satori, JENX, OMG, Wicked, y IoTrojan. 8 Satori

aprovechar vulnerabilidades de inyección de código remoto para mejorar el código Mirai, mientras JENX retira

varias características del código y en su lugar se basa en herramientas externas para la exploración y

explotación.
CINCO VA RIANTS
Elaboración propia botnet
IO

OMG también se añadió a la OMG legado Mirai añade una nueva característica en forma de un HTTP y proxy

SOCKS Esta característica de proxy permite que el dispositivo IO infectada para actuar como un punto de giro,

lo que da el autor bot la flexibilidad para lanzar exploraciones adicionales para nuevo vulnerabilidades o

ataques adicionales sin tener que actualizar la binarios originales Dependiendo del tipo de dispositivo IO y cómo

está conectado, el autor bot puede pivotar a redes privadas que están conectados al dispositivo IO infectada.

Malvados se unieron a la legión de esbirros en Mayo de 2018. toque de traviesa es la capacidad de dirigirse a los

routers Netgear y dispositivos CCTV-DVR que son vulnerables a fallas de ejecución remota de código (RCE).

Dentro de la RCE explotar, traviesa incluye instrucciones para descargar y ejecutar una copia del bot Owari

La última subordinado a golpear la escena es IoTrojan. El autor de IoTrojan parece haber estado involucrado con

las redes de bots inicuos y de Owari. IoTrojan explota CVE-2017 a 17.215, una vulnerabilidad de ejecución remota

de código en los routers de Huawei HG532. IoTrojan incluye la misma funcionalidad DDoS como sus hermanos de

peón. A menudo, la exploración y explotación de los dispositivos pueden ser automatizados, lo que resulta en los

dispositivos susceptibles formar parte de la red de bots.

15
NetScout Inteligencia de amenaza

TENDENCIAS avanzada de
El espionaje y la actividad crimeware sigue creciendo, como actores en este espacio se desarrollan y
desatar ataques cada vez más sofisticados en todo el mundo, causando mil millones de dólares en
daños e impactando grandes marcas y los gobiernos.

Como se predijo por muchos, actividad patrocinada por el Estado ha desarrollado hasta el punto donde las

campañas y los marcos se descubren regularmente por un amplio nivel de las naciones. Nuestros

hallazgos incluyen campañas atribuidos a Irán, Corea del Norte, Vietnam y la India, más allá de los actores

asociados comúnmente con China y Rusia.

Las campañas se dirigen a una amplia variedad de fuentes, de los gobiernos y las industrias a las
instituciones académicas. Objetivos van desde el aumento de la agitación geopolítica para el robo
de propiedad intelectual. A menudo utilizan las cadenas de suministro como un conducto, una
táctica que les permite atacar a su objetivo principal a través de las relaciones entrelazadas de
socios y proveedores. Entre agosto y septiembre de 2017, por ejemplo, agentes de espionaje
comprometidas CCleaner es una herramienta popular utilizado para limpiar los ordenadores y
aumentar el rendimiento. La investigación sobre seguridad descubrió el malware software incluido
distribuido a más de dos millones de usuarios. ataque “NotPetya” último mes de junio utilizó una
estrategia similar, ya que los actores (ampliamente atribuidos a militares rusos) plantaron una puerta
trasera en un paquete de software de contabilidad de Ucrania popular. El software malicioso dirigido
principalmente Ucrania, donde se vieron afectadas más de 80 empresas,

Otra vía actores espionaje uso implica pasar por software legítimo, sin el conocimiento del usuario final.

Podría decirse que esta técnica podría caer bajo los ataques de la cadena de suministro, pero los atacantes

no necesitará utilizar la distribución de la cadena de suministro de las empresas legítimas para la

proliferación. Tal fue el caso con el reciente descubrimiento de que el malware doubleagent en el software

de recuperación de Absolute LoJack para portátiles ataque asociado con Fancy oso. Los atacantes

reemplazado el dominio de mando y control a uno de los suyos. El software, que a menudo viene

preinstalado en los ordenadores portátiles, entonces la baliza nuevo a los servidores controlado por el

atacante en lugar de los servidores destinados a permitir la recuperación remota de ordenadores portátiles

robados. Esto efectivamente dio a los actores el acceso remoto a las computadoras comprometidas.

dieciséis
 NetScout Inteligencia de amenaza

Mientras tanto, la arena crimeware sigue creciendo y en armas, como malware tradicional añade módulos

de gusano, permitiendo que el software malicioso se propague más rápidamente y con mayor facilidad.

Muchas operaciones de software de actividades ilegales, incluyendo el malware bancario y ransomware,

también han añadido módulos o descargas secundarias que permiten a los actores de la mina

criptomoneda como Bitcoin o Moneo. El paso de ransomware a la minería criptomoneda reduce el umbral

para la detección y la atención aplicación de la ley, los atacantes aislante contra los esfuerzos

concentrados y desmontaje represalias. Debido a la creciente sofisticación y capacidad de infectar más

rápidamente los sistemas, muchas campañas pueden afectar más fácil y directamente a millones de

consumidores y empresas de impacto, organizaciones gubernamentales y otras organizaciones a nivel

mundial.

Dicha actividad se encuentra a menudo a través de la investigación y el seguimiento de los equipos de seguridad

tales como ASERT, que descubrieron el secuestro de software de recuperación de robo de Absolute LoJack y el

malware Kardon cargador, entre otros.

En el transcurso del año, el equipo ASERT ha supervisado y

decenas de grupos y actividades de espionaje y crimeware
identificado. En particular, el equipo encuentra los siguientes
grupos de amenaza de interés debido a las tendencias
recientes, las tácticas únicas, o ramificaciones geopolíticas Las campañas se dirigen a una
amplia variedad de fuentes,
de los gobiernos y las industrias a la
academia. Objetivos van desde creciente

conflictos geopolíticos
al robo de propiedad
intelectual.

17
NetScout Inteligencia de amenaza

Perfil

PLATAFORMA PETROLERA PAÍS DE ORIGEN

Corrí
Oilrig es un grupo APT amenaza iraní activa y organizada que ha
apuntado específico del gobierno, la industria, académicos y las
Los objetivos principales
instituciones financieras con fines estratégicos, al menos desde 2015.
Gobierno de la

Industria

Financiera

Académica

Al parecer, el grupo lleva a cabo ataques de la cadena de suministro, aprovechando la relación de confianza entre las

organizaciones para atacar a sus objetivos primarios Si bien este grupo rápidamente pueden utilizar recién descubierto

vulnerabilidades (como CVE-2.017-0199 y CVE-2.017 hasta 11882), que principalmente se basan en la ingeniería social Las técnicas conocidas

para comprometer las víctimas que son conocidos por una extensa investigación, el desarrollo continuo y pruebas de Evasión antivirus, Webshells,
evasión por su conjunto de herramientas personalizadas Además, emplean protocolos personalizados de túnel de DNS puertas traseras, de túneles DNS,
para el mando y control (C2) y exfiltración de credenciales y archivos Credencial de Dumping,
Aplicaciones del sistema nativos,
FTP datos exfiltración, la cadena de
suministro
• los investigadores observaron ASERT este grupo de orientación financiera, la alta tecnología
y verticales del gobierno

• Oilrig este año fue visto por primera vez el uso de un filtro ISAPI de IIS, 9 De vínculos
dinámicos-bibliotecas utilizan a menudo para modificar y mejorar la funcionalidad

proporcionada por IIS tal como URLs, para un C2, que es una técnica poco común para este

grupo.

18
 NetScout Inteligencia de amenaza

OSO DE LUJO
También conocido como APT28, Fantasía Bear es un grupo APT
trabajando fuera de Rusia. operativo probablemente desde mediados
de la década de 2000, este grupo es el más conocido y el más visible
de los grupos APT rusos y se ha atribuido al gobierno ruso.

Sus ataques cibernéticos por lo general se centran en temas de actualidad geopolíticos y Sistema de Control

Industrial (ICS) / infraestructura crítica, que se dirigen con malware destructivo Son ampliamente sospechosos

de interferir en las elecciones en varios países, entre ellos Estados Unidos y Francia, y se cree que son

responsable de los ataques cibernéticos contra objetivos como el Comité Olímpico Internacional, la OTAN, y el

Comité Nacional Demócrata Este año, el equipo asociado ASERT Fantasía oso con malware en el software de

recuperación de Absolute LoJack para portátiles 10 Absolute LoJack, anteriormente conocido como Computrace,

es una solución de recuperación legítima portátil utilizado por una serie de empresas para proteger sus activos

en caso de que sean robados El software hace un doble agente excelente debido a que aparece como software

legítimo, mientras que de forma nativa que permite la ejecución remota de código

19
NetScout Inteligencia de amenaza
Perfil
PAÍS DE ORIGEN
Rusia
Los objetivos principales
Comité Olímpico
Internacional Elecciones
de la OTAN
Democrático
Comité nacional
Las técnicas conocidas
Bootkit, Credencial Dumping, capturas
de pantalla, COM secuestro,
escalamiento de privilegios, Movimiento
lateral vulnerabilidades, timestomping,
medios extraíbles Propagación,
Keylogging, Token de acceso
manipulación, software legal Secuestro
20
Aunque el vector de la intrusión inicial para esta actividad sigue siendo desconocida, Fancy oso menudo utiliza correo
electrónico de phishing para entregar las cargas útiles.
• ASERT investigadores identificaron agentes que contienen dominios C2 probablemente asociados con las
operaciones de lujo del oso de pruebas de concepto en el uso de este software como una puerta trasera o
vector de intrusiones datan de 2014, y su uso continuado sugieren atacantes podrían haber utilizado en
operaciones de larga duración
• Inicialmente, los agentes de software que contienen rogue C2 tenían detección de baja anti-virus
(AV), que aumentó la probabilidad de infección y la comunicación C2 éxito subsiguiente
• Se desconoce el mecanismo de distribución de software malicioso Sin embargo, Fancy oso comúnmente utiliza
suplantación de identidad para entregar las cargas útiles de malware, como se ha visto con Sedupload a finales de
2017
• A lo largo del año anterior, ASERT observó actividad Fantasía oso de orientación
verticales de finanzas y gobierno
la actividad de fantasía oso también incluyó el uso de VPNFilter malware basado en los resultados de otra
investigación pública. analistas ASERT verificados independientemente muchas de las afirmaciones acerca
de las capacidades de malware.
• VPNFilter malware es un multi-etapa, la plataforma modular con capacidades versátiles para apoyar tanto la
recogida de información y la capacidad de destrucción, identificados por la investigación en seguridad pública 11 Sobre
la base de la investigación a disposición del público, algunas cargas útiles secundarias también proporcionan
capacidad de destrucción a que el malware
• Detectado por primera vez en mayo, se estima VPNFilter haber secuestrado a medio millón de dispositivos IO tales
como routers y dispositivos conectados a la red de almacenamiento (NAS)
• Los dispositivos conocidos afectados por VPNFilter incluyen Linksys, Mikrotik, Netgear, TP-Link,
ASUS, D-Link, Huawei, Ubiquiti, UPVEL, y ZTE equipos de red en la pequeña oficina en casa y
el espacio, así como en dispositivos NAS de QNAP
COBRA OCULTO Perfil

PAÍS DE ORIGEN
Oculto Cobra es un grupo APT de Corea del Norte que se dirige
Corea del Norte
activamente a las empresas, con un fuerte énfasis en las finanzas.
Ellos no son muy exigentes con el país, sino que se centrará en
Los objetivos principales

cualquier institución financiera extranjera. Las instituciones financieras

principalmente en Corea del Sur y
EE.UU.

También se les ha visto definición de los intercambios criptomoneda Corea del Sur y los EE.UU. son sus

objetivos principales cuando no se centra en el sector financiero Por ejemplo, muchos investigadores
Las técnicas conocidas
atribuyen el Sony hackear a este grupo que son conocidos por ser destructiva para cubrir sus huellas
DDoS Botnet, desactivando
herramientas y capacidades utilizado por Hidden Cobra incluyen DDoS botnets, keyloggers, troyanos de
Productos de Seguridad, el
acceso remoto (RAT), y malware limpiaparabrisas. Actividad reciente incluye:
movimiento lateral de la fuerza bruta,
SMTP datos exfiltración, Bootkit,
• Orientación de los organismos financieros en Turquía con una variante de software malicioso Bankshot Token de acceso manipulación,
implante del grupo 12 Las entidades financieras que participan ataque controlados por el gobierno turco, acceso remoto troyano, keylogger,
así como otros tres grandes instituciones financieras turcas destructiva malware, Protocolo C2
personalizada, Timestomping,
accesos directos persistentes
• Los ataques de phishing que se dirigen a la tecnología financiera y cryptocurrencies, junto con su
sistema de intercambio se cree que rodea Ocultos Cobra se han infiltrado con éxito y los fondos
robados de numerosos intercambios 13

• Se sospecha que en los ataques contra los bancos de Centroamérica y Sudamérica

21
 LOTUS MAR
También conocido como APT32, Océano Lotus es un sofisticado grupo de
Vietnam que históricamente se dirige a los gobiernos extranjeros - especialmente
nearabroad, China, y cualquier persona con intereses comerciales o estratégicos
en Vietnam; la Asociación de Naciones del Sudeste Asiático (ASEAN); medios
de comunicación; y organizaciones de la sociedad civil, los derechos humanos,
incluso los que están dentro de su propio país.
Perfil

PAÍS DE ORIGEN

Vietnam
Activo desde al menos 2012, Océano Lotus utiliza un paquete completo de software malicioso a medida menudo en combinación

con productos comerciales y tiene explota tanto para sistemas Windows y Macintosh. Focalización también parece ser muy
Los objetivos principales
quirúrgica en lugar de generalizada. El robo ha incluido la propiedad intelectual, información comercial confidencial estratégica, y
Gobierno extranjero
la información de inteligencia. Los recientes descubrimientos de la actividad de amenazas incluyen:

• muestra reciente visto utilizando el panel de control de archivos (CPL), siguiendo una tendencia aparente de
Las técnicas conocidas
algunos en la comunidad APT lejos de ejecutables. archivos CPL lanzan de manera similar como ejecutables.
Marco Huelga cobalto, Powershell
scripting, Timestomping, escalada de
privilegios, la cadena de suministro, • El grupo actualiza con frecuencia sus puertas traseras, la infraestructura y los vectores de
Webshells infección.

• El equipo observó actividad ASERT Océano Lotus focalización sectores del gobierno y de las
finanzas en el último año.

22
EQUIPO DONOT
NetScout Inteligencia de amenaza ' s investigación en el conjunto de herramientas de Perfil
software malicioso EHDevel llevó al descubrimiento de un nuevo marco de programas
maliciosos modulares atribuido al equipo Donot. 14 PAÍS DE ORIGEN

Desconocido

Evaluamos que este nuevo marco recoge donde EHDlevel dejó, centrándose en objetivos en el sur de Asia El Los objetivos principales

marco descubierto por el equipo de ASERT utiliza un nuevo software malicioso modular apodado el marco “yty” Si Gobierno al por
bien la infraestructura es similar a la utilizada por existir conocido públicamente APT grupos, hay suficientes menor
diferencias que no podemos decir definitivamente si esta actividad se ajusta a los métodos de esos grupos.
Tecnología

Finanzas
• ASERT descubrió un nuevo marco de malware modular denominado 'yty' que se centra en la colección de
archivos, capturas de pantalla y keylogging Aunque creemos que este marco y sus componentes son nuevos,

que comparte muchas tácticas, técnicas, procedimientos e indicadores de compromiso con el marco de malware Las técnicas conocidas

EHDevel Modular malware marco, imágenes,

• Creemos que el equipo Donot, los actores de amenaza que crearon EHDevel, también crearon el marco yty
Keylogging, exfiltración de archivos,
detección de recinto de seguridad,
Sistema de Perfiles
• En un esfuerzo para disimular probable que el malware y sus operaciones, los autores codificaron
varias referencias en el malware para el fútbol-no está claro si se refieren al fútbol americano o fútbol El
tema puede permitir que el tráfico de red a volar bajo el radar.

• ASERT también identificó la actividad asociada con el equipo de gobierno Donot la orientación, el comercio minorista,

finanzas y mercados verticales de tecnología con respecto al año anterior.  

23
NetScout Inteligencia de amenaza

DESTACADOS crimeware
El sector de software de actividades ilegales sigue siendo robusto y

muestra señales de difusión más allá de sus tradicionales métodos de

ataque.

De acuerdo a la Brecha 2018 Datos de Verizon Informe Mientras tanto, las nuevas plataformas como Kardon

sobre investigaciones, campañas de correo electrónico cargador están surgiendo, y conocidos como los

impulsado dirigidos valores financieros, como Emotet y Panda banquero están siendo dirigidos a nuevas

Trickbot, siguen sosteniendo la parte del león de la dianas. Incluso en la cara de los derribos y la

actividad (alrededor del 90 por ciento.) Ataques web detención de las personas clave, como botnets

comprenden alrededor del seis por ciento del pastel, Dridex siguen siendo relevantes. Todo ello se suma

mientras que los ataques directos hacen el resto. Sin a revelar un sector que está en constante

embargo, hay algunos cambios notables en los métodos reinvención de la tecnología y los métodos para

diseñados para acelerar la proliferación. Inspirado por ampliar su presencia y mejorar la eficacia de ataque.

2017 eventos tales como gusano WannaCry, los

principales grupos de crimeware añaden módulos gusano

al malware, añadiendo esencialmente un método de

auto-propagación, que permite que el malware se

propague más rápidamente y con mayor facilidad.

ASERT investigadores

encontraron que los siguientes

son particularmente emblemático

de estas tendencias generales:

Además del desarrollo de nuevo módulo de gusano,

también hemos visto un mayor enfoque en la minería

criptomoneda de los programas maliciosos. Parece

que los atacantes ver este método como una

alternativa menos arriesgada y más rentable para

ransomware, ya que este último tiene el efecto

secundario desafortunado de llamar la atención de las

fuerzas del orden.

24
 NetScout Inteligencia de amenaza

Emotet históricamente ha sido varias operaciones de seguridad financiera y pública

reconocido como un marco de software y costará a la ciudad un estimado de US $ 1 millón

Esta nueva ola de infecciones de Troya Emotet

malicioso modular capaz de robo de la
propaga a través de correos electrónicos de phishing
banca, correo no deseado, y el robo de
y descargas de módulos adicionales, tales como un
credenciales.
módulo de gusano de propagación automática

En las versiones más recientes, los atacantes se

EMOTET    alejaron de módulos bancarios a favor de añadir

un minero criptomoneda de Moneo y un módulo

• Emotet añadió un módulo de monedas
minería Monero

de tornillo sin fin para la auto-propagación Esta • Tras la comunicación pública de exploits

continua expansión de las capacidades permite eterno azul, Emotet añadió un módulo de

Emotet a prosperar y ser más peligrosa, como se “gusano” para la propagación automática

ejemplifica por el ataque de febrero de 2018 usando los exploits.

Allentown, PA, 15 el cual cerrará

Descubierta por primera vez en 2016, Trickbot permanece en constante

Trickbot es un troyano bancario que se desarrollo y ha demostrado recientemente

dirige a los clientes de los bancos más algunas nuevas capacidades:

importantes.

• Trickbot ahora utiliza un exploit

CVE-2018-8174 para la infección dieciséis

Trickbot utiliza webinjects y redirige a robar a su

• Trickbot también recibió un módulo de minería de
Trickbot víctimas se propaga a través de monedas Monero

campañas de phishing que los usuarios directos a

TRICKBOT sitios web fraudulentos que se hacen pasar como

operaciones legítimas Aunque muchas de las

• La adición de un módulo de gusano de propagación
automática en la estela de las revelaciones públicas

campañas de spam distribuyen ampliamente, los EternalBlue / EternalRomance

objetivos en webinjects Trickbot tener una

proporcionalidad superior en los Estados Unidos y

• Las versiones recientes de Trickbot vieron un rápido
el Reino Unido Además de estos objetivos
crecimiento en el número de entidades específicas 17
principales, los atacantes incluyen objetivos para

los países adicionales (Canadá, Suecia, Australia,

y más) docenas

25
NetScout Inteligencia de amenaza

los investigadores descubrieron ASERT NetScout Threat Intelligence recopila

KardonLoader 18 activamente indicadores asociados a esta

que se anuncian en los foros familia de malware para proporcionar

protección a nuestros clientes NetScout Arbor.

subterráneos.

Se anuncia como un producto beta abierta pagado, • NetScout investigadores descubrieron

Kardon Loader es un programa de descarga de Threat Intelligence Kardon cargador
malware con una funcionalidad que permite a los anuncian en foros subterráneos
clientes abrir su propio botshop, que concede al

comprador la posibilidad de reconstruir el bot y vender

PALA
• Kardon cargador cuenta con una funcionalidad
el acceso a los demás Presentado por un actor con el
que permite a los clientes abrir su propio
nombre de usuario Yattaze, este producto ha estado

KARDON
botshop, que concede al comprador la
disponible desde finales de abril el actor ofrece la venta
posibilidad de reconstruir el bot y vender el
del software malicioso como un stand-alone construir
acceso a otros.
con cargos para cada uno adicional reconstruir, o la

posibilidad de establecer un botshop en cuyo caso

cualquier cliente puede establecer su propio

• Kardon cargador estaba en las primeras etapas de
funcionamiento y el ulterior venta el acceso a una
desarrollo, se ofreció como beta pública en el momento
nueva base de clientes
del descubrimiento

• Incorpora numerosos controles de

análisis anti- para desalentar
análisis.
Los autores de malware y distribuidores de malware

apalancamiento de descarga y botshops para construir • Después de un miembro de la comunidad

redes de distribución de malware redes de distribución subterránea informó que el actor de interés

de malware son comúnmente utilizados por los investigador en Kardon cargador, el actor dejó de
publicidad activa el malware y dejó de publicar en
ciberdelincuentes para crear botnets para distribuir
temas relacionados con ella Sin embargo, el
cargas adicionales tales como malware credencial de
actor todavía está activo en los foros
robo, ransomware, troyanos bancarios, entre otros.
subterráneos, por lo que es probable que él o se
Estas redes de distribución están a menudo dirigidas
publicará el malware en el futuro
por operadores de terceros y se ofrecen como un

servicio en el mercado subterráneo

26
 NetScout Inteligencia de amenaza

Sobre la base de la familia de malware Recientemente, Panda banquero se expandió para

apuntar Japón 19
Zeus, Panda banquero utiliza una
técnica conocida como “ hombre en el • Un agente de amenaza mediante el malware
navegador ” junto con la web inyecta para bancario bien conocido banquero Panda comenzó a

robar credenciales de usuario, números apuntar las instituciones financieras en Japón

de cuenta, y en última instancia dinero

de cuentas bancarias víctima. • Basado en la investigación ASERT, esta es la
primera vez que hemos visto inyecta Panda

PANDA
Banker dirigidas a organizaciones japonesas

• Es probable que una nueva campaña o actor

BANQUERO
Este malware bancario, por primera vez en estado

silvestre en el inicio de 2016, ha experimentado un

comenzaron con Panda banquero, ya que además

de los ataques japoneses nunca antes vista,

desarrollo constante y gradual desde su aparición ASERT no ha visto ningún indicador de

Panda banquero se vende como un kit en foros compromiso (COI) se superpone con las

subterráneos, dando lugar a múltiples usuarios de campañas anteriores Panda Banker

los actores amenaza de la ciberdelincuencia de

malware tienden a enfocar sus campañas en • La muestra utilizada en esta campaña fue la
particular los países, por lo general depende de su primera muestra que observamos en la naturaleza
capacidad para convertir las credenciales robadas y para utilizar la nueva versión de Panda Banker,
detalles de la cuenta de esos lugares en dinero real. versión 2.6.6.

Con los años, hemos visto campañas Panda

Banker se centran en las instituciones financieras

en Italia, Canadá, Australia, Alemania, Estados

Unidos y el Reino Unido

27
NetScout Inteligencia de amenaza

CONCLUSIÓN 
El paradigma amenaza a escala de La tez del panorama de las amenazas está moviendo más rápidamente, la expansión de la huella y

el cambio de tácticas. Métodos que son comunes en el kit de herramientas DDoS amenaza han
Internet cambia la aceleración de surgido a software de actividades ilegales y espionaje. El aumento en el uso de métodos de

las fronteras de dónde y cómo se propagación auto; especialmente gusanos y distribución de malware de masas se ven en el uso de

programas de CCleaner, VPNFilter, WannaCry y NotPetya. El conjunto de los actores estatales

pueden lanzar ataques, seguirá creciendo, y vamos a ver nuevos grupos emergen de las regiones que no han sido

observados y de interdicción. previamente asociados con una actividad significativa.

El hambre de la explotación de nuevos vectores también continuará, como hemos visto en el

inmenso impacto ataque DDoS creado por Memcached a principios de este año. El uso de la bien

conocida vector protocolo de red, SSDP, ahora está siendo aprovechado para la intrusión interna.

Además, el uso de programas de software legítimos por grupos de espionaje y la adición de

tácticas secundarios, tales como la adición de la minería moneda cripto por el crimen mercancías

actores como hemos visto en el caso de Emotet y Trickbot. Esto crea una nueva presión para la

toma de conciencia y el escrutinio de las defensas de los equipos de seguridad y de TI dentro de

las organizaciones en todos los mercados verticales.

Este paradigma amenaza a escala de Internet cambia la aceleración de las fronteras de dónde y

cómo se pueden lanzar ataques, observados y de interdicción. Las amenazas globales requerirán

nuevas intervenciones globales, empresas, proveedores de servicios relacionados, los gobiernos y

los consumidores.

El equipo ASERT seguirá de cerca el panorama de amenazas e informar sobre los nuevos

grupos y malware en fase de desarrollo, así como técnicas actualizadas. Aunque es difícil estar

totalmente preparado para cualquier amenaza entrante, el consumo regular y la aplicación de la

inteligencia de amenazas es una importante salvaguarda de preparación, ya que al hacerlo

proporciona una idea de informar tanto a la dirección estratégica y las áreas a tratar

técnicamente.

28
 NetScout Inteligencia de amenaza

APÉNDICE
1 asert.arbornetworks.com/ reaper- 8 asert.arbornetworks.com/omgmirai-minions-are-wicked/
15 www.us-cert.gov/ncas/alerts/

locura / TA18-201A

2 media.defcon.org/DEF%20 CON% 2025 / DEF% 9 www.nyotron.com/ dieciséis myonlinesecurity.co.uk/

20con% 20 25% 20presentations / Steinthor% nyotron-descubre-NextGeneration-Oilrig falso-hmrc-importante-outstandingamount-entrega-trickbot-viacv

20 Bjarnason% 20y% 20Jason% 20 Jones / ataques / a 8.174 /

10 asert.arbornetworks.com/lojackbecomes-a-double-agent/
17 www.f5.com/labs/articles/ amenaza inteligencia /

3 reloj www.youtube.com/? v = trickbotrapidly-expande-sus-objetivos-inaugust

11 www.us-cert.gov/ncas/ corriente de
qMQwENS30pg que cambia de
actividad / 2018/05/23 /
enfoque-a-us-banksand-crédito-card-empresas
4 asert.arbornetworks.com/ la VPNFilter-Destructive-Malware
importancia-de-ser-accuratessdp-difracción
12 www.us-cert.gov/ncas/ corriente de la actividad /
de 18 asert.arbornetworks.com/kardonloader-looks-for-beta-testers/
2017/12/21 /
ataques-udprefraction-ataques-y-UPnP-natbypass
NorthKorean-malicioso-Cyber-Actividad
/
19 asert.arbornetworks.com/
13 securingtomorrow.mcafee.com/
5 asert.arbornetworks.com/a-newtwist-in-ssdp-attacks/ panda-banquero-ceros-en-onjapanese-objetivos
McAfee-labs /
/
cobratargets-ocultos-turco-financiera-sectornew-Bankshot-implante
6 asert.arbornetworks.com/ /
NetScout-cenador-confirma-1-7-tbpsddos-ataque-terabit-ataque-eraupon-us
14 asert.arbornetworks.com/donotteam-leverages-new-modularmalware-framework-south-asia/
/

7 news.ihsmarkit.com/press-release/ conectada

número-IOT-deviceswill-surge-125-mil

millones-2030-ihsmarkit-dice

29
NetScout Inteligencia de amenaza

ACERCA NetScout

NetScout SYSTEMS, INC (NASDAQ: NTCT). Asegura servicios de negocios digitales contra las interrupciones en la

disponibilidad, el rendimiento y la seguridad. Nuestro liderazgo en el mercado y la tecnología se debe a la combinación de

nuestra tecnología patentada de datos inteligente con análisis inteligentes. Proporcionamos en tiempo real, visibilidad

general y los clientes y puntos de vista que acelerar y asegurar su transformación digital. Nuestro enfoque transforma la

manera en las organizaciones a planificar, entregar, integrar, probar e implementar servicios y aplicaciones. Nuestras

soluciones de garantía de servicio nGenius proporcionan en tiempo real, análisis contextual de servicio, red y rendimiento de

las aplicaciones. Las soluciones de seguridad Arbor protegen contra ataques DDoS que ponen en peligro la disponibilidad y

las amenazas avanzadas que se infiltran en las redes para robar los activos críticos de negocio. Para obtener más

información sobre la mejora del servicio, la red,

© 2018 NetScout SYSTEMS, INC. Todos los derechos reservados. NetScout, y el logotipo son marcas registradas de NetScout NetScout

SYSTEMS, INC. Registradas y / o sus subsidiarias y / o filiales en los EE.UU. y / o otros países. Todas las demás marcas y nombres de

producto, marcas comerciales registradas y no registradas son propiedad exclusiva de sus respectivos dueños.

SECTR_1H2018_EN-1801

30