NETSCOUT Systems dio a conocer su Informe de Inteligencia de Amenazas NETSCOUT 2018, el cual cubre las últimas tendencias y actividades de los grupos estado nación de amenazas persistentes avanzadas (APT), las operaciones de crimeware y las campañas de ataque de denegación de servicio distribuido (DDoS).

Hardik Modi, director senior de Inteligencia de Amenazas de NETSCOUT, dijo que ATLAS es un proyecto colaborativo con cientos de clientes  proveedores de servicios que han acordado compartir datos de tráfico anónimos que equivalen aproximadamente a un tercio de todo el tráfico de Internet. Desde este único punto de vista, NETSCOUT está en una posición ideal para brindar inteligencia sobre ataques DDoS, familias de malware y botnets que amenazan la infraestructura de Internet y la disponibilidad de la red.  Este informe deja en claro que los ciberactores están aprovechando cada vez más las amenazas a escala de Internet, como NotPetya, para campañas dirigidas y altamente selectivas.

A continuación los aspectos más destacados de dicho informe:

1. Ataques DDoS entran en la era del terabit. Los ataques de Memcached del invierno pasado marcaron el comienzo de la era de los ataques terabits DDoS. De hecho, NETSCOUT Arbor mitigó el mayor ataque DDoS visto hasta ahora, un ataque DDoS de 1.7 Tbps en febrero de 2018.
2. Aumenta el volumen, disminuye la frecuencia. Vimos cerca de 2.8 mil millones de ataques en la primera mitad de 2018. Si bien esa es una gran cantidad de ataques, la gran noticia radica en el tamaño y no en la frecuencia. De 2017 a 2018, se presentó una ligera caída en la frecuencia de ataque acompañada de un aumento dramático en el tamaño y la escala del ataque. Sin embargo, esa caída en la frecuencia no significa que los ataques DDoS disminuyan. El tamaño máximo de los ataques DDoS aumentó 174% en H1 2018 en comparación con el mismo período de 2017. Consideramos que a medida que las herramientas de ataque se vuelven más sofisticadas, los atacantes consideran más fácil y económico lanzar ataques más grandes y efectivos.
3. Los grupos APT se expanden más allá de la arena tradicional. Más naciones están operando programas cibernéticos ofensivos y se observa un conjunto más amplio de ciberactores. De hecho, la actividad patrocinada por el estado nación se ha desarrollado más allá de los actores comúnmente asociados con China y Rusia, los  hallazgos incluyen campañas atribuidas a Irán, Corea del Norte y Vietnam.
4. Los actores de crimeware diversifican los métodos de ataque. Si bien, las campañas de correo electrónico siguen siendo el principal lugar de encuentro, se observan cambios notables en los métodos diseñados para acelerar la proliferación de malware. Inspirados por los eventos de gusanos de 2017 como WannaCry, los principales grupos de crimeware agregaron módulos de gusanos a otro malware con objetivos distintos, como robo de credenciales o cargadores tradicionales. También se observa un mayor enfoque en la minería de criptomonedas en el malware. Parece que los atacantes ven este método como una alternativa menos riesgosa y más rentable que el ransomware, ya que este último tiene el desafortunado efecto secundario de llamar la atención de las agencias de aplicación de la ley.
5. Los países pueden ser un importante objetivo de las campañas DDoS. Si bien, la tendencia de un gran aumento en el tamaño de los ataques sobre un crecimiento en la frecuencia se desarrolló de forma bastante uniforme en todas las regiones, algunos países y regiones como objetivos desproporcionados. Asia Pacífico experimentó una cantidad inmensa de ataques de alto volumen en comparación con otras regiones. China surgió destacadamente como un país objetivo, con 17 ataques mayores a 500 Gbps en la primera mitad de 2018 versus ninguno durante el mismo período del año anterior.
6. Los objetivos de las verticales de la industria se expanden. Los proveedores de servicios de telecomunicaciones y hosting presentan la mayoría de los ataques, pero también vimos grandes cambios en diferentes verticales. Los ataques contra integradores de sistemas y consultorías aumentaron, y agencias gubernamentales como consulados, embajadas, el Fondo Monetario Internacional, el Departamento de Estado y las Naciones Unidas experimentaron un fuerte repunte en los ataques. Esto se alinea con el uso de DDoS contra los objetivos por parte del gobierno, así como aquellos que se oponen ideológicamente a los intereses representados por estas instituciones.
7. Nuevos vectores de ataque DDoS se aprovechan rápidamente. La campaña de ataque de Memcached utilizó vulnerabilidades en servidores Memcached mal configurados para lanzar enormes ataques DDoS, un proceso que tomó muy poco tiempo desde el informe inicial hasta la primera herramienta de ataque disponible y utilizada para causar impacto global. Si bien hubo una movilización considerable en todo el mundo para reparar servidores vulnerables, el vector sigue siendo explotable y se seguirá utilizando. La realidad es que, una vez que se inventa un tipo de DDoS, en realidad nunca desaparece.
8. Nueva clase de abuso de SSDP Simple Service Discovery Protocol (SSDP) se ha utilizado para ataques de reflexión / amplificación durante muchos años, ASERT desacreditó informes este año que afirmaban que esta herramienta existente representaba un nuevo tipo de campaña DDoS con el potencial de millones de dispositivos vulnerables. Sin embargo, ASERT descubrió una nueva clase de abuso de SSDP donde los dispositivos ingenuos responderán a los ataques de reflexión / amplificación SSDP con un puerto no estándar. La inundación resultante de paquetes UDP tiene puertos de origen y destino efímeros, lo que dificulta la mitigación: un ataque de difracción SSDP.
9. Las campañas dirigidas APT pueden implicar huellas a escala de Internet. A medida que los grupos APT de estado nación continúan desarrollándose globalmente, atrae la atención las observaciones de la actividad a escala de Internet en el ámbito estratégico, donde campañas como NotPetya, CCleaner, VPNFilter, etc. implicaron una amplia proliferación a través de Internet, incluso cuando los objetivos finales en algunos casos eran altamente selectivos.
10. Aparecen nuevas plataformas y objetivos de crimeware. No satisfechos con agregar nuevos módulos de malware, los actores de crimeware también desarrollaron afanosamente nuevas plataformas, como la beta de Kardon Loader observada por ASERT. Al mismo tiempo, plataformas de malware conocidas como Panda Banker están siendo dirigidas a nuevos objetivos.