El ransomware surgió como la amenaza predominante a la seguridad online para los usuarios residenciales y las pequeñas empresas. Sin embargo, los grupos de hackers también vieron oportunidades en las grandes organizaciones. Y así, hoy en día, el ransomware se ha convertido en un gran desafío para las empresas de cualquier envergadura y de las más diversas actividades. 

Este tipo de malware, que se envía a través de emails no deseados o de phishing, que engañan a los usuarios para que hagan clic en links maliciosos, secuestra y bloquea archivos o sistemas, evitando que el usuario acceda a ellos. El ransomware es un secuestrador. Utiliza la encriptación, manteniendo archivos y sistemas como rehenes. En teoría, cuando la víctima paga el monto del rescate, recibe la clave de desencriptación, liberando los archivos o sistemas bloqueados. 

En un informe de la empresa de antivirus Kaspersky, se menciona que, entre 2019 y 2020, la cantidad de empresas que sufrieron una tentativa de ataque de ransomware dirigido aumentó un 767%. Cuanto más grande es la empresa, más crece la cantidad de intentos de ataque, ya que esta operación es sofisticada y además solicitan el pago de un monto mayor para el rescate. 

Solo durante el primer semestre de 2021, 69 empresas brasileñas fueron víctimas de este ataque, según el relevamiento “Ransomware en la Dark Web”, de Apura Cyber Intelligence. Los sectores más afectados fueron salud, industria/manufactura y el sector público. Y los pedidos de rescate llegaron hasta los R$ 50 millones. 

¿Quién realiza los ataques de ransomware? 

Al contrario de lo que muchos creen, estos ataques no son perpetrados por bandas delictivas. El ecosistema actual del ransomware se profesionalizó y está conformado por muchos grupos, cada uno especializado en una función determinada. 

Hay quienes trabajan con el desarrollo de código malicioso, están los dueños de redes de robots (botmasters) que automatizan el proceso de infección, hay grupos que venden el acceso a las redes corporativas, e incluso están los operadores de ransomware. Y entre cada uno de ellos se prestan servicios mutuamente. 

Existen varios tipos de ransomware, pero el más popular y utilizado hasta la fecha es WannaCry. Representa el 16% de las detecciones realizadas en 2020 y es responsable de la mayor epidemia de ransomware, ocurrida en mayo de 2017, que provocó una pérdida de al menos 4.000 millones de dólares en 150 países, según el informe de Kaspersky. 

Consejos para protegerse de los ataques de ransomware 

Hay algunas prácticas para evitar ser la próxima víctima. Les son de utilidad tanto a usuarios aislados, como a las pequeñas empresas e incluso a las corporaciones. Compilamos algunas acciones básicas que ayudan a bloquear estos ataques. 

1. Haga un backup diario de sus datos: es el consejo más básico, si bien figura dentro de los más importantes. Si los datos, aplicaciones y servicios de sus clientes fueran encriptados y secuestrados, usted al menos tiene el seguro con el backup del día anterior, minimizando en gran medida el daño y con una rápida capacidad de recuperación para poner la operación en marcha nuevamente. Para las empresas de mayor envergadura, existen también varias opciones basadas en la nube para realizar el backup automático de sus datos en un servidor externo. Adicionalmente, estará protegido en caso de un desastre físico, como un incendio o una inundación, por ejemplo. 
2. Esté atento a los emails de phishing: una de las mejores tácticas es el conocimiento. Capacitar a sus colaboradores sobre los últimos métodos de ingeniería social utilizados para inducir a las personas a hacer clic en links y adjuntos maliciosos, es una forma de hacerlo. Simplemente enviando comunicaciones periódicas sobre las estrategias y términos como: spam, malware, spear-phishing, etc. – ayudará a los colaboradores a estar más atentos a la identificación de intentos de phishing, que a menudo parecen provenir de una fuente confiable, como un amigo, un colega de trabajo o su tienda online favorita. 
3. Mantenga sus software actualizados: otra técnica usada por los autores de ransomware consiste en explotar vulnerabilidades en las aplicaciones de software y de sistemas operativos populares, principalmente Windows. Si su departamento de TI mantiene las aplicaciones actualizadas de manera regular, minimizará su exposición a potenciales ataques. Mejor aún, asegúrese de que todas las aplicaciones que se puedan configurar para actualizarse automáticamente tengan esta función habilitada. 
4. Mantenga separados los datos y archivos personales de los del trabajo: con tantas personas trabajando desde sus hogares, puede resultar difícil separar el trabajo de su vida personal, aunque mantener esos dos mundos separados puede ayudar mucho a proteger sus datos o minimizar el impacto de un ataque. 

Y aun así, si fuera víctima de un ataque de ransomware, desconecte inmediatamente su red de computadoras. Si bien el daño ya está hecho, esto puede ayudar a evitar que el malware se propague a otros sistemas o dispositivos. 

Lumen cuenta con soluciones customizadas para la seguridad de los datos y de las aplicaciones. Las soluciones de Seguridad de Lumen, por ejemplo, ayudan a su equipo de TI a hacer más con menos, al automatizar su seguridad integrada en la red para neutralizar las amenazas antes de que causen daños y antes de tener que dedicarles el día entero. Conozca más sobre esta solución accediendo a nuestro sitio. 

Antes de adentrarnos en el tema específico, debemos entender qué es un firewall. Se trata de un sistema de seguridad de red (generalmente corporativa), que monitorea el tráfico de datos proveniente de internet, y que decide si bloquea o permite la entrada de esos datos en la red de la empresa. Estas decisiones se basan en un conjunto de reglas de seguridad definidas por el equipo de TI que instaló el firewall.

Si bien los sistemas de firewall son eficientes, el hecho es que las modalidades de ciberataque también se han vuelto más sofisticadas. Con la tendencia del uso de la computación de borde y en la nube, la urgencia en proteger los datos de las aplicaciones web demandó la creación de más herramientas de seguridad, como el Web Application Firewall – firewall de aplicaciones web o, simplemente, WAF.

Cómo funciona WAF

WAF es una capa de seguridad complementaria al firewall de red tradicional. Protege los datos y las aplicaciones de un sitio web del malware, del acceso y la exposición no autorizados (indebidos).

Bloquea los ataques más comunes por internet, como por ejemplo el DDoS (Distributed Denial of Service – ataque distribuido de denegación de servicio), que tiene la capacidad de paralizar los sitios de servicios de una empresa.

El WAF también puede monitorear los motores de búsqueda, las bots invasoras más comunes y verificar el SQL (Structured Query Language – Banco de datos estructurado) para detectar si hubo una inyección indebida de datos o captura de los datos de las aplicaciones web de la empresa.

Además de lo dicho, el equipo de seguridad de TI también puede incluir reglas específicas para filtrar el paso de los datos necesarios para que las aplicaciones web de la empresa funcionen correctamente.

Es decir que el WAF funciona monitoreando, filtrando y bloqueando el tráfico de datos maliciosos y los ataques directos a los sistemas web de la empresa. Esto libera al equipo de TI de tener que hacer el trabajo manual de decidir qué datos pueden ingresar a los sistemas.

¿Por qué es necesario WAF?

Según International Data Group (IDC), hasta 2024 el volumen de datos capturados, copiados, consumidos y alojados en la nube y en los data centers crecerá hasta aproximadamente 143 zettabits. Para entender la dimensión, 143 zettabits de datos equivalen a 360 mil millones de horas de conferencias web de negocios.

Con estos números, no hay duda en afirmar que un ataque organizado al sitio web o a las aplicaciones web de una empresa puede provocar un daño enorme o incluso acabar con la empresa, dependiendo de las dimensiones del ataque.

Un ejemplo simple, aunque gravísimo que puede suceder sin la seguridad adecuada de las aplicaciones web es que los datos de los clientes de la empresa caigan en manos de ciberdelincuentes, pudiendo ser utilizados para extorsión y/o pedidos de recompensa.

Por lo tanto, WAF es una capa de protección que tiene los siguientes beneficios principales:

• Monitorear, detectar y bloquear las principales técnicas de ataque a sitios y aplicaciones web;
• Tablero de comando de fácil consulta gráfica y acompañamiento de bloqueo y permiso de tráfico;
• Registro detallado de eventos para agilizar la configuración de las reglas;
• Modo de aprendizaje: basado en inteligencia artificial, trabaja con situaciones simuladas y análisis de comportamiento, para entender qué situaciones no deben bloquearse para no obstaculizar los accesos necesarios al sistema.

Finalmente, WAF evita consumos innecesarios de ancho de banda, ya que los ataques y accesos maliciosos viajan junto con los datos de las aplicaciones de la empresa. En un efecto dominó, esto también genera ahorros en infraestructura y recursos operativos.

Pero para que todo funcione de la mejor manera posible, es importante que el WAF esté bien implementado y dimensionado. Las configuraciones mal equilibradas pueden tener un efecto negativo en el negocio, como un bloqueo inadecuado de las entradas, un desempeño inferior al esperado e incluso afectar la disponibilidad de las aplicaciones.

Sabemos, entonces, que los ataques existen y mejoran día a día. Así es como el WAF se convierte en un elemento esencial para garantizar la seguridad de las aplicaciones y que el tráfico del sitio web esté bien dimensionado para no afectar el rendimiento y brindar la mejor experiencia y entrega a los clientes.

Y nosotros, en Lumen, estamos preparados con equipos de apoyo, que trabajan conjuntamente con nuestros clientes para que puedan utilizar rápidamente los beneficios de WAF, protegiendo sus aplicaciones y datos, aumentando la disponibilidad. Mayor desempeño, escalabilidad y seguridad. Conozca más en nuestro sitio web.

En años recientes, los eventos Distribuidos de Denegación de Servicio (DDoS) se han convertido en una amenaza siempre presente, con el tráfico de ataque llegando a niveles medidos en terabits por segundo (Tbps). Una de las herramientas clave en manos de los ciberdelincuentes que buscan aumentar el ancho de banda de sus ataques es el reflejo basado en UDP. Por ejemplo, el ataque de DDoS a GitHub en 2018, utilizó un servicio de capa de aplicación llamado Memcached para dirigir durante el pico 1,35 Tbps de tráfico UDP reflejado en los servidores de GitHub. En 2020, la industria tomó conocimiento de un ataque de DDoS que utilizó un paquete de servicios de UDP como reflectores (CLDAP, DNS y SMTP) para alcanzar tasas de cable de hasta 2,5 Tbps.

En Black Lotus Labs, aprovechamos la visibilidad de nuestra red para identificar servicios que están siendo potencialmente manipulados para lanzar ataques, tales como instancias Memcached, CLDAP y DNS, y luego trabajamos para confirmar si están abiertos para ser utilizados como reflectores. Según nuestros datos del primer trimestre de 2021, vemos que cada uno de estos servicios se utiliza activamente para lanzar ataques de DDoS significativos actualmente.

Memcached, el gran reflector de BAF

El interés de Black Lotus Labs por Memcached radica en su Factor de amplificación de ancho de banda (BAF) extraordinariamente alto. Un BAF es la relación entre los bytes de respuesta reflejados en el objetivo y los bytes de solicitud enviados al reflector por el atacante; un BAF de 5 significa que por cada byte enviado al reflector, dirige 5 bytes al objetivo. De día, Memcached es un servicio de almacenamiento en caché distribuido que trabaja arduamente, diseñado para ayudar a que su página web se cargue más rápidamente. Generalmente se implementa para dar soporte a clústeres de servidores web para eliminar llamadas innecesarias a la base de datos en caché, no hay ninguna razón por la que Memcached deba estar expuesto a la internet pública. Ahora bien, si usted no expondría su base de datos de backend a la Internet pública, ¿por qué lo haría con su servicio de caché de backend? Si bien no todas las instancias de Memcached que interactúan con internet están abiertas para su uso en ataques de reflexión, determinamos que una cantidad de estos podría ser utilizada para reflexión en un ataques de DDoS.

Determinar si una instancia equis de Memcached constituye o no un reflector abierto es una cuestión sencilla: ¿responden a comandos de protocolo sobre UDP?  Memcached da soporte a su servicio de almacenamiento de caché con un protocolo al que se puede acceder a través de TCP o UDP, y solo UDP puede usarse para este tipo de ataque. Tal como se podría esperar de un servicio de almacenamiento de caché, este protocolo presenta comandos tales como Set and Get. Set le permite almacenar bloqueos de datos arbitrarios bajo una llave determinada. Contrariamente, Get le permite ir a buscar los datos nuevamente por llave. La llave puede ser totalmente pequeña mientras que los datos almacenados en ella pueden ser de hasta 1 MB con configuración out-of-the-box (lista para su uso). Esto significa que un paquete de solicitud muy pequeño, medido en decenas de bites puede generar una respuesta significativamente mayor. En el caso de Memcached, el BAF es 10.000 a 51.000x. Esta es una amplificación de ancho de banda elevada al extremo: una conexión a Internet de 100 Mbps podría producir un volumen de ataque que oscile desde 125 Gbps a más de 630 Gbps. Hace algunos años, luego de una serie de ataques notables a Memcached, la comunidad de internet realizó un esfuerzo concertado por mitigar los más de 35.000 servidores Memcached disponibles públicamente. Aun así, y tal como lo muestra el siguiente mapa de calor, actualmente todavía hay más de 1.500 servicios abiertos de Memcached expuestos en Internet, con China y Estados Unidos albergando la mayor parte geográficamente.

Distribución global de los servicios de Memcached expuestos en Internet

Cómo funciona la reflexión de UDP

Si bien otros servicios de reflector UDP no tienen el mismo BAF que Memcached, la reflexión funciona igual para todos los servicios UDP. Veamos la estructura de un ataque de reflexión de UDP. En la siguiente figura, tenemos tres componentes: el iniciador del ataque, el servicio reflector y el sistema objetivo.

Reflexión de UDP con suplantación (Spoofing) de IP

Como muestra la figura anterior, la reflexión se basa en engañar al servicio de reflector para que envíe la carga útil de respuesta al sistema objetivo en lugar de volver al sistema que inició el ataque. Este acto de reflexión depende de la suplantación de IP; la gran debilidad de UDP es que permite que ocurra la suplantación de identidad. Para falsificar o suplantar una dirección IP en la comunicación UDP, solo tiene que colocar la dirección IP del sistema de destino como dirección de origen en el encabezado del paquete IP. Con UDP, no hay nada inherente al protocolo que lo impida.

¿Por qué UDP permite la suplantación de identidad mientras que TCP no la permite? Considere lo siguiente: Si el servicio Memcached solo está abierto a la comunicación TCP, aún podría emitir el mismo comando Get para buscar la bomba de datos grande, pero no podría falsificar o suplantar la dirección de retorno. Esto se debe a que habría tenido que completar con éxito el protocolo de enlace de tres vías de TCP para establecer una conexión antes de enviar paquetes con comandos Memcached reales. TCP requiere que se intercambien varios paquetes administrativos para establecer la conexión antes de cualquier comunicación real; esta es la conexión (handshake) de tres vías. Completado el apretón de manos (handshake), ambos lados de la comunicación saben con precisión quién está en el otro extremo de la conexión. Cuando un paquete TCP que contiene el comando Get aparece en la instancia de Memcached, si su dirección de origen no se alinea con el estado de la conexión, no recibirá servicio.

Por otro lado, UDP ni siquiera se molesta en rastrear conexiones. Es como contestar el teléfono antes de la era del identificador de llamadas; a menos que quisiera arriesgarse a perder la llamada de un amigo, estaba obligado a responder cada vez que sonaba, dejándolo vulnerable a todo tipo de llamadas de broma y llamadas de ventas agresivas. De la misma manera, cada paquete UDP que llegue debe tomarse al pie de la letra. UDP simplemente no tiene la capacidad de examinar la dirección de origen y decir: «Pero, no estaba hablando con esta persona. ¿Y esto de dónde salió?”

Como esta deficiencia pertenece al propio UDP, cualquier servicio implementado sobre este se puede utilizar como un reflector abierto. Para confirmar que un servicio UDP se puede usar como reflector, todo lo que se requiere es probar que el servicio responde a las consultas, tal como vimos con Memcached.

Principales servicios UDP que lanzan ataques

Si bien observamos más de 1.500 servidores Memcached abiertos para su uso en ataques reflectantes, Memcached no es el único protocolo reflectante principal para el abuso. Los protocolos como LDAP sin conexión (CLDAP), NTP, SSDP, DNS y muchos otros se pueden aprovechar para la reflexión. Al analizar los últimos meses de nuestros datos, algunos de ellos tienen una clasificación mucho más alta que Memcached por el tamaño del ataque más grande observado. Esto se espera debido a la tendencia general de disminución de los reflectores Memcached que están disponibles para abuso.

Distribución de los mayores ataques de UDP observados en el primer trimestre de 2021

LDAP sin conexión

LDAP sin conexión, en particular, representa una amenaza significativa dada la combinación de un factor de amplificación de ancho de banda de 50-70 veces y una disponibilidad generalizada debido a su uso asociado en Directorio activo. Analizamos las direcciones IP observadas que reciben una solicitud de reflexión potencial de 67 bytes en el puerto UDP 389 y que respondieron con datos en UDP 389 en algún momento durante el trimestre. Utilizando esta metodología, Black Lotus Labs descubrió más de 281.000 direcciones IP únicas que parecen responder a las solicitudes de reflexión de CLDAP.

Adicionalmente, CLDAP fue aprovechado en varios ataques recientes a gran escala, como por ejemplo el ataque de 2.3 Tbps contra Amazon en 2020 o más recientemente como descubrimos el ataque del 4 de mayo de 2021 contra unos de los proveedores de servicios de internet del gobierno belga: Belnet.

Durante el período del ataque a Belnet, Black Lotus Labs observó que más del 78% del tráfico destinado a Belnet hizo la transición de la norma esperada de HTTP/HTTPS casi íntegramente a CLDAP. Si bien observamos cierto aumento en otros protocolos reflectantes, ninguno parece haber generado tanto tráfico de ataque por ancho de banda como CLDAP.

Porcentaje de tráfico Belnet por protocolo

DNS en sí como vector de reflexión

Además del abuso con CLDAP, DNS es otro protocolo que resulta a menudo aprovechado sobre UDP y sobre el cual los ataques de reflexión pueden  potencialmente ser utilizados para un uso abusivo. Si bien algunos resolvedores de DNS abiertos limitarán los tipos de consultas de las que a menudo se abusa para la reflexión, esta metodología no es una solución perfecta para detener todos los tipos de ataques de DNS reflectantes.

Cuando los atacantes buscan lanzar un ataque reflexivo con DNS, necesitan un dominio y un tipo de registro que les devuelva una respuesta de magnitud. Algunos de los tipos de registro más comunes que devuelven grandes valores son ANY, SRV y TXT. Luego de eliminar A/AAAA, que es el volumen más grande de consultas de DNS que vemos habitualmente, las consultas ANY constituyen una parte significativa de las consultas restantes que observamos en internet.

Porcentaje de las consultas de DNS del tipo ANY

¿Qué más podemos hacer?

Depurar las fuentes de DDoS reflectivas en toda la internet es una cuestión complicada que requiere de un esfuerzo comunitario continuo.  Las organizaciones que exponen servicios en Internet deben tener en cuenta cómo se pueden usar para participar en ataques de DDoS reflectantes y, o bien no exponerlos o implementar medidas para mitigarlos. Los proveedores de servicios de Internet, los proveedores de seguridad gerenciada y los investigadores de seguridad también pueden ayudar informando a sus clientes cuando ven servicios reflectantes expuestos y manipulados. Tales esfuerzos han sido efectivos para reducir significativamente el número de instancias Memcached expuestas en los últimos años.

Por nuestra parte en Lumen, cuando encontramos reflectores abiertos alojados en las redes de nuestros clientes objeto del abuso, para causar daños sustanciales en Internet, nos comunicamos con ellos de manera proactiva para comprender mejor la intención del servicio y compartir orientación sobre cómo remediar el peligro.

Si desea colaborar con investigación similares, por favor contáctenos en Twitter @BlackLotusLabs.

Para más información sobre las tendencias de ataques y amenazas de DDoS, consulte el Informe trimestral de DDoS de Lumen del primer trimestre de 2021. Conozca Más

La presente información se provee “como está” sin garantía o condición de ninguna naturaleza, ya sea expresa o implícita. El uso de esta información es responsabilidad del usuario final. 

Lea el post original en inglés > https://blog.lumen.com/tracking-udp-reflectors-for-a-safer-internet/

Los análisis de Black Lotus Labs’® han descubierto un clúster de sitios web comprometidos utilizado previamente en una serie de ataques de watering hole. Cualquier visitante que navegara a uno de los sitios sin saberlo estaría infectado y sería vulnerable a que el actor de la amenaza se apropiara de una copia de sus credenciales de autenticación de Windows, que podría usarse para hacerse pasar por ellos. Inicialmente identificamos esta actividad en una cantidad de sitios web ucranianos, mientras que análisis posteriores revelaron que los actores también habían comprometido un sitio web canadiense.

Detalles técnicos
Los ataques de watering hole impactan en los usuarios finales que visitan un sitio web en particular, inyectándoles una función maliciosa en el código del sitio web, que luego es ejecutado por las máquinas de las víctimas. En el caso de estos sitios web, un JavaScript malicioso preparaba a los dispositivos de las víctimas para que enviaran sus hashes de New Technology LAN Manager (NTLM) a un servidor controlado por el actor usando Server Message Block (SMB), un protocolo de comunicaciones que permite el acceso compartido a recursos tales como impresoras y archivos. En la mayoría de los entornos de Windows, el protocolo NTLM se usa como un mecanismo de autenticación para los diversos usuarios de un sistema. Una vez que el actor de la amenaza obtiene estos hashes, en algunos casos pueden descifrarlos fuera de línea, revelando de esa manera los nombres de usuarios y sus contraseñas algo que puede ser aprovechado para operaciones subsiguientes tales como acceder a las cuentas de correo electrónico o a otros recursos corporativos.

Estos tipos de ataques de watering hole se han utilizado durante años, pero nuestro interés en este vector se renovó luego de detectar un compromiso de esta naturaleza en el sitio web del Aeropuerto internacional de San Francisco (SFO) en abril de 2020. Cuando las víctimas navegaban por el sitio web, sus máquinas trataban de recuperar un archivo “icon.png” alojado en un servidor remoto. Las máquinas de las víctimas utilizaban la ruta de la convención universal de nombres (UNC) para iniciar una conexión saliente usando SMB para el link: file:// [IP address] /icon.png. Los atacantes podían luego configurar un gestor de evento para recibir los hashes NTLM de las víctimas, que luego podían descifrar offline.

Cuando observamos este vector de ataque inicialmente en el sitio web del aeropuerto de San Francisco, advertimos funciones de JavaScript maliciosas, similares en varios sitios web de Ucrania y Canadá que aparentemente exhibían la misma táctica operativa. Por consiguiente estamos agrupando esta actividad en el mismo actor. A continuación podrá encontrar una copia del código JavaScript.

Copia del código malicioso de JavaScript encontrado en los sitios web comprometidos

Este código fue descubierto en tres sitios web exclusivos, y todos ellos alojados en la misma dirección IP con base en Ucrania. 185.68.16[.]193. Esto podría indicar que los actores maliciosos obtuvieron acceso al servidor web y por ende acceso a todos los sitios web alojados en el mismo. Cada uno de estos sitios está asociado con entidades de fabricación ucranianas, una de las cuales anuncia que fabrica equipos para la fuerzas de cumplimiento del orden y la protección energética. Los sitios web y las fechas de la actividad maliciosa observada son:
• azo.od[.]ua, 15 de octubre de 2020
• vistec[.]ua, 23 de septiembre de 2020
• telecard.com[.]ua, 31 de marzo de 2020.

Si una máquina vulnerable visitara estos sitios web intentaría recuperar un archivo remoto ubicado en el archivo ://213.133.122[.]42/icon.png.
El segundo grupo de sitios con ataques de watering hole incluyó a un club de fútbol y a un banco de inversión ucranianos Los sitios web y las fechas de la actividades maliciosas observadas fueron:
• fcdynamo.kiev[.]ua, 15 de mayo de 2020
• dragon-capital[.]com, 17 de diciembre de 2019

Si una máquina vulnerable visitara cualquiera de estos sitios web intentaría recuperar un archivo remoto ubicado en el archivo file://5.9.59[.]54/icon.png.
El tercer grupo de sitios atacados por watering hole estuvo asociado con organizaciones de medios de comunicación ucranianos. Los sitios web y las fechas de la actividades maliciosas observadas fueron:
• zoomua[.]tv, 18 de mayo de 2019
• unn.com[.]ua, 21 de mayo de 2020
• ntn[.]ua, 3 de marzo de 2019

Si una máquina vulnerable visitara cualquiera de estos sitios web intentaría recuperar un archivo remoto ubicado en el archivo file://139.59.179[.]55/icon.png.

Página de resultados de búsqueda de Google en caché que muestra la función JavaScript maliciosa

El cuarto grupo de sitios con ataques de watering hole estaba asociado con compañías petroleras, una con sede en Ucrania y la otra con sede en Canadá.
• oilandgas.dtek[.]com, 13 de mayo de 2019
• dtek[.]com, 13 de mayo de 2019
• investecogas[.]com, 14 de febrero de 2019

Si una máquina vulnerable visitara cualquiera de estos sitios web intentaría recuperar un archivo remoto ubicado en el archivo ://91.208.138[.]8/icon.png.

Listado de sitios web comprometidos y sus correspondientes oyentes SMB

Recomendaciones de mitigación
Black Lotus Labs continúa monitoreando a este actor y este tipo de actividades de abrevadero (o watering hole). Para protegerse de este tipo de ataques, las organizaciones deberían configurar sus firewalls para evitar que las comunicaciones salientes basadas en SMB salgan de la red. Si las organizaciones no estuvieran usando este protocolo internamente, tal vez deseen considerar como alternativa desactivar o limitar SMB en el entorno corporativo. Si ninguna de las opciones fuera viable para una organización, pueden limitar el uso de JavaScript en sitios web desconocidos o no confiables. Los usuarios que estén preocupados por los ataques de abrevadero también tienen la opción de desactivar JavaScript a través de un plugin como por ejemplo NoScript.

Notificamos a los propietarios de los sitios web comprometidos para que interrumpan este ataque en curso. Si desea colaborar en una investigación similar a esta, contáctenos en Twitter @BlackLotusLabs 

Se recomienda a las organizaciones que buscan evitar los ataques de abrevadero que actualicen el software y los navegadores con la mayor frecuencia posible, supervisen e inspeccionen periódicamente los sitios web visitados con frecuencia para asegurarse de que estén libres de malware y que bloqueen el acceso de los usuarios a sitios comprometidos conocidos.

Indicadores de compromiso
Sitios web comprometidos y sus direcciones IP
azo[.]od[.]ua
     185.68.16[.]193.
vistec[.]ua
     185.68.16[.]193.
vistec[.]ua
     185.68.16[.]193.
fcdynamo[.]kiev[.]ua
     104.26.14[.]194.
dragon-capital[.]com
     91.90.196[.]26.
zoomua[.]tv
     62.149.26[.]233.
unn[.]com[.]ua
     104.27.139[.]240.
ntn[.]ua
     62.149.26[.]232.
dtek[.]com
     45.60.75[.]78.
investecogas[.]com
     77.72.135[.]227.

Nodos SMB
213.133.122[.]42/icon.png
51.159.28[.]101/icon.png
139.59.179[.]55/icon.png
91.208.138[.]8/icon.png

La presente información se provee “como está” sin garantía o condición de ninguna naturaleza, ya sea expresa o implícita. El uso de esta información es responsabilidad del usuario final.

         Mejorando la seguridad de enrutamiento con RPKI – Lo que necesita saber

Los clientes deberían verificar sus índices IP para prevenir la caída del tráfico.

En el momento que hizo clic en el enlace para leer este blog, desencadenó una serie de acciones que dirigieron sus datos a través de Internet a esta página, utilizando la ruta más eficiente posible. A lo largo del camino, a medida que los datos viajaban desde allí hasta aquí, se encontraron con docenas de salidas posibles, cada una de ellas anunciando su disponibilidad de conducirlos (y a usted) hasta aquí, a este blog.

Debido a que hay alrededor de un millón de rutas de red posibles en todo el mundo, Internet global cuenta con un protocolo estándar para determinar la mejor ruta posible para cada viaje a lo largo de una red. Se llama Border Gateway Protocol (BGP) -protocolo de puerta de enlace de frontera- y es como el Google Maps de las redes. Sin él, el tráfico no tendría una ruta a seguir, y mucho menos un camino que lo mantuviera libre de accidentes y trampas de velocidad. Sería un poco como conducir de noche de Nueva York a Los Ángeles. Sin un mapa. Y con los ojos vendados.

Cuando se creó BGP en 1989, se basó en la confianza mutua entre las redes que anunciaban rutas seguras, precisas y no alteradas maliciosamente. Este modelo fue suficiente en los primeros días del desarrollo de Internet; sin embargo, se ha vuelto cada vez más vulnerable a errores de configuración o abuso por parte de actores maliciosos que buscan redirigir las rutas para lograr objetivos delictivos.

Para ayudar a cerrar esta brecha en la seguridad, un número cada vez mayor de proveedores de red se ha comprometido a habilitar la infraestructura de clave pública de recursos (RPKI). El 25 de marzo de 2021, Lumen “activará el interruptor” y comenzará a validar rutas utilizando RPKI en nuestro núcleo de Internet AS3356 global.

¿Qué es la RPKI?
RPKI es un marco voluntario destinado a proteger la infraestructura de enrutamiento de Internet y evitar el secuestro de rutas y otras inconsistencias. Y lo hace verificando que un sistema específico esté autorizado a utilizar sus prefijos de IP establecidos. Estas autorizaciones, conocidas como Autorizaciones de origen de ruta (ROA), tienen lugar en el nivel del Registro Regional de Internet (RIR), de modo que las direcciones IP están vinculadas de manera certificable a una autoridad confiable.

Los proveedores de servicios IP pueden usar RPKI para validar los anuncios de rutas IP, lo que ayuda a garantizar que se permitan los anuncios válidos y se eliminen los anuncios inválidos.

Cómo funciona RPKI
Los propietarios de las direcciones IP publican sus ROA con certificación RIR, que establecen: 1) qué sistema autónomo está autorizado para originar determinados prefijos de IP; y 2) la longitud de esos prefijos. RPKI valida las ROA mediante la validación de origen de ruta (ROV) de BGP, un proceso que verifica el sistema de origen y la longitud del prefijo publicado en la ROA.

Una vez implementado, Lumen utilizará la validación de ruta RPKI en todas las sesiones de BGP tanto para clientes como para pares. Los servidores de validación RPKI de Lumen descargan las ROA, las examinan y luego envían las tablas a los enrutadores que pueden determinar la validez de un prefijo de IP. Posteriormente los prefijos de IP se etiquetan y manejan de la siguiente manera:

Habilitando la RPKI en el núcleo de Internet AS3356 de Lumen
Una vez que la RPKI está habilitada y activa en la red de Lumen para sesiones BGP tanto de pares como de clientes, no habrá ningún requisito o proceso para «solicitar» la RPKI porque ésta ya estará «activa».

• Los clientes que tengan ROA existentes y establecidas recibirán inmediatamente la validación del origen de la ruta BGP a través de RPKI de Lumen.
• Los clientes que establezcan nuevas ROA recibirán la validación del origen de la ruta BGP una vez que se complete la ROA.
• Los clientes que no tengan ROA no se verán afectados y los anuncios de ruta BGP operarán con normalidad (a menos que esa ruta sea realmente propiedad de otra entidad con una ROA que solo permita su ASN de origen).

Los clientes no tendrán la opción de desconectar o desactivar la RPKI. Todas las sesiones de clientes y pares externos serán validadas y no haremos excepciones ni permitiremos sesiones especiales no verificadas.

¡Asegúrese de que sus prefijos de IP no se eliminen!
Los clientes deberían usar la Looking Glass de Lumen – https://lookingglass.centurylink.com  para validar cómo se marcan sus prefijos de IP en la red de Lumen. Los prefijos de IP inválidos se eliminarán para todos los pares y clientes a partir del 25 de marzo.

community “rpki-valid” members “3356:901”
community “rpki-invalid” members “3356:902”
community “rpki-unknown” members “3356:903”

Recursos Adicionales
Si tuviera preguntas respecto de la adopción de RPKI de Lumen, contáctese por favor con un miembro de su equipo de cuentas, o envíe un email a RPKI Support. Asimismo puede visitar el sitio web de Lumen para encontrar información adicional sobre RPKI, que incluye:
• Cómo establecer las ROA
• Información sobre RPKI y Servicio de mitigación de DDoS de Lumen
• Preguntas frecuentes

Leia o post original em inglês > https://blog.lumen.com/lumen-enhances-routing-security-with-resource-public-key-infrastructure-rpki/