Durante uma grande movimentação hacker ocorrida no dia 12/02, que atingiu um novo recorde no número de IPs exercendo atividade hacker recente, a HACKNET identificou a existência de uma grande rede sendo usada para ataques de DNS refletido/amplificado.
Nessa rede foi identificada a impressionante quantidade de 40.216 servidores, espalhados por 181 países, o que representa um enorme "poder de fogo" para ataques de DDoS.
No topo da lista dos países dessas origens está a Indonésia, com o Brasil ocupando a 2ª posição no ranking.
Nosso especialista em segurança cibernética, André Barreto, destaca que esses dispositivos pertecem a, pelo menos, 10.289 empresas diferentes e que, grande parte delas, não possuem vínculo com o crime mas que, devido à exposições desnecessárias e configurações não restritivas, acabaram se tornando instrumentos na "artilharia" de hackers maliciosos.
"Grande partes desses endereços são de equipamentos e servidores legítimos, mas que estão expondo desnecessariamente o serviço de DNS ou, ainda, configurados desnecessariamente para responder como DNS recursivo para o mundo."
Analisando o contexto dos IPs alocados para o Brasil, identificamos que os endereços estão associados com 1.065 empresas diferentes, sendo boa parte empresas de pequeno porte, inclusive 214 delas identificadas como empresas "ME".
Outro dado que chamou a atenção do analista foi a grande quantidade de provedores de internet, totalizando 798 empresas da área de telecomunicações e networking, o que indiretamente pode colocar em risco a estabilidade e até mesmo a segurança de milhares, talvez milhões de seus clientes.
Como ocorreu o aumento de atividade hacker?
O primeiro ponto que chamou a atenção foi o aumento vertiginoso na quantidade de IPs na base de conhecimento da HACKNET, que bateu um novo recorde, atingindo o volume de 83.631 IPs.
Fonte: https://www.hacknet.com.br/
A identificação da rede de servidores DNS sendo explorados aconteceu devido à grande quantidade de endereços IP vistos enviando resposta de DNS para consultas que não haviam sido feitas pela rede neural.
A partir disso, chegou-se a conclusão de que esses IPs estavam sendo usados para ataques de DNS refletido/amplificado. As informações foram analisadas pela equipe de segurança da NETSENSOR e foi identificado o surgimento de milhares de novos endereços IP que, até então, não haviam sido detectados com atividade hacker.
Blocos de endereçamento IP pertencentes a organizações que não eram vistas.
A grande movimentação de atividades hackers teve como origem blocos de endereços IP pertencentes a diversas empresas que anteriormente não eram vistas.
Essa informação trás fortes indícios de exploração de equipamentos e servidores legítimos, pertencentes a empresas que até então não eram vistas exercendo algum tipo de atividade maliciosa. Empresas essas que, provavelmente, não possuem vínculo com os atacantes, mas cujas estruturas estão sendo exploradas pelos criminosos.
Onde a detecção ocorreu?
O aumento de atividade hacker foi detectado na rede mundial da HACKNET, sendo que a grande maioria foi vista na estrutura localiza em Moscou, na Rússia.
Além disso, alguns dos IPs detectados nessa rede também foram vistos gerando algum tipo de tráfego malicioso contra as redes de clientes corporativos que utilizam tecnologias da NETSENSOR como parte da sua linha de defesa contra ataques cibernéticos.
Como foi feita a detecção?
Para a detecção foi utilizada a tecnologia da HACKNET, que é uma rede neural artificial voltada à segurança cibernética. Ela coleta, analisa e cataloga informações sobre atividades hackers recentemente detectadas em diversos pontos do planeta.
A partir disso, os analistas de segurança podem fazer ajustes e tomar maiores cuidados com novos alvos que estejam sendo buscados na internet.
Além disso, um resumo das atividades hackers é disponibilizado diariamente no site https://www.hacknet.com.br, incluindo os serviços mais buscados por hackers, os países que mais geraram atividades hackers, os pontos onde essas atividades foram detectadas e as organizações com as quais essas fontes maliciosas estão vinculadas.
Já nas redes de clientes corporativos, a detecção foi feita utilizando uma tecnologia baseada em aprendizado de máquina (machine learning).
Quais foram os IPs detectados? A lista será disponibilizada para consulta?
Acreditamos que os IPs que compõe a lista é formada, quase que em sua totalidade, por endereços pertencentes a empresas legitimas, que estão tendo as suas estruturas exploras por criminosos para gerar ataques de DDoS contra outras vítimas. Por esse motivo, iremos disponibilizar a lista completa dos IPs para download, porém, por questões éticas, não irá disponibilizar a lista de empresas as quais as estruturas estão vinculadas.
Caso algum endereço da sua estrutura esteja nessa lista, procure uma consultoria de segurança cibernética especializada o mais breve possível. Caso queira saber mais ou precise de ajuda, entre em contato conosco através do e-mail comercial@netsensor.com.br.
Veja a lista de IPs explorados para ataques de DNS refletido/amplificado em: https://hacknet.com.br/download/hacknet_ddos_dns_servers.txt
Ou faça download da lista completa:
Você quer aumentar a segurança e ficar atualizado sobre atividades hackers? Então acompanhe as informações da HACKNET.
Leia também:
Comments