En la lucha contra el cibercrimen, tiene sentido que las empresas estén familiarizadas con las estafas que utilizan los ciberdelincuentes, como las botnets. Esto incluye, entre otras cosas, saber qué es una botnet y A Guardicore le gustaría conseguirlo con una enciclopedia de botnets. La información en esta base de datos de conocimiento debe actualizarse continuamente para que las campañas de botnet actuales y pasadas estén bien documentadas.
Botnet - infectado, secuestrado y abusado
Botnet y botnet son dos términos que se usan como sinónimos para el mismo proceso: una botnet consiste en una red de computadoras secuestradas. Los propietarios de estas computadoras secuestradas generalmente no tienen idea. Primero, la computadora de destino que se integrará en la botnet está infectada con malware. Gracias a este malware, el atacante puede tomar el control del sistema: la computadora reacciona como un robot, de ahí el "bot".
Las computadoras secuestradas se pueden controlar a través de los llamados servidores de comando y control (servidores C&C). Los propios atacantes que ejercen el control sobre las redes de bots se denominan pastores o maestros de bots. De hecho, hacerse cargo de una máquina como parte de la botnet es el resultado de una máquina mal protegida: el atacante puede asumir el rol de administrador. Entonces, los datos pueden verse, utilizarse indebidamente y manipularse, y la computadora con todas sus funciones y servicios también puede utilizarse indebidamente con fines delictivos.
Los dispositivos móviles como teléfonos inteligentes o tabletas también están en riesgo
Por lo tanto, los usuarios de las computadoras secuestradas se vuelven parte de estas actividades delictivas sin querer. Las computadoras controladas a distancia se utilizan para diversas actividades: envío de spam, almacenamiento de archivos ilegales, distribución de malware o incluso ataques DDoS.
Por cierto, no solo las computadoras corren el riesgo de convertirse en parte de botnets, sino todos los dispositivos en red con acceso a Internet. Aquí nos referimos en concreto a los dispositivos IoT, que suelen estar muy alejados del nivel de protección de los ordenadores comunes. Pero los dispositivos móviles como teléfonos inteligentes o tabletas también pueden ser secuestrados y agregar botnets.
Botnets: consejos y medidas de protección
Debido a la inmensa y cada vez mayor propagación de dispositivos en red, existe una alta probabilidad de que el riesgo de propagación de botnets también esté aumentando. Como has leído, los dispositivos como computadoras o teléfonos inteligentes pueden ser tomados por brechas de seguridad en el software o por usuarios distraídos o ignorantes. En conclusión, esto significa que una combinación de conciencia y medidas técnicas reduce la probabilidad de convertirse en parte de una red de bots sin querer. En el aspecto técnico, existen estas medidas:
- Actualizaciones: siempre ejecute actualizaciones en todos sus dispositivos de manera oportuna; Lo ideal es automatizar la ejecución de actualizaciones para que haya la menor cantidad posible de brechas de seguridad en el software.
- Cortafuegos: El cortafuegos protege una red de accesos no deseados desde el exterior. El firewall generalmente está integrado en el enrutador y brinda protección en toda la red.
Software AV: Utilice un software antivirus que esté siempre actualizado. Elija una solución antimalware profesional con detección de malware basada en firmas y comportamiento. - Supervisión: compruebe los sistemas y el tráfico de la red a intervalos regulares para descubrir cualquier infección lo antes posible. Una actividad sospechosa como la siguiente puede indicar que el dispositivo pertenece a una botnet:
- Cargas de red e Internet inusualmente altas
- Volumen extremadamente elevado de correos electrónicos salientes
- Envío de correo electrónico significativamente retrasado, potencia informática significativamente retrasada
- Escaneo masivo de uno o más puertos desde el exterior
- Quejas de terceros sobre correos electrónicos no deseados que supuestamente provienen de su propio servidor de correo electrónico
Tiene sentido que las empresas estén fundamentalmente protegidas contra los ataques DDoS y el spam. También es beneficioso, tanto para particulares como para empresas, observar de cerca los dispositivos IoT utilizados. Las soluciones antimalware que se almacenan localmente en el respectivo dispositivo IoT apenas existen. Por lo tanto, se necesita una solución que sea capaz de detectar malware antes de que pueda llegar al dispositivo y que también proteja las vulnerabilidades del exterior. Aquí, por ejemplo, la aplicación de parches virtuales sería una buena idea: se puede usar un firewall de aplicaciones web (WAF) para regular quién puede acceder a la aplicación relevante y cómo; las aplicaciones a proteger quedan así blindadas contra accesos no deseados y/o maliciosos. Básicamente, sin embargo, parchear, es decir, reparar vulnerabilidades, es mejor que parchear virtualmente: bloquear a terceros no autorizados en lugar de reparar una vulnerabilidad.
Enciclopedia de botnets de Guardicore
Guardicore es una empresa israelí de seguridad en la nube y centros de datos. La Enciclopedia interna de Botnets pretende resumir las amenazas para las empresas en un lugar central y de libre acceso. Esta enciclopedia de botnets se basa en Guardicore Global Sensors Network; una red de sensores de detección desplegados en centros de datos y entornos de nube en todo el mundo.
Estos sensores no solo pueden registrar completamente los flujos de ataque, sino también evaluarlos. Todo este conocimiento se incorpora a la enciclopedia de botnets, que pueden utilizar los departamentos de TI, los equipos de seguridad, los investigadores o la comunidad de ciberseguridad para comprender mejor y protegerse contra las amenazas. Las partes interesadas pueden encontrar botnets a través de la búsqueda de texto libre o navegar por las entradas a través de indicadores de compromiso (IoC); por ejemplo, por dirección IP, nombre de archivo o nombre de servicio.
Más sobre esto en el blog de PSW-Group.de