Powstaje 13 mln złośliwych domen miesięcznie

Andrzej Niziołek, Veeam

Akamai, firma zajmująca się przechowywaniem danych, monitorowaniem i optymalizacją pracy w Internecie, oznaczyła tylko w I poł. 2022 r. prawie 79 mln nowo obserwowanych domen (NOD), jako złośliwe. Oznacza to 13 mln wykryć złośliwych domen miesięcznie. Jednym z największych zagrożeń generowanych przez te domeny staje się ransomware

NOD to dowolna domena, do której wpłynęło pierwsze zapytanie w czasie ostatnich 60 dni, zaś domena złośliwa to taka, która prowadzi do strony lub witryny docelowej, w której zostały zainstalowane mechanizmy kontrolowania złośliwego oprogramowania lub samo oprogramowanie. Ma to na celu wyłudzanie, rozpowszechnianie lub powodowanie innego typu destrukcji w Internecie. Jak stwierdzono na blogu Akamai, zbiór danych o NOD, to obszar w którym „można znaleźć świeżo zarejestrowane nazwy domen, literówki i domeny, które bardzo rzadko są wyszukiwane w skali globalnej”, rośnie on średnio o 12 mln NOD dziennie.

Akamai wykrywa złośliwe domeny na kilka sposobów. Pierwszym z nich jest przegląd listy znanych algorytmów generowania domen użytych do ich stworzenia (DGA), co umożliwia przy pomocy 30-letniej listy predykcyjnej, zidentyfikować domeny i przewidywać jak będą działać. Domeny utworzone przy pomocy DGA są często wykorzystywane przez cyberprzestępców do udostępniania złośliwego oprogramowania, hostowania stron phishingowych, itp., ponieważ mogą być rejestrowane zbiorczo nawet w przypadku krótkotrwałych kampanii. Teoretycznie miało to pomóc marketingowi i reklamie w Internecie, tymczasem pomogło także cyberprzestępcom.

Dla przykładu, jeśli potrzebują oni kilku losowo wyglądających nazw domen, z których mogliby przeprowadzać ataki, uruchamiać serwery dowodzenia i kontroli botnetu lub hostować złośliwe strony, nie chcą oczywiście, aby te domeny były łatwo odgadnięte i zablokowane przez np. filtry bezpieczeństwa sieci. Algorytm generuje deterministyczne serie domen, rejestruje je, a użyte przez cyberprzestępców złośliwe oprogramowanie lub aplikacje phishingowe może przewidzieć adresy domeny, których te malware musi użyć w danym momencie i połączyć się z nimi.

Wykrywanie oparte na NOD jest również prowadzone poprzez użycie „ponad 190 reguł wykrywania specyficznych dla NOD”, które wykorzystuje Akamai i które, jak twierdzi, są w stanie określić czy dana domena jest złośliwa. Akamai uważa, że wśród 79 milionów złośliwych NOD wykrytych w I poł. 2022 r. tylko 0,00042% trafień było fałszywych.

Akamai twierdził, że ocenił swój system wykrywania NOD w porównaniu z „dużym i dobrze znanym agregatorem informacji o zagrożeniach”, a jego wyniki na pierwszy rzut oka budzą pewne wątpliwości. Analizując wszystkie oznaczone przez niego złośliwe NOD i porównując je z nazwami domen w agregatorze, o które zapytano przynajmniej raz, na blogu Akamai stwierdzono, że w agregatorze brakowało 91,4% wykryć złośliwych domen.

– Odkryliśmy również, że spośród nazw, które udało nam się znaleźć, ponad 99,9% miało „reputację” 0, co oznacza, że ​​nie zostały one jeszcze w ogóle oznaczone, a nie jako neutralne lub złośliwe – napisano na blogu Akamai.

Analitycy Akamai stwierdzili, że różnice w połączeniu z ogłoszonym niskim wskaźnikiem fałszywych trafień dowodzą, że do zbudowania pełnego obrazu zagrożeń cybernetycznych potrzebna jest szeroka gama metod wykrywania. „Potrzeba wieloaspektowego, kompleksowego podejścia, by za pomocą obu systemów – agregatora i bazy NOD – wykryć większość zagrożeń. Tu baza NOD zapewnia dużą wartość uzupełniającą” – napisali Stijn Tilborghs i Gregorio Ferreira z Akamai. Warto dodać, że podobną działalnością co Akamai zajmuje się również Cisco, oferując system wykrywania „nowo widzianych domen”, który sprawdza dzienniki DNS i oznacza potencjalne złośliwe witryny. Podobne rozwiązania oferują firmy cyberbezpieczeństwa Farsight i Palo Alto Networks.

Nie jest jasne, jak te usługi mają się do usług Akamai, jednak wszystkie one wskazują, że nowo obserwowane domeny są znanym problemem i wiele firm usiłuje je monitorować i wykrywać ich „uzłośliwianie”. Jednym z najważniejszych zagrożeń generowanych przez tego typu domeny jest malware ransomware rozsyłane przy pomocy phishingu lub za pomocą witryn lub portali. Jak dowiedział się ISBiznes.pl firmy nie są gotowe na tego typu ataki.

– Z naszego badania Veeam Ransomware Trends Report 2022 wynika, że brakuje właściwych procedur na wypadek ataku, wiele przedsiębiorstw zaniedbuje też kwestię sprawdzania kopii zapasowych i powiązanych procesów. Aż 20% w ramach strategii reagowania wymienia zapłacenie okupu, które nie daje żadnej gwarancji odzyskania zasobów. Ataki tymczasem są powszechne i dotkliwe. Cyberprzestępcom udaje się zaszyfrować średnio około połowy danych biznesowych, a ofiary są w stanie odzyskać tylko 72% z nich. W Polsce sytuacji dodatkowo nie ułatwia fakt, że firmy wciąż w niskim stopniu korzystają z chmury do zabezpieczania swoich danych – powiedział ISBiznes.pl Andrzej Niziołek, dyrektor regionalny na Europę Wschodnią w firmie Veeam.