Gli Stati Uniti hanno il maggior numero di domini pericolosi, seguiti da Italia, Germania e Russia

Covid-19, è emergenza domini pericolosi

I ricercatori di Unit 42 hanno analizzato 1,2 milioni di newly observed hostnames (NOH) contenenti parole chiave relative alla pandemia COVID-19 nelle 7 settimane dal 9 marzo 2020 al 26 aprile 2020. Oltre 86.600 sono classificati come “ad alto rischio” o “maligni” (C2, malware o phishing). Gli Stati Uniti hanno il maggior numero di domini pericolosi (29.007), seguiti da Italia (2.877), Germania (2.564) e Russia (2.456).

I ricercatori hanno scoperto che oltre 56.200 NOH sono ospitati in uno dei quattro principali fornitori di servizi cloud (CSP), come Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP) e Alibaba:

  • 70.1% in AWS
  • 24.6% in GCP
  • 5.3% in Azure
  • 0.1% in Alibaba

I ricercatori hanno notato che alcuni domini pericolosi risolvono a più indirizzi IP, e alcuni indirizzi IP sono associati a più domini. Questa mappatura multipla si verifica spesso in ambienti cloud a causa dell’uso di reti di distribuzione di contenuti (CDN) e può rendere inefficaci i firewall basati su IP. Alcuni risultati importanti di questa ricerca sono:

  • In media, ogni giorno vengono creati 1.767 domini a tema COVID-19 ad alto rischio o maligni
  • 2.829 degli oltre 86.600 domini ospitati dal cloud pubblico sono considerati ad alto rischio o malevoli
    • 79.2% in AWS
    • 14.6% in GCP
    • 5.9% in Azure
    • 0.3% in Alibaba
  • Attività dannose come il phishing e la diffusione di malware sono mascherate nel cloud.
  • Maggiori i prezzi e più rigorosi i processi di screening/monitoraggio, meno i malintenzionati sono disposti a ospitare domini maligni nel cloud pubblico.

Le minacce provenienti dal cloud possono essere più difficili da difendere perché i malintenzionati sfruttano le risorse del cloud per eludere il rilevamento e amplificare l’attacco. Le organizzazioni devono disporre di una piattaforma di sicurezza nativa del cloud e di un firewall più avanzato per proteggere i loro ambienti. Le reti di Palo Alto Networks monitorano continuamente i nuovi hostname dannosi. Prisma Cloud e VM-series forniscono funzionalità firewall di livello 7 in ambienti cloud per prevenire questo tipo di attività dannose.

domini pericolosi
Figura 1. La mappa delle minacce

Domini a tema Covid-19

I domini correlati a COVID-19 sono stati ottenuti dal dataset RiskIQ, che traccia i NOH che contengono parole chiave relative a COVID-19 – tra cui “coronav”, “covid”, “ncov”, “pandemia”, “vaccino” e “virus”. 86.607 nomi a dominio sono stati classificati come ad alto rischio o dannosi da Palo Alto Networks URL Filtering. Un sito è classificato come dannoso se si osservano comandi e controlli (C2), distribuzione di malware o phishing. Un sito è classificato ad alto rischio se è stato precedentemente confermato come dannoso, ospitato su ISP a prova di proiettile o condivide domini con altri siti dannosi. Il dataset è stato arricchito utilizzando AutoFocus, Palo Alto Networks URL Filtering, il database WHOIS e la geolocalizzazione IP. Si noti che, a causa delle dimensioni del dataset, non siamo stati in grado di verificare individualmente la relazione tra ciascun nome di dominio e la pandemia COVID-19.

La figura 2 descrive il numero di NOH che contengono ciascuna parola chiave e il numero di questi NOH osservati ogni settimana. La Figura 3 illustra i tipi di nomi a dominio dannosi identificati nel dataset. In media, ogni giorno vengono creati 1.767 nomi di dominio ad alto rischio o maligni legati a COVID-19. La Figura 1 mostra dove sono ospitati i nomi di dominio dannosi. Gli Stati Uniti hanno il numero più alto di nomi di dominio ad alto rischio o dannosi (29.007), seguiti da Italia (2.877), Germania (2.564) e Russia (2.456).

domini pericolosi
Figura 2. NOH contenenti parole chiave correlate a COVID-19 dal 9 marzo al 26 aprile 2020
domini pericolosi
Figura 3

56.212 dei NOH sono ospitati in uno dei 4 principali fornitori di servizi cloud, AWS, Azure, GCP o Alibaba. 39.494 (70%) di questi sono ospitati in AWS e solo 61 (0,1%) in Alibaba. Palo Alto Networks ha identificato 2.829 NOH ospitati in cloud classificati come “ad alto rischio” o “maligni”. La figura 4 mostra la distribuzione dei NOH tra i 4 CSP. Il grafico a sinistra è la distribuzione di tutti i NOH ospitati nelle nuvole, quello a destra è la distribuzione dei NOH “maligni” nel cloud pubblico. I ricercatori non hanno indagato sul perché un grande volume di NOH sia stato ospitato su AWS rispetto ad altri CSP di rilievo. Nulla di quanto scoperto durante l’analisi ha indicato una vulnerabilità fondamentale.

domini pericolosi
Figura 4. Distribuzione dei NOH nel cloud pubblico

Conclusioni

Le minacce informatiche evolvono rapidamente e sfruttano gli eventi del mondo reale per ingannare le vittime. Con migliaia di domini pericolosi che compaiono online ogni giorno, è imperativo proteggere ogni endpoint con strumenti di monitoraggio continuo e di prevenzione automatica delle minacce, perché le applicazioni e i servizi ospitati nel cloud sono esposti alle stesse minacce degli endpoint non in-the-cloud. Il problema diventa ancora più complicato quando si lavora in un ambiente multi-cloud. A causa della complessità della gestione del cloud, le errate configurazioni indotte dagli utenti portano alla maggior parte degli incidenti di sicurezza. Le piattaforme di sicurezza cloud-native (CNSP) aiutano le organizzazioni a monitorare e proteggere le risorse tra più fornitori di cloud, carichi di lavoro e ambienti in-the-cloud ibridi.