El panorama de la ciberseguridad ha sido testigo de un aumento sin precedentes en la actividad de escaneo malicioso, con Honeypots Dshield que registran más de un millón de entradas de troncos en un solo día por primera vez en su historia operativa.
Esta escalada dramática representa un cambio significativo de los patrones de actividad de honeypot típicos, donde tales eventos de alto volumen se consideraron anteriormente excepcionales en lugar de ocurrencias de rutina.
La actividad récord se ha mantenido durante varios meses, con múltiples hongos que generan troncos de manera consistente superior a 20 GB por día y algunos alcanzan casi 58 GB en un solo período de 24 horas.
Esto representa un aumento sustancial del registro anterior de aproximadamente 35 GB, lo que indica una campaña coordinada y persistente de actividades de escaneo en Internet que se dirigen a vulnerabilidades y servicios basados en la web.
Analistas del centro de tormentas de Internet identificado que la fuente principal de este aumento de volumen de registro masivo proviene de los registros de honeypot web en lugar de las actividades tradicionales de escaneo de redes.
La investigación, realizada por el manejador Jesse La Culte, revela que este fenómeno no está aislado a los honeypots individuales, sino que representa un aumento sistemático en múltiples sistemas de monitoreo, lo que sugiere una evolución del paisaje de amenazas coordinada.
La actividad de escaneo demuestra patrones de orientación sofisticados, con actores de amenaza centrados en puntos finales de API específicos e interfaces de configuración.
El análisis de los patrones de tráfico revela que los atacantes están investigando sistemáticamente las aplicaciones web vulnerables, particularmente las rutas de orientación como/__ API __/V1/config/dominios y/__ API __/V1/Logon, que comúnmente se asocian con los sistemas de administración de redes empresariales y los mecanismos de autenticación.
Análisis de vectores de ataque y mecanismos de persistencia
El análisis técnico revela que las campañas de escaneo se originan a partir de rangos de subred distribuidos, con una actividad notable de las redes que incluyen 45.146.130.0/24, 179.60.146.0/24 y 185.93.89.0/24, cada uno generando cientos de miles a millones de solicitudes individuales.
Los atacantes demuestran persistencia a través de intentos repetidos en múltiples direcciones IP dentro de estos rangos, lo que sugiere el uso de botnets o infraestructura comprometida para operaciones de reconocimiento sostenidas.
Los volúmenes están aumentando, pero también están sucediendo con más frecuencia, demostrado por un aumento significativo en el tamaño promedio de los registros de honeypot web almacenados localmente (fuente – Centro de tormenta de Internet)
Los patrones de escaneo indican un enfoque metódico para el descubrimiento de vulnerabilidad, con actores de amenaza que enumeran sistemáticamente los puntos finales de aplicaciones web comunes e interfaces API.
Este comportamiento sugiere la preparación para ataques a mayor escala, ya que la inteligencia recopilada podría facilitar las campañas de explotación específicas contra los sistemas vulnerables identificados.
Los requisitos de almacenamiento para los equipos de seguridad han aumentado dramáticamente, y algunas organizaciones ahora requieren hasta 140 GB de capacidad de almacenamiento solo para registros de honeypot web entre ciclos de respaldo semanales, destacando el impacto operativo de esta actividad de amenaza intensiva.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
