Cyberataki wciąż przybierają na sile – Europa jest celem większej liczby ataków przeprowadzanych z jej własnego terenu niż jakikolwiek inny region świata.

Jak wynika z najnowszej analizy zagrożeń przeprowadzonej przez F5 Labs[1], Europa jest celem większej liczby ataków przeprowadzanych z jej własnego terenu niż jakikolwiek inny region świata. Większość ataków jest inicjowana z adresów IP zlokalizowanych w Holandii, a w dalszej kolejności, z tych znajdujących się w Stanach Zjednoczonych, Chinach, Rosji i Francji.

 

Europejskie systemy są atakowane z adresów IP z całego świata. Krajem, z którego pochodziło najwięcej ataków, okazała się Holandia. Na kolejnych miejscach pierwszej dziesiątki znalazły się: Stany Zjednoczone, Chiny, Rosja, Francja, Iran, Wietnam, Kanada, Indie i Indonezja. Warto zauważyć, że z Holandii pochodziło 1,5-krotnie więcej ataków na systemy europejskie niż ze Stanów Zjednoczonych i Chin łącznie, a także 6-krotnie więcej niż z Indonezji.

 

Najczęściej wykorzystywane w atakach sieci (ASN) i dostawcy usług internetowych

Trzy sieci, z których wykryto najwięcej ataków (holenderska sieć HostPalace Web Solutions, francuska – Online SAS i NForce Entertainement z Holandii) to dostawcy usług hostingowych, którzy regularnie pojawiają się na sporządzanych przez F5 Labs listach sieci najczęściej używanych przez cyberprzestępców[2]. 72% wszystkich zarejestrowanych w raporcie numerów ASN[3] reprezentuje dostawców usług internetowych, pozostałe 28% to dostawcy usług hostingowych. W ramach przeprowadzonych badań analitycy F5 Labs wskazali też 50 adresów IP, które są najczęściej wykorzystywane do atakowania celów w Europie.[4] Z tą listą powinni zapoznać się przedsiębiorcy i sprawdzić dzienniki swoich sieci pod kątem połączeń z wyszczególnionymi w niej adresami IP. Ze względów bezpieczeństwa adresom tym powinni się również przyjrzeć właściciele sieci.

 

Najczęściej atakowane porty

Dzięki analizie najczęściej atakowanych portów, ekspertom z F5 Labs udało się określić typ systemów, które znajdują się na celowniku cyberprzestępców. Najczęściej atakowany port w Europie (port 5060) wykorzystywany jest w telefonii internetowej do komunikacji za pośrednictwem telefonów i systemów wideokonferencyjnych. Jak wynika z analiz ruchu związanego z atakami ukierunkowanymi na określoną lokalizację, port ten regularnie jest celem intensywnych ataków w trakcie globalnych konferencji dyplomatycznych, takich jak niedawne ważne szczyty Donalda Trumpa z Kim Dzong Unem[5] i Władimirem Putinem[6].

 

Skuteczne zabezpieczenie

Według ekspertów F5 firmy powinny nieustannie skanować swoje systemy i porty pod kątem zewnętrznych luk w zabezpieczeniach, a każdy system narażony na zewnętrzne ataki na porty najczęściej wybierane przez przestępców, powinien być traktowany priorytetowo przy konfiguracji zapory lub zarządzaniu lukami w zabezpieczeniach.

 

„Administratorzy sieci i inżynierowie zabezpieczeń powinni przejrzeć dzienniki sieci pod kątem połączeń z adresami IP, z których najczęściej pochodzą ataki. W przypadku ich wykrycia, należy zgłosić nadużycie właścicielom sieci o danym numerze ASN i dostawcom usług internetowych, aby mogli oni wyłączyć systemy przestępców” — mówi Sara Boddy, dyrektor ds. badania zagrożeń w F5 Labs.

 

Kłopotliwe może być prowadzenie dużych czarnych list, podobnie jak blokowanie adresów IP, które należą do puli adresów określonego dostawcy usług internetowych. Mogą one bowiem zapewniać dostęp do Internetu w miejscach zamieszkania klientów atakowanej firmy. „W takich przypadkach systemem atakującym najprawdopodobniej jest zainfekowane urządzenie IoT, którego właściciele nie zdają sobie sprawy z zagrożenia i nie mają możliwości jego usunięcia” – dodaje Sara Boddy.

 

Zablokowanie ruchu z całej sieci o konkretnym numerze ASN lub od określonego dostawcy usług internetowych mogłoby uniemożliwić współpracę użytkowników z daną firmą. W takim przypadku lepszym rozwiązaniem będzie zablokowanie wyłącznie dostawcy usług internetowych obsługującego kraj, z którym dane przedsiębiorstwo nie współpracuje w oparciu o geolokalizację na poziomie kraju.

 

50 najczęściej atakujących sieci (numerów ASN) od największej do najmniejszej liczby ataków.

 

ASNASN OrganizationCountryIndustry
133229HostPalace Web Solution PVT LTDNetherlandsHosting
12876Online S.a.s.FranceHosting
43350NForce Entertainment B.V.NetherlandsISP
16276OVH SASFranceHosting
36352ColoCrossingUnited StatesISP
4134ChinanetChinaISP
50113MediaServicePlus LLCRussiaISP
56005Henan Telcom Union Technology Co., LTDChinaHosting
45899VNPT CorpVietnamISP
17974PT Telekomunikasi IndonesiaIndonesiaISP
4837CNCGROUP China169 BackboneChinaISP
44244Iran Cell Service and Communication CompanyIranISP
3462Data Communication Business GroupTaiwanISP
7552Viettel CorporationVietnamISP
197207Mobile Communication Company of Iran PLCIranISP
58271FOP Gubina Lubov PetrivnaUkraineHosting
8048CANTV ServiciosVenuzuelaISP
4766Korea TelecomSouth KoreaISP
12880Information Technology Company (ITC)IranISP
18403The Corporation for Financing & Promoting Tech…VietnamISP
6739Vodafone Ono, S.A.SpainISP
45090Shenzhen Tencent Computer Systems Company LimitedChinaISP
9121Turk TelekomTurkeyISP
206792IP Khnykin Vitaliy YakovlevichRussiaISP
23650CHINANET jiangsu province backboneChinaISP
9829National Internet BackboneIndiaISP
31549Aria Shatel Company LtdIranISP
8151Uninet S.A. de C.V.MexicoISP
49877RM Engineering LLCRussiaHosting
12389PJSC RostelecomRussiaISP
9299Philippine Long Distance Telephone CompanyPhilippinesISP
4812China Telecom (Group)ChinaISP
4808China Unicom Beijing Province NetworkChinaISP
8452TE DataNorwayISP
16125UAB Cherry ServersLithuaniaHosting
29073Quasi Networks LTD.NetherlandsHosting
60999Libatech SALLebanonISP
31034Aruba S.p.A.ItalyHosting
9498BHARTI Airtel Ltd.IndiaISP
7922Comcast Cable Communications, LLCUnited StatesISP
44050Petersburg Internet Network ltd.RussiaISP
60781LeaseWeb Netherlands B.V.NetherlandsHosting
42590Telemost LLCUkraineHosting
393406Digital Ocean, Inc.United StatesHosting
43754Asiatech Data Transfer Inc PLCIranHosting
23969TOT Public Company LimitedThailandISP
18881TELEFÔNICA BRASIL S.ABrazilISP
16509Amazon.com, Inc.United StatesHosting
55577Atria Convergence Technologies pvt ltdIndiaISP
4230CLARO S.A.BrazilISP

 

Note: The Quasi Networks (a known bulletproof hosting provider that did not respond to abuse complaints), ASN 29073 has been “unassigned” as of March 24th, 2019.

Organizations should check their network logs for connections from these IP addresses, and the owning networks should investigate these IP addresses for abuse. The networks of these IPs show up in the top attacking ASN’s list, but these top attacking IP’s are unique to Europe except for 2: 62.210.83.136 and 46.166.151.117.

 

Source IPASN OrganizationASNISPCountry
23.249.175.100ColoCrossing36352Net3United States
42.51.231.67Henan Telcom Union Technology Co., LTD56005CNISP-Union Technology (Beijing) Co.China
194.63.142.249MediaServicePlus LLC50113MediaServicePlus LLCRussia
37.49.231.160HostPalace Web Solution PVT LTD133229Estro Web Services Private LimitedNetherlands
37.49.231.132HostPalace Web Solution PVT LTD133229Estro Web Services Private LimitedNetherlands
62.210.84.142Online S.a.s.12876Free SASFrance
185.53.88.46Vitox Telecom209299 Estonia
185.254.122.17UGB Hosting OU206485Russia
37.49.231.188HostPalace Web Solution PVT LTD133229Estro Web Services Private LimitedNetherlands
167.114.1.144OVH SAS16276OVH HostingCanada
185.40.4.42MediaServicePlus LLC50113MediaServicePlus LLCRussia
62.210.83.56Online S.a.s.12876Free SASFrance
167.114.208.173OVH SAS16276OVH HostingCanada
37.49.231.187HostPalace Web Solution PVT LTD133229Estro Web Services Private LimitedNetherlands
62.210.86.106Online S.a.s.12876Free SASFrance
62.210.86.117Online S.a.s.12876Free SASFrance
62.210.88.58Online S.a.s.12876Free SASFrance
62.210.83.104Online S.a.s.12876Free SASFrance
37.49.231.236HostPalace Web Solution PVT LTD133229Estro Web Services Private LimitedNetherlands
37.49.231.122HostPalace Web Solution PVT LTD133229Estro Web Services Private LimitedNetherlands
62.210.83.136Online S.a.s.12876Free SASFrance
176.119.7.170FOP Gubina Lubov Petrivna58271FOP Gubina Lubov PetrivnaUkraine
216.170.120.176ColoCrossing36352Net3United States
185.107.83.129NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
185.107.80.62NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
185.107.80.153NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
46.166.142.35NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
192.227.220.213ColoCrossing36352ColoCrossingUnited States
46.166.187.179NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
185.107.80.31NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
46.166.187.2NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
210.124.164.133Korea Telecom4766LG DACOM CorporationRepublic of Korea
46.166.139.6NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
167.114.174.232OVH SAS16276OVH HostingCanada
46.166.187.4NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
185.53.88.71Vitox Telecom209299 Estonia
62.210.84.176Online S.a.s.12876Free SASFrance
46.166.148.3NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
149.56.45.214OVH SAS16276OVH HostingCanada
62.210.86.103Online S.a.s.12876Free SASFrance
37.49.231.77HostPalace Web Solution PVT LTD133229Estro Web Services Private LimitedNetherlands
46.166.142.27NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
46.166.187.177NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
137.74.180.145OVH SAS16276OVH SASFrance
178.215.173.22Telemost LLC42590Telemost LLCUkraine
37.49.231.159HostPalace Web Solution PVT LTD133229Estro Web Services Private LimitedNetherlands
62.210.142.89Online S.a.s.12876Free SASFrance
62.210.84.136Online S.a.s.12876Free SASFrance
46.166.151.117NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
62.210.84.153Online S.a.s.12876Free SASFrance

 

[1] Analitycy F5 Labs we współpracy z firmą Baffin Bay Networks zajmującą się analizą zagrożeń podjęli się zbadania globalnego środowiska ataków, aby lepiej zrozumieć zagrożenia w poszczególnych regionach, wyodrębnić wspólne cechy przestępców i powtarzające się atakowane porty oraz wskazać elementy unikalne. W serii przeprowadzonych badań przeanalizowano ataki, które miały miejsce w tym samym 90-dniowym okresie w Europie, Stanach Zjednoczonych, Kanadzie i Australii. Wnioski z badania F5 Labs zostały wyciągnięte na podstawie analizy ruchu związanego z atakami ukierunkowanymi na europejskie adresy IP w okresie od 1 grudnia 2018 r. do 1 marca 2019 r.

[2] https://www.f5.com/labs/search._hunt_for_IoT

[3] Autonomous System – zbiór adresów IP pod wspólną administracyjną kontrolą, ze spójną routing policy

[4] https://www.f5.com/labs/articles/threat-intelligence/regional-threat-perspectives–europe

[5] https://www.f5.com/labs/articles/threat-intelligence/russian-attacks-against-singapore-spike-during-trump-kim-summit

[6] https://www.f5.com/labs/articles/threat-intelligence/cyber-attacks-spike-in-finland-before-trump-putin-meeting