X

Bloqueado?

Visite Spamhaus Project

Ameaças de malware, como o Emotet e o Qakbot, estão ressurgindo, atingindo as corporações com grande impacto. Leia nossos artigos (em inglês) no Monthly Malware Digest da Spamhaus para ver mais detalhes sobre o intenso crescimento dessas famílias de malware. Mas o que essas ameaças têm em comum? Além do fato de as duas agirem como intermediadores de acesso inicial, os operadores desses botnets preferem usar dispositivos comprometidos para hospedar o comando e controle (CC) de botnet a usar servidores dedicados. Essas infecções de malware podem levar à exfiltração de dados e à criptografia por ransomware: uma situação que nenhum especialista em segurança cibernética ou administrador de rede deseja enfrentar. Veja aqui uma forma econômica e eficaz de se proteger contra elas.

Aplique dados de inteligência de ameaças à borda da sua rede

Organizações e operadores de rede podem emparelhar com os BGP Feeds usando seus equipamentos existentes e, assim, evitar despesas adicionais de capital com infraestruturas caras, o que proporciona uma excelente solução em termos de custo-benefício. Mesmo que você não tenha um ASN, a Spamhaus oferece suporte ao uso de ASNs privados para estabelecer sessões com nossos BGP Feeds.

Você pode aplicar essa inteligência de ameaças a qualquer roteador ou firewall moderno, como CISCO, Sophos ou Fortinet. Esses feeds são listas de endereços IP que impedem com eficiência o tráfego malicioso de dispositivos comprometidos no perímetro da sua rede que se comunicam com servidores de botnet CC externos. O bloqueio desse tipo de tráfego no nível da rede evita campanhas de spam, perda de dados e criptografia. Leia o Guia para iniciantes do BGP para entender melhor como esses feeds/comunidades funcionam.

Criamos uma nova comunidade BGP que oferece proteção contra o Emotet e malwares semelhantes

Até recentemente, a Spamhaus fornecia aos assinantes do BGP Feed acesso às três comunidades BGP a seguir, para usá-las com firewalls ou equipamentos roteadores e bloquear tráfego malicioso:

  • Don’t Route Or Peer (DROP). Esta é uma lista para “interromper todo o tráfego”, que inclui os piores espaços de IP que foram sequestrados ou arrendados por cibercriminosos. Os netblocks listados aqui são alocados diretamente por registradores da Internet já estabelecidos, por exemplo, o Regional Internet Registry (RIR)
  • Extended Don’t Route Or Peer (EDROP). Esta lista é uma extensão do dataset DROP que inclui netblocks subalocados.
  • Lista de controladores de botnet (BCL) — Dedicados. Endereços IP usados para hospedar um servidor de botnet CC, controlados pelos agentes de ameaças para dominar dispositivos infectados. Essa lista inclui apenas endereços IP operados com más intenções, ou seja, operados por cibercriminosos com o propósito único de hospedar um botnet CC.

Para proteger contra ameaças como Emotet e Qakbot, temos hoje uma quarta lista: Lista de controladores de botnet (BCL) — Comprometidos.

Como esse feed protege contra Emotet e Qakbot (entre outros)?

A maioria dos agentes de ameaças hospeda sua infraestrutura de botnet CC em hosts dedicados, que têm o propósito único de controlar botnets. Através do nosso feed BCL — Dedicados, oferecemos proteção contra essa infraestrutura.

Porém, atualmente, algumas das ameaças mais perigosas e dominantes (como Emotet e Qakbot) contam com dispositivos comprometidos, geralmente em linhas residenciais de Internet, para hospedar suas infraestruturas de botnet CC. Além disso, os operadores desses botnets se respaldam completamente na comunicação direta com o IP, sem usar nomes de domínio. Como isso, eles conseguem escapar dos mecanismos de segurança existentes, como DNS Firewalls (Response Policy Zones).

Essa lista recém-introduzida, o feed BGP BCL – Comprometidos, fecha essa lacuna nas suas defesas, protegendo contra tráfego malicioso em hosts comprometidos que atuam como servidores de botnet CC.

Qual é a relação com o abuse.ch?

Recentemente, iniciamos uma parceria com o abuse.ch, e uma de suas plataformas, o Feodo Tracker, rastreia e valida infraestruturas de botnet CC conectadas às principais ameaças de malware. Ele fornece dados confiáveis, validados comparativamente com a infraestrutura de botnet CC usada por malwares do tipo Emotet e Qakbot. A Spamhaus expandiu seus datasets BCL e disponibilizou esse dataset por meio dos nossos BGP Feeds, aumentando a proteção para nossos usuários.

Os usuários que consomem esses dados via Spamhaus têm acesso a suporte técnico, um serviço robusto e resoluções rápidas de possíveis falsos positivos que sejam observados.

Vamos esclarecer o que queremos dizer com “possíveis falsos positivos”.

Qualquer ISP, ou alguém responsável por proteger uma rede, vai, indubitavelmente, se contorcer ao ouvir a expressão “falso positivo”. As três comunidades originais em nossos BGP Feeds apresentam taxa zero de falsos positivos. MAS observe a palavra “possível”. Se um endereço IP hospeda um botnet CC, você deve bloquear o tráfego entre a sua rede e esse endereço IP, sendo irrelevante se há um dispositivo legítimo hospedado nesse IP. Isso não faz dele um falso positivo. Interromper o tráfego na sua rede reforça a sua segurança!

Considere os dois cenários abaixo e pergunte-se: “qual dessas situações eu prefiro enfrentar?”

  • Um meliante que criptografa uma grande corporação com um ransomware
    Ou
  • Bloquear uma conexão a (hipoteticamente) um único assinante DSL em uma rede de terceiros que está hospedando um botnet CC

Não há muito o que pensar, não é?

Vale observar que se você estiver preocupado com possíveis falsos positivos, os endereços IP introduzidos em uma BCL — Comprometidos têm um tempo de vida muito menor nessa lista, e nossa equipe de pesquisadores revalida esses IPs consistentemente para confirmar que o botnet CC permanece ativo e continua a ser uma ameaça para sua rede e seus clientes.

Gostaria de experimentar esses dados?

Se tiver interesse em ver como esses dados se comportam no seu ambiente de rede, você pode fazer uma avaliação gratuita dos dados por 30 dias. Se você já usa os BGP Feeds da Spamhaus para proteger a borda da sua rede, poderá acessar essa comunidade adicional gratuitamente: basta fazer login no Portal do Cliente e entrar em contato conosco para que possamos atualizar seu perfil.

Blog

Border Gateway Protocol Firewall

O Border Gateway Protocol (BGP) Firewall fornece a seus usuários e rede a proteção mais atualizada contra botnets e outros ataques externos.

A instalação leva poucos minutos: nossos dados são atualizados constantemente em tempo real por nossos pesquisadores experientes que cuidam de tudo por você, e podem ser utilizados nos seus roteadores e firewalls existentes.

  • Previna a exfiltração de dados
  • Proteja sua rede contra botnets
  • Reduza os computadores infectados na sua rede
Cadastre-se para uma avaliação gratuita Saiba mais

Usuários dos Border Gateway Protocol (BGP) Feeds da Spamhaus — obtenham maior proteção contra malwares

Notícia

A Spamhaus lançou uma nova comunidade Border Gateway Protocol (BGP). Esse novo feed se concentra em famílias de malware, como o Emotet. Os usuários se beneficiarão da excelente proteção contra a ameaça de perda de dados e criptografia por ransomware.

Saiba mais

O que é Border Gateway Protocol (BGP) Firewall? Guia para iniciantes

Blog

Border Gateway Protocol Firewall (BGPF) é uma forma eficiente e econômica de interromper o tráfego de e para os piores endereços IP. Descubra como funciona e por que ele tem um valor inestimável para a proteção da sua rede.

Saiba mais

Atualização trimestral da reputação de domínio da Spamhaus – T2 2022

Informe

Do número de domínios recém-registrados até o uso abusivo de domínios que nossos pesquisadores estão observando, essa atualização destaca tendências, fornece insights sobre a baixa reputação dos domínios e defende os provedores quando são observadas melhorias.

Download