Mapas de Ciber-Ataques

El propósito de este post es agrupar en un solo lugar una colección de soluciones de visualizar la situación en tiempo real o próximamente cercano de las actividades cibercriminales en la Red.

Enumeraré en el mismo las distintas URL’s donde podemos encontrar dicha información a fecha de hoy julio de 2015 con un pequeño sumario de la información que recoge:

1.         Check Point

https://www.threat-cloud.com/ThreatPortal/#/map

Entre las estadísticas clave incluidas a diario en el Mapa ThreatCloud se hallan:

• Los 10 principales países de origen de los ciberataques
• Los 10 principales países de destino de los ciberataques
• Tipologías de ataque (Comunicación de bots, acceso a fuentes maliciosas, transferencia de archivos maliciosos, spam)
• Total de ataques diarios
• Datos específicos de cada país donde se muestran los promedios de infección y tipos de ciberataques más comunes por semanas y meses.

2.         Norse

http://map.norsecorp.com/

Cada segundo, los nórdicos recogen y analizan en tiempo real la información sobre amenazas desde la Red profunda en cientos de ubicaciones en más de 40 países. Los ataques que se muestran se basan en un pequeño subconjunto de los flujos en vivo contra la infraestructura nórdica de honeypot, que representan los ataques cibernéticos de todo el mundo reales por ciberdelincuente. A primera vista, uno puede ver que los países son agresores u objetivos en el momento, utilizando el tipo de ataques (servicios-puertos). Al pasar por encima de los ORÍGENES DE ATAQUE, OBJETIVOS DE ATAQUE, o tipos de ataque destacará sólo los ataques procedentes de ese país o sobre ese servicio puertos respectivamente. Al pasar por encima de cualquier burbuja en el mapa, se destacarán sólo los ataques de esa ubicación y tipo.

3.         Deutsche Telekom (Sicherheitstacho.eu)

http://www.sicherheitstacho.eu/?lang=en

Portal que proporciona visualización en tiempo real de los ciberataques detectados por la red de sensores de Deutsche Telekom situados alrededor del mundo. El portal ofrece una visión de la actividad de ciberataques con datos recogidos por 97 sensores basados en técnicas de honeypot. Los sensores actúan como ‘señuelos’ para atraer ataques automatizados dirigidos a explotar las vulnerabilidades de los servicios de red, websites, smartphones y otros tipos de sistemas. Los incidentes detectados se muestran en tiempo real en un mapa interactivo con información sobre su naturaleza, país de origen y servicios objetivo.

4.         Kaspersky

http://cybermap.kaspersky.com/

Los mapas de kaspersky se basan en los siguientes datos:

• On Access Scan
• On Demand Scan
• Web Anti-Virus
• Mail Anti-Virus
• Intrusion Detection Systems
• Vulnerability Scan

5.         FireEye

https://www.fireeye.com/cyber-map/threat-map.html

"FireEye Cyber Threat Map" se basa en un subconjunto de datos de ataque real, que está optimizado para una mejor presentación visual. Los datos representados en el mapa es la comunicación de software malicioso con los servidores C2C, donde los "attackers" representan la ubicación de los servidores de C2C  y "tarjets" representan los objetivos.

6.         Digital Attack Map

http://www.digitalattackmap.com/#anim=1&color=0&country=ALL&list=0&time=16629&view=map

Es una visualización de datos en vivo de los ataques DDoS en todo el mundo, construido a través de una colaboración entre Google Ideas y Arbor Networks. La herramienta muestra los datos de tráfico de ataque anónimos para que los usuarios exploren las tendencias históricas y tengan informes de interrupciones que suceden en un día determinado.

7.         AnubisNetworks Globe

http://globe.cyberfeed.net/

AnubisNetworks ha construido un ecosistema "Threat Intelligence" sirviendo la propia inteligencia (Cyberfeed), y los motores que utilizan para el procesamiento en tiempo real y la salida de eventos (Streamforce).

8.         Akamai

https://www.akamai.com/us/en/solutions/intelligent-platform/visualizing-akamai/real-time-web-monitor.jsp

Akamai monitorea las condiciones globales de Internet durante todo el día. Con estos datos y en tiempo real se identifican las regiones del mundo con el mayor tráfico de ataque web, ciudades con las conexiones más lentas web (latencia) y áreas geográficas con el mayor tráfico web (densidad de tráfico).

9.         State of the Internet (Akamai)

https://www.stateoftheinternet.com/trends-visualizations-security-real-time-global-ddos-attack-sources-types-and-targets.html

Actividad de ataques DDoS en todo el mundo casi en tiempo real, incluyendo las fuentes globales, tipos, volumen y objetivos. Opiniones más recientes 5000 ataques DDoS mitigados por Akamai. Cada fuente de ataque DDoS puede mandar cientos o miles de robots de DDoS.

10.     Kaspersky Lab’s Targeted Cyberattack Logbook

https://apt.securelist.com

Todos los días de Kaspersky Lab procesa automáticamente 325.000 nuevos archivos maliciosos. Sólo el uno por ciento de éstos necesitan el trabajo manual de un experto en seguridad, y sólo una pequeña fracción de ese 1% se destina a la primera categoría de la empresa "Global Research and Analysis Team"(GReAT). Esas pocas muestras elegidas pertenecen a las más raras, nuevas APT más amenazantes (amenazas persistentes avanzadas. Kaspersky Lab’s Targeted Cyberattack Logbook narra todos estas maliciosas cibercampañas innovadoras que han sido investigadas por GReAT.

11.     TrendMicro

http://www.trendmicro.com/us/security-intelligence/current-threat-activity/global-botnet-map/index.html

Trend Micro monitorea continuamente las actividades de red maliciosos para identificar-mando y control servidores (C & C) y ayudar a aumentar la protección contra los ataques de botnets. El mapa en tiempo real indica la ubicación de los servidores C&C y las computadoras víctimas que controlan, que se han descubierto en las seis horas previas.

12.     Shadow Server

http://www.shadowserver.org/wiki/pmwiki.php/Stats/DDoSMaps

Estos mapas son el resultado de la conversión de todas las direcciones IP del agresor, el C&C y el objetivo del ataque DDoS y la colocación de esos puntos en un mapa. Cuando más de un ataque o de destino se encuentra dentro de una cierta distancia geográfica y de píxeles en el mapa, el tamaño del círculo que representa ese punto se ha aumenta de tamaño para representar proporcionalmente la agresividad de un ataque.

13.     F-Secure

http://worldmap3.f-secure.com/

F-Secure En base a sus estudios y estadísticas de sus productos y servicios de Seguridad Informática, tiene dos sitios Webs donde se puede seguir las amenazas y ataques de las últimas 24 horas en el Mundo.

14.     Switch on Freedom (F-Secure)

http://globe.f-secure.com/

15.     OpenDNS Security Labs

https://labs.opendns.com/global-network/

OpenDNS Security Labs aprovecha la Red Global de OpenDNS, red de seguridad más grande del mundo, que cuenta con el mejor tiempo de actividad de la industria, y geográficamente distribuidos centros de datos que sirven a 50 millones de usuarios activos al día en 196 países.

16.     Atlas

http://atlas.arbor.net/worldmap/index

Lo que diferencia  Arbor Networks de otros es cómo aprovechan su omnipresente huella de proveedor de servicios.  ATLAS es un innovador sistema de análisis de amenazas y vigilancia global.

• Global Threat Map: Real-time visibility into globally propagating threats
• Threat Briefs: Summarizing the most significant security events that have taken place over the past 24 hours
• Top Threat Sources: Multi-dimensional visualization of originating attack activity
• Threat Index: Summarizing Internet malicious activity by offering detailed threat ratings
• Top Internet Attacks: 24-hour snapshot of the most prevalent exploits being used to launch attacks globally
• Vulnerability Risk Index: Determines the most dangerous vulnerabilities being exploited on the Internet today

17.     Honeynet Project

http://map.honeynet.org/

Honeynet ha creado un mapa del mundo que traza las ubicaciones de los ataques cibernéticos al golpear en tiempo realAl conectar al sitio aparecerá un "honeypot" de color amarillo, lo que representa un ordenador o banco de computadoras deliberadamente vulnerables a ataques de seguridad con el propósito de la captura o el seguimiento de este tipo de eventos. Unos segundos más tarde, ataques (strikes) rojos comenzarán a aparecer en el mapa; esto significa que el honeypot es la localización de los ataques cibernéticos de malware generado en todo el mundo. Lo que estamos viendo son los ataques reales, y les estamos viendo en tiempo real. Como ves, aparecerán más honeypots y más ataques.

18.     Global Security Map

http://globalsecuritymap.com/

Muestra los puntos calientes globales en busca de malware, phising, spam y otras actividades maliciosas. Este mapa es el resultado de un proyecto CyberDefcon ofreciendo la siguiente información:

• SPAM
• MALWARE
• BADWARE
• BOTNETS
• PHISHING
• CYBERCRIME HUBS
• CURRENT EVENTS

19.     Securitywizardry

http://www.securitywizardry.com/radar.htm

Este sitio web ha sido creado y está patrocinado por la Red Informática de Defensa Ltd (CND Ltd), una consultora de seguridad de la información en el Reino Unido y la Agencia de Empleo.

20.     Team Cymru

http://www.team-cymru.org/malicious-activity-maps.html

http://www.team-cymru.org/visualizations/compromised_map/recent.mp4

El mapa muestra valor de un día de actividad maliciosa, trazada sobre un mapa del mundo. Tenga en cuenta que las técnicas de geolocalización IP no son perfectas, por lo que estos lugares son sólo aproximaciones. Además, las personas reales detrás de la actividad maliciosa representada podrían estar lejos de cualquiera de los lugares que se muestran controlando  estos sistemas comprometidos de forma remota.

21.     Nothink

http://www.nothink.org/honeypot_dns.php

Ancho de banda bajo servidor de resolución abierta para observar los ataques de amplificación DNS automáticamente, proporcionando direcciones IP de destino. Advertencia: la tabla contiene falsos positivos y los dominios legítimos (por ejemplo google.com, openresolverproject.org etc.).