Los ataques DDoS en el segundo trimestre de 2011

Todos los datos estadísticos usados en el informe provienen del Sistema de monitorización de botnets de Kaspersky Lab y el sistema Kaspersky DDoS Prevention.

Cifras del trimestre

• El ataque más potente rechazado por Kaspersky DDoS Prevention en el segundo trimestre fue de 500 MB/s.
• La potencia media de los ataques rechazados por Kaspersky DDoS Prevention en el segundo trimestre fue de 70 MB/s.
• El ataque DDoS más largo registrado en el segundo trimestre duró 60 días, 1 hora, 21 minutos, 9 segundos y estuvo dirigido a un sitio de la categoría “blogs y foros”.
• La mayoría de los ataques DDoS del segundo trimestre (218) tuvo como blanco el sitio web de un medio de información masivo.

DDoS y protestas

Últimamente está en aumento la cantidad de ataques sin ánimos de lucro lanzados por los hackers, que ahora persiguen otros objetivos. Los hackers apuntan sus ataques a los recursos del gobierno o los sitios de las grandes compañías para mostrar su destreza y fuerza (en otras palabras, su “rudeza”) o para expresar su protesta contra determinadas acciones. Estos ataques son los que tienen más cobertura en los medios de información masiva.

Los grupos de hackers más activos en el segundo trimestre de 2011 han sido LulzSec y Anonymous. Estos grupos organizaron ataques DDoS contra sitios gubernamentales de EE.UU., Inglaterra, España, Turquía, Irán y una serie de otros países. Los delincuentes lograron poner fuera de servicio, pero por poco tiempo, sitios como cia.gov (la CIA de EE.UU.) y el sitio www.soca.gov.uk (Agencia contra el crimen organizado de Inglaterra). Esto muestra que incluso los sitios gubernamentales que se encuentran bajo la protección de las agencias de seguridad están poco protegidos contra los ataques DDoS.

Los ataques contra los sitios gubernamentales presentan altos riesgos para los hackers, porque despiertan la atención de las agencia de seguridad. Así, el trimestre anterior, se arrestó a más de 30 personas de la organización Anonymous, bajo sospechas de haber organizado ataques DDoS en diferentes países del mundo. Hace muy poco que las agencias del orden han empezado a actuar en esta dirección, pero los arrestos continúan. Sin embargo, es posible que no se llegue a castigar a los culpables, porque participar en ataques DDoS no se considera ilegal en muchos países del mundo.

De entre las grandes compañías, Sony recibió el golpe más fuerte. A finales de marzo Sony denunció a varios hackers, culpándolos de haber modificado el firmware de PlayStation 3, una de las consolas de juegos más populares del mundo. Como signo de protesta contra la persecución de hackers, el grupo Anonymous anunció el lanzamiento de ataques DDoS contra los sitios de Sony. Durante cierto tiempo los sitios de PlayStationnetwork.com estuvieron fuera de servicio. Pero esto era sólo la punta del iceberg. Según Sony, durante los ataques DDoS se vieron afectados los servicios PSN y se robaron los datos de 77 millones de usuarios. De esta manera, con premeditación o sin ella, los ataques de Anonymous sirvieron de maniobra evasiva para los hackers que planeaban el robo de una gran cantidad de información, lo que a fin de cuentas puede repercutir en la reputación de Sony.

Ataques DDoS contra redes sociales

Los usuarios del sector ruso de Internet recordarán el segundo trimestre por los ataques contra los blogs ubicados en LiveJournal. Esta plataforma es muy popular entre personas con intereses muy diversos: aquí escriben sus diarios las amas de casa, publicando recetas de comida para toda ocasión, están los fotógrafos e incluso los políticos. Según nuestro sistema de monitorización de botnets, los ataques masivos contra LiveJournal empezaron con ataques que publicaban información de carácter político que disgustó a muchas personas.

Nuestro sistema de monitorización vigila la botnet Optima, usada para hacer los ataques DDoS contra LiveJournal. En el periodo comprendido entre el 23 de marzo y el 1 de abril la botnet Optima recibió instrucciones de efectuar ataques contra los sitios http://rospil.info, http://www.rutoplivo.ru, http://navalny.livejournal.com y contra la fábrica de muebles http://www.kredo-m.ru. Ciertos días los ataques afectaban sólo al recurso http://navalny.livejournal.com. Después, a principios de abril, la botnet recibió la orden de atacar una larga lista de direcciones en LiveJournal. La lista estaba compuesta sobre todo por direcciones de blogueros que escriben sobre los más diversos temas, pero que tienen un auditorio de por lo menos mil seguidores.

La botnet Optima, cuyos ataques registró nuestro sistema, se encuentra en el mercado desde finales de 2010. A juzgar por el peculiar código que escriben, los programadores de la botnet Optima son rusos y venden los bots sobre todo en los foros en idioma ruso. Debido a su alto grado de segmentación, es bastante difícil estimar las dimensiones de esta botnet. No obstante, nuestro sistema puso en claro de que los bots de Optima encargados de atacar LiveJournal recibían órdenes de descargar otros programas maliciosos. Como este tipo de descarga no es rentable en las botnets pequeñas, podemos suponer que Optima está compuesta por decenas de miles de equipos infectados.

Las verdaderas intenciones de los atacantes siguen sin estar claras, ya que nadie se hizo responsable de los ataques contra LiveJournal. Mientras no se sepa quiénes son los delincuentes, será difícil decir si este fue un ataque “por encargo” o sólo una demostración de fuerza.

Los ataques DDoS contra las redes sociales se están haciendo cada vez más frecuentes, porque estos servicios permiten compartir información en tiempo real con decenas de miles de personas y detener este proceso, aunque sea por corto tiempo, solo es posible mediante ataques DDoS.

Suponemos que los ataques como este crecerán en el futuro próximo.

Ataques DDoS “comerciales”

Los delincuentes comunes y corrientes también siguen ganándose la vida con los ataques DDoS. Sin embargo, cuando se trata de ataques que tienen como objetivo la extorsión y el chantaje, pocas veces se hacen públicos y si lo hacen, ya es en forma de noticias sobre la investigación del incidente correspondiente.

En abril el tribunal de Düsseldorf condenó a un delincuente que durante 2010, en pleno mundial de fútbol, trató de chantajear a seis corredores de apuestas en Alemania. El extorsionador actuaba según un esquema comprobado: asustaba a la víctima, hacía un ataque de prueba contra el sitio web y enviaba un mensaje exigiendo un rescate. Tres de seis compañías aceptaron pagar. Según las apreciaciones de las compañías de apuestas, el que su sitio web esté unas cuantas horas fuera de servicio les puede costar muy caro: a las grandes oficinas, de 25 a 40 mil euros y a las pequeñas, de 5 a 6 mil euros. Pero el extorsionador pedía una suma sorprendentemente pequeña, unos 2.000 euros. El dinero lo recibía en vales U-cash, los mismos que usaba el autor del famoso troyano-cifrador GpСode. El tribunal halló culpable al extorsionista y lo condenó a dos años y diez meses de cárcel. Es importante mencionar que este es el primer caso en la justicia alemana, en que un delincuente va a prisión por haber hecho un ataque DDoS. Desde ahora, por resolución del tribunal, los ataques DDoS se clasificarán como sabotaje informático, delito castigado con hasta 10 años de prisión según la ley.

En junio el sistema judicial de Rusia también mostró interés por los ataques DDoS. Se acusó a Pavel Vrublesky, dueño de la compañía Chronopay, el mayor centro de procesamiento de Rusia, de haber lanzado un ataque DDoS. La esencia de la acusación consistía en que cuando Aeroflot realizaba una licitación para elegir un sistema de pagos, Vrublevsky encargó un ataque DDoS contra Assist, la competencia. Como resultado, el sistema Assist estuvo fuera de servicio cuando se decidía el destino de la licitación. Cabe destacar que se considera a Pavel Vrublevsky uno de los organizadores de uno de los mayores programas de afiliados, Rx-promotion.

Estadística

Distribución de las fuentes de ataques DDoS por países

Según nuestra estadística, en el segundo trimestre de 2011 el 89% del tráfico DDoS se generó en 23 países. La distribución de las fuentes de ataques DDoS por países es bastante uniforme: cada país genera del 3% al 5% de todo el tráfico DDoS.

Distribución de las fuentes de spam por países. Segundo trimestre de 2011

Los líderes de la estadística, con un 5% cada uno, son EE.UU. e Indonesia.

La posición de liderazgo ocupada por EE.UU. está relacionada con la gran cantidad de ordenadores de este país. Al mismo tiempo, en el último año, en EE.UU. se está realizando un trabajo intensivo de clausura de botnets. Es perfectamente posible que los delincuentes muy pronto quieran recuperar las capacidades perdidas y que aumente el tráfico DDoS proveniente de EE.UU.

Indonesia está entre los líderes debido al nivel bastante alto de infección de los equipos de los usuarios indonesios. Según nuestros datos, en el segundo trimestre de 2011 prácticamente uno de cada dos equipos (48%) en el segmento indonesio de KSN estuvo bajo peligro de infección local por programas maliciosos. Este alto porcentaje de intentos bloqueados de infección local está condicionado por la gran cantidad de equipos que no cuentan con antivirus y desde los cuales se propagaban los programas maliciosos.

Entre los países con índices menores al 3% de tráfico DDoS saliente hay países con alto nivel de informatización y seguridad informática (EE.UU., Japón, Hong-Kong, Singapur) y países donde la cantidad de ordenadores por habitante es mucho menor, pero donde la seguridad informática es baja (Indonesia, India, Vietnam, Oman, Egipto, Filipinas, etc.).

Distribución de los sitios atacados según categorías de actividades en Internet

En el segundo trimestre la mira de los delincuentes apuntó con más frecuencia a los sitios relacionados con el comercio online (tiendas online, subastas, sitios de anuncios de compraventa, etc.), que sufrieron la cuarta parte de los ataques. Y esto no es nada sorprendente, porque el comercio en Internet depende directamente de la disponibilidad de los sitios web y cada hora de inactividad es ganancia perdida y clientes que se pasan a la competencia. Por eso, estos sitios sufren más ataques DDoS que los demás, tanto con objetivos de extorsión, como por encargo de la competencia.

Distribución de los sitios atacados según categorías de actividades en Internet, segundo trimestre de 2011

En el segundo lugar están los sitios de juegos. Según los datos de nuestro sistema de monitorización, la mayoría de los ataques se dirigió a EVE Online y sitios relacionados con este juego. Este juego de temática espacial pertenece a la categoría MMORPG y a finales de 2010 contaba con 357.000 jugadores activos. En particular, uno de los sitios de noticias de EVE Online fue el que registró uno de los ataques más largos: los bots DDoS funcionaron durante 35 días. Los delincuentes no dejaron sin atención a WoW y Lineage, pero a decir verdad, en este caso la mayor parte del fuego estuvo dirigido contra los servidores piratas de estos juegos.

Los sitios de las tiendas y los bancos ocupan el tercer y cuarto lugar respectivamente. Los delincuentes atacan los espacios de comercio no tanto para extorsionar, como para borrar huellas después de las transacciones fraudulentas. En estos esquemas, las organizaciones financieras y sus clientes son los que pierden dinero con más frecuencia. Por eso, la estabilidad ante ataques DDoS es uno de los factores que determinan su reputación.

Es curioso que un porcentaje bastante grande de ataques DDoS afecta a los sitios de medios de información masiva y a los blogs y foros, que en esencia son medios de información social. Al principio del artículo hemos escrito sobre los blogs. La libre expresión de opiniones siempre ha generado el disgusto de ciertas personas, y ahora los ataques DDoS se usan como una de las formas de obligar a callar a los medios.

Los sitios gubernamentales constituyeron el 1% de los recursos atacados, pero en nuestra estadística no se han tomado en cuenta los ataques realizados por el grupo Anonymous mediante la botnet “voluntaria” basada en LOIC (programa para organización de ataques). El uso de ataques DDoS para expresar protesta contra las decisiones de los gobiernos se está haciendo cada vez más frecuente en muchos países y en el futuro pronosticamos el aumento de estos ataques, sobre todo en los momentos decisivos de la vida de la sociedad.

Tipos de ataques DDoS

En total, nuestro sistema de monitorización de botnets ha interceptado más de 20.000 órdenes de iniciación de ataques a diferentes sitios el segundo trimestre.

Tipos de ataques DDoS. Segundo trimestre de 2011

El tipo de ataque más popular es HTTP-Flood (88,9%): que envía al sitio atacado una cantidad ilimitada de solicitudes http al mismo tiempo. En la mayoría de los casos tienen la misma apariencia de las solicitudes enviadas por los usuarios comunes, lo que complica un poco su filtrado. Por eso este tipo de ataque goza de más popularidad entre los delincuentes que entre los demás.

En el segundo lugar están los ataques SYN Flood (5,4%) durante el cual el servidor recibe de los bots una gran cantidad de paquetes TCP. Al mismo tiempo, los delincuentes manipulan los paquetes para que no completen la conexión y se “congelen”. Como la cola de conexiones es limitada y las botnets pueden generar solicitudes a una gran velocidad, cierto tiempo después del inicio del ataque el servidor ya no puede aceptar solicitudes de los usuarios normales.

El tipo más raro son los ataques DDoS a servidores DNS (0,2%). Como resultado de estos ataques el servidor DNS deja de transformar los nombres de sitios en direcciones IP y los sitios se vuelven inaccesibles para los usuarios. Este tipo de ataque es peligroso porque como resultado de un solo ataque pueden quedar fuera de acceso cientos y hasta miles de sitios web.

Durante el ataque DDoS contra un recurso, los bots recibían órdenes de enviar solicitudes a un promedio de dos páginas web del sitio atacado. Si comparamos la cantidad de ataques según los nombres de los sitios y según las direcciones IP, vemos que las direcciones IP son mucho más populares entre los delincuentes y un 72% de los ataques fueron dirigidos a direcciones IP.

Distribución de los blancos de ataques DDoS según nombres de sitios y direcciones IP. Segundo trimestre de 2011

Actividad de las botnets DDoS en el tiempo

Una vez analizados los datos, podemos decir qué días de la semana prefieren los delincuentes informáticos para lanzar sus ataques y poner fuera de servicio uno u otro sitio web.

Distribución de ataques DDoS por días de la semana. Segundo trimestre de 2011

Los días de entre semana los usuarios trabajan activamente en Internet. Es justo en estos días de la semana en que los sitios web tienen más visitantes y los ataques DDoS pueden causar el mayor daño a los sitios atacados. Es importante tener en cuenta que los días de entre semana está encendida la mayor cantidad de ordenadores, y por lo tanto, también la mayor cantidad de ordenadores infectados que son como el ejército de los dueños de botnets. Como consecuencia, el periodo de actividad máxima de los delincuentes se registra de lunes a jueves. Por término medio, a estos cuatro días de la semana corresponde el 80% de los ataques DDoS.

Conclusión

Los delincuentes usan ataques DDoS desde hace tiempo. Sin embargo últimamente los han empezado a usar no solo para lucrar, sino también como medio de protesta, ya sea contra las decisiones de los órganos gubernamentales o contra las acciones de las grandes compañías. Estos ataques despiertan la atención de los medios de comunicación y las agencias del orden. La tendencia de usar los ataques DDoS para expresar protesta está ganando fuerza y en el futuro habrá que esperar el crecimiento de la cantidad de ataques contra los sitios web de los órganos gubernamentales de diferentes países.

Siguen gozando de popularidad entre los delincuentes los ataques dirigidos a extorsionar y chantajear. No obstante, las víctimas rara vez hacen público el incidente, porque suponen que puede acarrear consecuencias negativas para su reputación. Merece la pena destacar que los delincuentes informáticos están usando con creciente frecuencia los ataques DDoS como maniobra evasiva durante la ejecución de ataques más complejos, por ejemplo, contra los sistemas de banca a distancia. Ataques tan complicados amenazan con causar serias pérdidas monetarias a las organizaciones financieras y a sus clientes.

La mayor parte de los sitios web detectados por nuestros radares de ataques DDoS necesitan reforzar su protección contra los mismos. Esto cobra especial actualidad porque pronto termina la época de vacaciones en el hemisferio norte: empezarán a encenderse los ordenadores que estaban en descanso, entre ellos los bots. Así que los ataques DDoS serán aún más potentes y peligrosos.