Los ataques DDoS en el primer trimestre de 2016

Acontecimientos del trimestre

Hemos escogido, de entre los acontecimientos relacionados con ataques DDoS del primer trimestre de 2016 y los instrumentos usados para realizarlos, aquellos que, desde nuestro punto de vista, ilustran las principales tendencias del desarrollo de esta amenaza.

Ataque DDoS con “reflejo” de potencia record

Los ataques DDoS que usan métodos de amplificación o de reflejo siguen estando en boga y permiten a los delincuentes marcar nuevos records de potencia máxima. Los métodos de amplificación, desde el punto de vista técnico, no son un método nuevo de organización de ataques distribuidos dirigidos a provocar “denegación de servicio”, pero los delincuentes encuentran nuevas posibilidades y recursos para aumentar la potencia de sus botnets. Por ejemplo, según un informe recientemente publicado por expertos, en 2015 el ataque de potencia máxima fue de 450-500 Gbit/sec.

Ataques DDoS contra Trump

Parece ser que el record de potencia del ataque registrado en 2015 fue superado con bastante rapidez. Durante las fiestas de fin de año, los recursos oficiales de la BBC y el sitio oficial de Donald Trump sufrieron un ataque DDoS cuya potencia, según fuentes no comprobadas, alcanzó los 602 Gbits/sec. El grupo de hackers New World Hacking se atribuyó el ataque.

Uso del protocolo DNSSEC

Los delincuentes están usando el protocolo DNSSEC con cada vez mayor frecuencia para realizar ataques DDoS. El protocolo DNSSEC sirve para reducir al mínimo la intensidad de los ataques dirigidos a la suplantación de direcciones DNS. La respuesta estándar enviada por el protocolo DNSSEC, además de datos sobre el dominio, contiene información de autentificación adicional. Así, a diferencia de la respuesta DNS estándar, que tiene un tamaño de 512 bytes, la respuesta DNSSEC alcanza los 4096 bytes. Los delincuentes usan esta peculiaridad para realizar ataques DDoS con el método de amplificación. Sobre todo utilizan dominios en la zona .gov, destinada a sitios gubernamentales, porque en EE.UU. la ley obliga a que estos dominios usen DNSSEC.

Ataques pingback contra WordPress

Los sitios que usan el sistema de administración de contenidos WordPress de nuevo sufrieron ataques DDoS desde botnets que también usaban este sistema CMS. Contra los sitios web que utilizan esta popular CMS se lanzaron ataques DDoS que explotan la función pingback de WordPress. Pingback es una tecnología que informa al autor de una publicación cuando alguien en Internet cita su contenido. Si el administrador de un sitio web que funciona con WordPress ha activado esta función, todos los enlaces de los materiales publicados en este sitio pueden realizar el así llamado “pingback”, es decir, enviar una solicitud XML-RCP especial al sitio web original. Ante una enorme cantidad de datos de solicitudes de pingback, el sitio original puede “denegar servicios”. Esta función sigue atrayendo la atención de los delincuentes y les ayuda a llevar a cabo ataques DDoS a nivel de aplicación.

Irrupción en Linux Mint

El 21 de febrero de 2016 el presidente de Linux Mint, Clement Lefebvre, declaró que unos delincuentes habían logrado irrumpir en la infraestructura del proyecto, su sitio web y su foro y suplantaron el enlace a la imagen legítima ISO de la distribución Linux Mint 17.3 Cinnamon por otro enlace a una imagen ISO maliciosa. La distribución del hacker contenía un código malicioso que utilizaba los equipos infectados para realizar ataques DDoS.

Ataques contra las compañías que protegen contra ataques DDoS

Los delincuentes cibernéticos atacaron a la compañía californiana Staminus Communications, que presta servicios de hosting y protección contra ataques DDoS. Los delincuentes ya han publicado en Hastebin los datos personales de los clientes de la compañía robados.

Ataques contra compañías de seguridad informática

Los ciberdelincuentes tampoco se olvidan de las compañías que trabajan en el campo de la seguridad informática. Todas las compañías más o menos conocidas de este rubro, sobre todo los proveedores de servicios anti-DDoS con frecuencia se ven obligados a enfrentar ataques DDoS dirigidos a sus recursos. Estas acciones no pueden infringir daños severos, porque estos recursos tienen una defensa de excelente calidad, pero esto no detiene a los delincuentes.

Durante el primer trimestre del 2016, los medios de 74 países fueron objetivo de ataques #DDoS #KLReport

Tweet

Como regla, la tarea de los delincuentes no es “derrotar” el sitio de la compañía de seguridad informática a cualquier precio. Más bien, los ataques duran poco y en la mayoría de los casos terminan cuando el atacante nota indicios de que los sistemas de defensa empezaron a funcionar, porque los delincuentes no quieren gastar en vano los recursos de las botnets, cuya utilización cuesta dinero. Pero a largo plazo, los ataques no cesan del todo.

El análisis de los mensajes en los foros clandestinos permite suponer que en las sociedades cibernéticas criminales se acostumbra a usar los sitios de las compañías de seguridad informática como blancos experimentales para probar nuevos métodos e instrumentos. Es un método no inferior a otros, pero que pone en nuestras manos valiosa información. Si la estadística de ataques DDoS en todo el mundo muestra la situación en el presente, los ataques contra las compañías de seguridad informática permiten, en cierto modo, hacerse una idea del futuro de los ataques DDoS.

Los datos sobre la táctica, potencia y tipo de los ataques lanzados contra los sitios de Kaspersky Lab también permiten suponer cuáles serán las tendencias de los próximos meses.

Como de costumbre, nos la seguimos teniendo que ver con los ataques con amplificación. Su número se ha reducido un poco en relación con el año pasado, pero en cambio su potencia máxima se ha cuadruplicado. Esto confirma la tendencia de intensificación común de estos ataques: los delincuentes se ven obligados a aumentar la potencia para superar las medidas de seguridad contrapuestas por los proveedores de Internet y las compañías de seguridad informática. En nuestro caso, ninguno de ellos hizo que se suspendiera el acceso a nuestros sitios.

A juzgar por la serie de ataques contra los recursos de Kaspersky Lab lanzados el primer trimestre de 2016, la “crema y nata” de los delincuentes cibernéticos está empezando a recordar métodos que estos últimos años habían perdido popularidad y están atacando al nivel de aplicaciones. Ya en el primer trimestre de este año neutralizamos varias veces más ataques HTTP que en todo 2015. Y algo curioso fue que detectamos varios ataques a nivel de aplicación lanzados al mismo tiempo contra varios de nuestros recursos. De hecho, la potencia de los recursos DDoS se diluyó al ser usada contra varios blancos, lo que hizo que disminuyese el efecto causado en cada uno de ellos. La explicación es que el objetivo de los delincuentes no era interferir en el funcionamiento de los sitios de Kaspersky Lab, sino poner a prueba los instrumentos y estudiar nuestra reacción. El ataque más prolongado de este tipo duró menos de seis horas.

En el primer trimestre del 2016, 10 países sufrieron el 93.6% de los ataques #DDoS #KLReport

Tweet

Podemos suponer que el porcentaje de estos ataques irá bajando en los canales, y al primer plano saldrán los ataques contra aplicaciones y los ataques combinados (combinación de ataques contra el hardware y contra las aplicaciones).

Los potentes ataques UDP con amplificación entraron en uso varios años atrás y hasta ahora siguen siendo el instrumento preferido de los delincuentes. Los motivos de su popularidad son completamente comprensibles, ya que son más o menos fáciles de implementar, permiten obtener una enorme potencia usando una botnet de medianas dimensiones, con frecuencia recurren a terceros y hacen que sea muy difícil detectar el origen del ataque.

Aunque el primer trimestre de 2016 nuestro servicio Kaspersky DDoS Prevention siguió neutralizando ataques UDP con amplificación, pronosticamos que poco a poco irán desapareciendo. La tarea –que parecía imposible- de coordinar los esfuerzos de los proveedores de Internet y las compañías de seguridad para hacer un filtrado efectivo del tráfico basura generado por los ataques UDP ya está prácticamente resuelta. Los proveedores, al toparse frente a frente con la amenaza real de agotamiento de los canales magistrales debido al significativo tráfico de paquetes UDP de gran tamaño, tienen ahora los equipos y competencias necesarias para “arrancar” este tipo de tráfico de raíz. Por esta razón, los ataques con amplificación lanzados contra los canales están perdiendo cada vez más efectividad y se está haciendo cada vez más difícil lucrar con ellos.

Los ataques a nivel de aplicación lanzados contra servidores web requieren de grandes botnets, o de varios servidores de alta potencia y un canal de salida de banda ancha, además de un minucioso trabajo preliminar de investigación del blanco para identificar sus puntos débiles. Sin no se cumplen estos requisitos, los ataques no son efectivos. Al mismo tiempo, un ataque bien realizado a nivel de aplicación es difícil de neutralizar sin bloquear al mismo tiempo el acceso a los usuarios legítimos: las solicitudes maliciosas tienen una apariencia correcta y cada bot ejecuta a conciencia el proceso de establecimiento de la conexión. Lo único que es anormal es la alta carga a que se somete el servicio. Y fue justo este tipo de intentos los que detectamos el primer trimestre. Esto muestra que el mercado de DDoS se ha desarrollado tanto que la ejecución de complejos y caros ataques se está haciendo lucrativa y que los ciberdelincuentes más cualificados tratan de ganar dinero con ellos.

Primer trimestre 2016: #China, #USA y #CoreadelSur fueron las principales víctimas de ataques #DDoS #KLReport

Tweet

Es más, existe el peligro real de que la gran mayoría de los delincuentes haga suyos estos métodos, porque mientras mayor es la popularidad de una técnica, más instrumentos para su implementación se ofrecen en el mercado negro. Y si los ataques a nivel de aplicación se hacen realmente populares, corresponde esperar que aumente el número de clientes de este tipo de ataques DDoS y que también aumente la cualificación de los ejecutores.

Estadística de ataques DDos lanzados por medio de botnets

Metodología

Kaspersky Lab tiene muchos años de experiencia en la lucha contra las amenazas cibernéticas, entre ellas contra los ataques DDoS de diferentes tipos y nivel de complejidad. Los expertos de la compañía hacen un seguimiento constante de las botnets mediante el sistema DDoS Intelligence.

El sistema DDoS Intelligence (parte de la solución Kaspersky DDoS Prevention) intercepta y analiza las instrucciones que los centros de administración y control envían a los bots, pero sin necesidad de infectar ningún dispositivo del usuario ni de ejecutar las instrucciones de los delincuentes.

El ataque #DDoS más largo del primer trimestre del 2016, tuvo una duración de 197 horas (8.2 días) #KLReport

Tweet

Este informe contiene la estadística de DDoS Intelligence correspondiente al primer trimestre de 2016.

En este informe consideraremos como ataque DDoS aislado aquel cuya pausa entre periodos de actividad no supere las 24 horas. Por ejemplo, si un solo recurso sufrió ataques de la misma botnet y la pausa entre ellos fue de 24 horas o más, los consideraremos como dos ataques separados. También se consideran ataques diferentes los lanzados contra un solo recurso, pero ejecutados por bots de diferentes botnets.

La ubicación geográfica de las víctimas de los ataques DDoS y los servidores desde donde se enviaron las instrucciones se determinan por sus direcciones IP. El número de blancos únicos de ataques DDoS en este informe se calcula por el número de direcciones IP únicas en la estadística trimestral.

SYN #DDoS, TCP DDoS & HHTP DDoS: escenarios de ataques DDoS del primer trimestre del 2016 #KLReport

Tweet

Es importante mencionar que la estadística de DDoS Intelligence se limita a las botnets detectadas y analizadas por Kaspersky Lab. También hay que comprender que las botnets son sólo uno de los instrumentos con los que se realizan los ataques DDoS y los datos que se presentan en este informe no abarcan todos los ataques ocurridos en el periodo indicado.

Resultados del trimestre

• En el tercer trimestre de 2016 se lanzaron ataques DDoS contra blancos ubicados en 74 países del mundo (el último trimestre de 2015 eran 69).
• El 93,6% de los ataques detectados afectó a recursos de 10 países.
• Por la cantidad de ataques y la cantidad de blancos de los ataques DDoS, China, EE.UU. y Corea del Sur siguen en el primer lugar, pero este trimestre países europeos como Francia y Alemania han entrado al TOP10.
• El ataque DDoS más prolongado del primer trimestre de 2016 duró 197 horas (8,2 días), mucho menos que el mayor del trimestre anterior (13,9 días). Se hicieron más frecuentes los ataques múltiples lanzados contra un solo blanco (hasta 33 ataques contra un solo recurso en un periodo determinado).
• Los métodos más populares de ataque siguen siendo SYN-DDoS, TCP-DDoS y HTTP-DDoS, pero al mismo tiempo cada trimestre notamos una reducción constante de los ataques UDP.
• En general, los servidores de administración siguen ubicados en los mismos países del trimestre anterior, pero el coeficiente respectivo de Europa ha aumentado notablemente por el aumento ocurrido en Gran Bretaña y Francia.

Territorios de los ataques

A principios de 2016 se registraron ataques DDoS en 74 países.

La estadística del número de ataques muestra que el 93,6% del total de ataques DDoS corresponde a diez países.

Distribución de ataques DDoS por países, primer trimestre de 2016 y cuarto trimestre de 2015

Los países que ocupan los tres primeros lugares en el primer trimestre de 2016 no han cambiado, pero Corea del Sur aumentó de forma significativa su índice (del 18,4% al 20,4%) y el de EE.UU. bajó en 2,2 puntos porcentuales. También hacemos notar que en el primer trimestre de 2016 aumentó el porcentaje de ataques lanzados contra recursos ubicados en Ucrania, del 0,3% al 2,0%.

La estadística de distribución de blancos únicos de los ataques muestra que el 94,7% de los ataques se lanzó contra blancos en diez países.

Distribución de blancos únicos de ataques DDoS, primer trimestre de 2016 y cuarto trimestre de 2015

En 3,4 puntos porcentuales aumentó la cantidad de blancos en Corea del Sur. Al mismo tiempo el índice de China bajó del 50,3% en el cuarto trimestre de 2015 al 49,7% en el primer trimestre de 2016. También se redujo el porcentaje de blancos de ataques DDoS de EE.UU. (9,6% en comparación con el 12,8% del trimestre anterior). Con todo, los tres primeros países de la lista conservaron sus posiciones, muy por encima del resto de países.

En el primer trimestre de 2016 Ucrania se ubicó entre los cinco países que más sufrieron ataques DDoS, con un índice que subió de un insignificante 0,5% a finales del año pasado al 1,9% en el primer trimestre de 2016.

Según los resultados finales del trimestre, Taiwán y los Países Bajos salieron del TOP10, al haber perdido 0,8 y 0,7 puntos porcentuales respectivamente.

Dinámica del número de ataques DDoS

El primer trimestre de 2016 notamos una distribución relativamente regular de los ataques por día, excepto el seis de febrero, cuando ocurrió una súbita caída. El pico de la cantidad de ataques tuvo lugar el 31 de marzo (1271 ataques).

Dinámica del número de ataques DDoS*, primer trimestre de 2016

* Debido a que los ataques DDoS pueden prolongarse de forma ininterrumpida por varios días, un ataque puede contarse varias veces en la línea de tiempo, una por cada día.

Al igual que el trimestre anterior, el día de la semana en que más ataques DDoS hubo fue el lunes (16,5% ataques). El segundo puesto le corresponde al jueves (16,2%). El martes, que el pasado trimestre ocupaba el tercer lugar, cayó del 16,4% al 13,4% y ocupó el último puesto.

Distribución de ataques DDoS por días de la semana.

Tipos y duración de los ataques DDoS

La clasificación de los métodos de ataques DDoS por popularidad casi no experimenta modificaciones de trimestre en trimestre. Los ataques usados con más frecuencia siguen siendo los ataques SYN-DDoS, cuyo porcentaje bajó un poco en el primer trimestre de 2016 (del 57,0% al 54,9%) y los ataques TCP-DDoS, que perdieron 0,7 puntos porcentuales. Los ataques ICMP-DDoS tuvieron un aumento súbito, con un índice que alcanzó el 9%, pero que no cambió el orden del TOP5.

Distribución de ataques DDoS por tipos

Merece la pena destacar que el índice de los ataques UDP-DDoS viene bajando desde hace ya un año. Desde el segundo trimestre de 2015 se redujo en casi 10 veces, del 11,1% al 1,5%.

En lo que respecta a la duración de los ataques, al igual que el trimestre anterior cerca del 70% de los ataques fueron de 4 horas o menos. Al mismo tiempo, se redujo sustancialmente la duración máxima de los ataques. Si en el último trimestre de 2015 registramos un ataque que duró 333 horas, en el primer trimestre de 2016 el ataque más largo del que tuvimos noticia duró 197 horas.

Distribución de ataques DDoS por duración, horas

Servidores de administración y tipos de botnets

En el primer trimestre de 2016 Corea del Sur sigue siendo el líder indiscutible por la cantidad de servidores de administración y control ubicados en su territorio. Su índice aumentó aún más, del 59% el trimestre anterior al 67,6%.

El segundo puesto lo ocupa China, cuyo índice subió del 8,3% a un significativo 9,5%. Como resultado, China desplazó a EE.UU al tercer puesto (6,8% después de haber tenido 11,5% el cuarto trimestre de 2015). En el TOP de países según su cantidad de servidores de administración y control vemos por primera vez a Francia, lo que guarda relación con el aumento de ataques que tuvo lugar en este país.

Distribución de los servidores de administración de las botnets por países, primer trimestre de 2016

En el primer trimestre de 2016 los delincuentes usaron bots de una sola familia para lanzar ataques contra el 99,73% de los blancos. Bots de dos diferentes familias (usadas por uno o varios delincuentes) se usaron para atacar el 0,25% de los blancos durante el trimestre. Los ataques contra el 0,01% de los blancos se realizaron mediante bots de tres diferentes familias. Sotdas, Xor y BillGates siguen siendo las familias más populares de bots.

Proporción de los ataques con botnets para Windows y Linux

En el primer trimestre de 2016, en la proporción entre los ataques con botnets para Windows y Linux, tuvo más peso las botnets para Windows. Al mismo tiempo, este es el tercer trimestre en que la diferencia entre los porcentajes de las plataformas es de aproximadamente el 10%.

Conclusión

Los acontecimientos del primer trimestre demuestran una vez más que los delincuentes no se detienen en lo ya conseguido y están aumentando sus recursos de procesamiento para efectuar ataques DDoS. Los escenarios de “amplificación”, que se han convertido en el instrumento de facto para la organización de potentes ataques, explotan los defectos de los nuevos protocolos de red. Y los delincuentes encuentran diversos motivos para lanzar ataques: desde campañas preelectorales y ataques contra los recursos de los candidatos, hasta “ajustes de cuentas” con otros integrantes de la sociedad criminal y con sus competidores en el mercado negro. Son frecuentes los casos cuando los responsables de un ataque DDoS son organizaciones que se especializan en la defensa… contra estos mismos ataques. Al mismo tiempo, con lo difundidos que están los dispositivos y estaciones de trabajo vulnerables, y la abundancia de los defectos de configuración a nivel de aplicaciones, baja el precio que hay que pagar para organizar un ataque más o menos serio. Por todo lo expuesto, se hace imprescindible una defensa confiable, para que los ataques por encargo no sean rentables desde el punto de vista financiero para los delincuentes.