Ataques DDoS en el segundo semestre de 2011

Todos los datos estadísticos que aparecen en este informe se obtuvieron mediante el sistema de monitoreo de redes zombi de Kaspersky Lab y de Kaspersky DDoS Prevention.

El ultimo semestre en cifras

• En el segundo semestre del ano 2011, la potencia de los ataques neutralizados por Kaspersky DDoS Prevention subió un 20% en comparación con el primer semestre del mismo ano, alcanzando los 600 Mbit/seg, o 1.100.000 packet/seg (pequeños paquetes de flujo UDP de 64 bytes).
• La potencia promedio de los ataques neutralizados por Kaspersky DDoS Prevention en el segundo semestre de 2011 fue del 57%, alcanzando los 110 Mbit/sec.
• El ataque DDoS mas prolongado en dicho periodo duro 80 días, 19 horas, 13 minutos y 5 segundos, y se lanzo contra un sitio web de turismo.
• La duración promedio de los ataques DDoS fue de 9 horas y 29 minutos.
• La mayor cantidad de ataques DDoS en el periodo de referencia fue de 384, dirigidos contra el sitio web de un ciberdelincuente.
• Los ataques DDoS se lanzaron desde ordenadores localizados en 201 países en todo el mundo.

Los sucesos en los pasados seis meses

Finanzas: Ataques DDoS contra organizaciones bursátiles

Se sabe que los mercados bursátiles son lugares desafiantes para hacer negocios: hay que analizar la situación, predecir situaciones para el mercado bursátil en su totalidad y para las compañías cuyas acciones nos interesan, y reaccionar oportunamente ante noticias de último momento. Para ello, debemos ser capaces de recabar oportunamente los últimos datos. Sin embargo, si alguien es capaz de adelantarse a los demás y asegurarse de ser siempre el primero en recibir las noticias, podrá lograr jugosas ganancias. Una estafa para adelantarse a la competencia puede hacerse mediante ataques DDoS, como constatamos a fines del verano de 2011.

El 10 de agosto, uno de los sitios web de la bolsa de Hong Kong sufrió un ataque DDoS. Curiosamente, el ataque no se lanzo contra el sitio principal, sino contra la pagina que publica anuncios importantes de los principales participes de este mercado bursátil. Como resultado, tuvieron que suspenderse las actividades bursátiles que involucraban a siete compañías, entre las que estaban HSBC, Cathay Pacific, China Power International y otras. El sitio estuvo inactivo por un día más, y también se suspendieron las actividades comerciales en otras áreas. Es imposible estimar las perdidas o ganancias causadas, pero es evidente que alguien trato de lucrar con esta situación.

Obviamente, el ataque se lanzo a través de una red zombi, en cuyo caso puede resultar muy difícil identificar al cliente. Sin embargo, considerando el volumen de dinero que circula en la bolsa y el efecto negativo que este incidente tuvo en la reputación de la bolsa de Hong Kong (HKEX), la quinta en importancia en el mundo, las autoridades de Hong Kong iniciaron una seria investigación. A las dos semanas se informo del arresto de un sospechoso de haber organizado el ataque. El detenido, un hombre de 29 anos, resulto ser un empresario que apostaba en la bolsa. Ahora se enfrenta a cinco anos de prisión por el ataque DDoS, lo que le dará tiempo para pensar en otra estrategia mas legitima de negocios.

Ataques DDoS y protestas políticas

El famoso grupo Anonymous volvió a acaparar los titulares de prensa. Después de que la policía usara gases lacrimógenos y petotas de goma contra los manifestantes del movimiento Occupy Wall Street, Anonymous lanzo una nueva campana, conocida como “Occupy Oakland”. Como parte de esta nueva acción, lanzaron un ataque DDoS contra el sitio de la policía de Oakland y publicaron en Internet su información confidencial.

Después atacaron sitios gubernamentales en El Salvador. Anonymous considero que las autoridades salvadoreñas han cometido muchas violaciones de los derechos humanos.

Después de que un comando israelí interceptara un buque que transportaba ayuda humanitaria cuando se acercaba a la costa de Gaza, los miembros de Anonymous publicaron un video en You Tube en el que advertían sobre las represalias que estaban preparando. Dos días después, los sitios de las fuerzas armadas de este país, y de los servicios de inteligencia Mossad y Shen Bet colapsaron. Sin embargo, el gobierno israelí no confirmo el ataque de Anonymous y se limito a informar de que estos sitios no estaban en funcionamiento debido a fallas en sus servidores.

Aunque Anonymous suele ser el principal sospechoso de todos los ataques de alto nivel político, no siempre se hace responsable de ellos. En septiembre, ciberdelincuentes desconocidos lanzaron un ataque DDoS contra el sitio de la embajada rusa en Londres. El ataque se lanzo el día previo a la visita del primer ministro británico a Moscú, lo que demuestra claramente el disgusto de los atacantes.

Ataques DDoS y pequeñas empresas

En los pasados seis meses observamos dos grandes oleadas de ataques DDoS lanzadas contra sitios de agencias de turismo. La primera ocurrió durante las vacaciones de verano, cuando muchos usuarios desesperados por ir a soleadas playas, buscaban opciones de vacaciones. (También durante este periodo, los ciberdelincuentes lanzaron ataques DDoS contra sitios relacionados con la venta o alquiler de pisos en playas turísticas).

La segunda tuvo lugar durante las vacaciones de fin de ano. Esta vez, la mayoría de los sitios atacados ofrecían vacaciones festivas.

Entre las victimas de estos ataques no se encontraban importantes operadores de viajes. Todos los ataques DDoS estaban dirigidos contra agencias de turismo. Vale la pena notar que hay muchas de estas agencias, lo que hace que la competencia entre ellas sea dura.

La cantidad de ataques contra los sitios de agencias turísticas se quintuplico en la temporada alta, en comparación con la temporada baja. Podemos afirmar que los sitios atacados en las oleadas de verano e invierno fueron victimas de matones cibernéticos. En realidad, fue una ciberguerra entre agencias de viajes. Curiosamente, las oleadas de ataques DDoS se dan al mismo tiempo que los envíos masivos de spam con publicidad de agencias turísticas. Todo esto sugiere que la competencia dentro de la industria turística es tan dura que algunos de los interesados harán prácticamente lo que sea para atraer clientes.

Aparte de ello, resulta interesante observar que en el segundo semestre de 2011 se dio un notable aumento en el numero de ataques contra sitios de reservas de taxis o de servicios de relleno de cartuchos de tinta para impresoras. Estos servicios también eran publicitados en envíos masivos de spam. Al parecer, las compañías que solicitaban estos envíos masivos tiene conexiones con dueños de redes zombi y es muy probable que les hayan pagado por lanzar ataques DDoS contra los sitios de la competencia.

Crimen y castigo

En octubre, continuo la historia de los ataques DDoS lanzados contra el servicio de pagos ASSIST. Pavel Vrublevsky, dueño de ChronoPay y principal sospechoso de estos ataques DDoS, se declaro culpable. Recordemos que estos ataques impidieron la venta online de pasajes de Aeroflot, la mayor línea aérea rusa.

Al parecer, el dueño de ChronoPay buscaba desacreditar los servicios de su competidor y uso el ataque DDoS para disuadir a clientes reconocidos, como Aeroflot, de que siguieran trabajando con ASSIST, a fin de aumentar la ya solida participación en el mercado (40%) de su compañía. El ataque comenzó el 16 de julio de 2011, y solo después de una semana de problemas Aeroflot logro restaurar su servicio de venta online de pasajes. Durante su larga batalla contra los ataques, ASSIST perdió un importante cliente, ya que Aeroflot firmo un contrato con Alfa-Bank.

Pavel Vrublevsky se enfrenta a cargos previstos en los artículos 272 y 273 del código penal ruso, y puede ser condenado a hasta siete anos en prisión.

Algunos miembros del grupo Anonymous también fueron arrestados en Turquía, Italia, España, Suiza, Reino Unido y Estados Unidos. Resulto fácil el seguimiento de quienes habían participado en ataques usando la herramienta LOIC de código abierto. Esta herramienta se creo sin intenciones maliciosas para producir una carga de prueba en un servidor web. Por esta razón, no contiene ninguna función para ocultar la dirección desde donde proviene el ataque, lo que facilita encontrarla en los registros y ponerse en contacto con los proveedores de Internet. En otros casos, puede no ser tan fácil rastrear a los hacktivistas. Sin embargo, seria ingenuo esperar que los ciberdelincuentes se fueran a poder escapar tras los ataques DDoS y otras acciones que lanzaron contra instancias gubernamentales. Curiosamente, la edad promedio de los arrestados es de 20 anos.

La lucha contra las redes zombi solo es posible si existe una clara cooperación entre las autoridades, los desarrolladores de soluciones antivirus y los fabricantes de software.

Luchas intestinas entre ciberdelincuentes

Los ataques DDoS son un medio de competencia desleal tanto entre negocios ilícitos como en el mercado de servicios y bienes materiales. Desde que los negocios ilícitos operan en Internet, los ataques DDoS se han convertido en una herramienta muy efectiva para ejercer presión contra la competencia.

En el segundo semestre de 2011, la gran mayoría de los ataques (384) se lanzaron contra un recurso online que vendía documentos falsificados. En general, son los falsificadores de tarjetas de crédito y sus colegas los que más recurren a los ataques DDoS: los bots atacan foros en los que se discuten temas relacionados y sitios en los que se venden datos de dueños de tarjetas de crédito. Las siguientes victimas potenciales de los ataques DDoS son los sitios que ofrecen alojamiento blindado y servicios VPN para ciberdelincuentes. Esto demuestra que existe una dura competencia entre los ciberdelincuentes, y que las redes zombi que lanzan ataques DDoS están a su disposición.

Nuevas técnicas en ataques DoS / DDoS

Google+

A fines de agosto, el investigador italiano Simone «ROOT_ATI» Quatrini de la compañía AIR Sicurezza Informatica, cito dos servicios URL especiales de Google+ en el blog IHTeam Security mediante los cuales los ciberdelincuentes pueden usar los servidores de Google para lanzar un ataque DoS contra cualquier sitio. Estos son los servicios mencionados: https://plus.google.com/_/sharebox/linkpreview/ y https://images2-focus-opensocial.googleusercontent.com/gadgets/proxy?

El primero es una herramienta para la vista previa de páginas web, mientras que el segundo es un dispositivo para usar hotlinks y guardar copias cache de archivos en los servidores de Google. Cuando se usa ambas herramientas, es posible enviar un parámetro dentro de la URL que contiene un enlace a cualquier archivo que se encuentre en el sitio que se ataca. En este caso, los servidores de Google solicitaran el archivo y se lo enviaran al usuario, es decir, actuaran como un proxy. Se puede utilizar herramientas automáticas (como un script) para enviar una multitud de estas solicitudes, que multiplicadas por la capacidad de ancho de banda de Google, efectivamente causaran un ataque DDoS-HTTP en el sitio victima.

El mencionado investigador subrayo en su descripción que este método le permite al atacante mantener su identidad en el anonimato. Sin embargo, cuando se usa la segunda URL, la dirección IP del atacante se envía al sitio solicitado en un campo de la solicitud HTTP, de manera que el servidor bajo ataque puede fácilmente bloquear un ataque lanzado desde una determinada dirección IP.

Después de que el investigador enviara la descripción de estas “vulnerabilidades” al equipo de seguridad de Google, la compañía cerró la primera página /_/sharebox/linkpreview/, pero no hizo ninguna modificación en la segunda gadgets/proxy? Al parecer, a los diseñadores del servicio no les pareció un serio problema que esta pagina pudiese usarse para lanzar ataques DDoS, ya que es posible bloquear fácilmente estos ataques.

Pero en general, no es muy probable que los servicios públicos se utilicen ampliamente como una herramienta para lanzar peligrosos ataques DDoS, ya que “los proveedores del servicio repararían estas vulnerabilidades tan pronto como apareciesen”.

THC-SSL-DOS

Recientemente, los investigadores le han prestado una atención cada vez mayor a los casos en los que el ciberdelincuente puede lanzar ataques efectivos DDoS con un mínimo de esfuerzo, es decir, sin recurrir a extensas redes zombi. Esto podría ocasionar un cambio de los ataques convencionales DDoS mediante grandes volúmenes de tráfico, a ataques que explotan muchos recursos en el servidor atacado. El tipo de ataque descrito a continuación se ajusta muy bien a este modelo.

En octubre, el equipo alemán de investigación “The Hacker’s Choice” presento una nueva prueba de concepto de un software para ejecutar ataques DoS en servidores web aprovechando una característica del protocolo SSL. Con la nueva herramienta conocida como THC-SSL-DOS, un solo ordenador es capaz de colapsar un servidor de configuración corriente, si es compatible con la renegociación SSL. Esta opción hace que el servidor web cree una nueva llave secreta por encima de la actual conexión SSL. Se usa muy poco, pero suele activarse por defecto en la mayoría de los servidores. El establecimiento de una conexión segura y la ejecución de la renegociación SSL requiere muchos mas recursos en el servidor atacado que en el equipo del atacante. Este ataque explota esta asimetría: si el cliente envía una multitud de peticiones de renegociación SSL, se saturaran los recursos del servidor. El peor escenario de ataque implica una multitud de clientes atacantes (el escenario SSL-DDoS).

Debemos hacer notar que no todos los servidores web son vulnerables a este tipo de ataques: algunos servidores web, como el IIS, no son compatibles con las renegociaciones SSL iniciadas por el cliente. Asimismo, los servidores web pueden recurrir a la aceleración SSL para proteger el servidor web contra una excesiva carga de trabajo.

Algunos fabricantes de software no consideran que el método de ataque descrito signifique un grave riesgo. Si la opción de renegociación SSL no puede desactivarse en su totalidad, recomiendan configurar reglas ad-hoc para interrumpir las conexiones con los clientes cuyas peticiones de renegociaciones SSL sobrepasen un determinado numero de veces por unidad de tiempo.

Los creadores del programa sostienen que incluso si un servidor no es compatible con las renegociaciones SSL, puede sufrir ataques mediante una versión modificada de su programa. En este caso, se establecerá una multitud de conexiones TCP para cada nuevo dialogo inicial SSL. Sin embargo, pueden requerirse mas bots para que el ataque sea efectivo.

Los autores señalan que han lanzado esta herramienta esperando llamar la atención sobre la “cuestionable seguridad SSL”. Afirman en su blog: “La industria debería buscar soluciones a este problema para que los ciudadanos vuelvan a estar seguros. SSL usa un método de protección de la información confidencial que es obsoleto, complejo, innecesario e inadecuado para el siglo XXI”.

Apache letal

En agosto se detecto una vulnerabilidad crítica en el popular servidor web Apache HTTPD que permite a los ciberdelincuentes agotar los recursos del servidor mediante el procesamiento incorrecto del Rango: Bytes de las cabeceras HTTP. Este campo le permite al cliente descargar archivos poco a poco usando rangos de bytes determinados. Cuando Apache procesa varias cantidades de rangos, consume mucha memoria aplicando la compresión gzip a cada rango. Esto puede en última instancia ocasionar fallos en el servicio, salvo que la configuración del servidor web limite la memoria dispuesta para el proceso. Las versiones vulnerables de Apache son la 2.0.x, incluyendo 2.0.64, y la 2.2x, incluyendo 2.2.19.

Apache ha anunciado también que este ataque DoS se estaba explotando activamente utilizando un script de Perl difundido ampliamente en Internet. Hasta que se publique el respectivo parche, los especialistas en seguridad recomiendan a los administradores de sistemas que incluyan parámetros específicos en la configuración del servidor para detectar multiples peticiones de rango, con lo cual podría ignorarse el campo Rango o rechazar por completo la petición.

Se ha reparado esta vulnerabilidad en las versiones 2.2.20 y 2.2.21, pero todavía no se ha publicado la versión 2.0.65 con actualizaciones de seguridad.

Tablas hash vulnerables

En 2003, investigadores de Rice University publicaron un documento Denial of Service via Algorithmic Complexity Attacks, en el que describían la idea de un ataque DoS dirigido contra aplicaciones que usen tablas hash. La idea consistía en que si una determinada aplicación no utiliza una función hash aleatoria en la implementación de su tabla hash, entonces un atacante podría elegir una numerosa cantidad de llaves en colisión para insertarlas en la aplicación. Como resultado, la complejidad del algoritmo usado para insertar un par “valor de llave” se multiplica diez veces, lo que incrementa el consumo de tiempo del CPU. Aunque se informo de este problema hace ya bastante tiempo, nadie había desarrollado una prueba de concepto de código que demuestre las posibilidades prácticas de un ataque. Justo hasta fines del ano 2011.

Dos investigadores alemanes presentaron un documento en la conferencia Chaos Congress Conference, en el cual reconsideran el viejo problema de las tablas hash y DoS. El documento describe un ataque que aprovecha las vulnerabilidades en muchos lenguajes de programación web, incluyendo PHP, ASP.NET, Java, Python y Ruby. Todas estas plataformas usan algoritmos hash similares, por lo que las colisiones son posibles. Para colapsar un servidor, el atacante debe enviar una petición POST a una aplicación web cerrada con una de las tecnologías mencionadas arriba. La petición debe incluir específicamente los parámetros seleccionados para que un formulario web provoque múltiples colisiones. Por lo general, las aplicaciones web usan tablas hash para guardar los parámetros que les llegan. Los investigadores probaron su prueba de concepto de ataque en plataformas vulnerables y citaron tiempos teóricos y reales necesarios para procesar las peticiones POST maliciosas para diferentes plataformas. En general, y dependiendo de la plataforma, la configuración del servidor y la cantidad de datos en la petición POST, una petición puede ocupar el CPU por un periodo de entre varios minutos a varias horas. Y con una serie de peticiones, los atacantes pueden colapsar un servidor multinucleo o incluso un grupo de servidores.

Los expertos alemanes también señalan que estas peticiones POST enviadas a un servidor bajo ataque pueden, en teoría, generarse sobre la marcha con códigos HTML o JavaScript en un tercer sitio web, como sucede en los ataques XSS (Cross-Site Scripting). Como resultado, muchos usuarios pueden verse involucrados en un ataque DoS distribuido.

También es importante subrayar que una de las diapositivas de la presentación incluía la imagen de la mascara usada por el omnipresente grupo Anonymous, una clara insinuación de que este grupo estaba involucrado en varios ataques DDoS y que recurre a nuevas tecnologías.

Antes de que se realizara la presentación oficial en la conferencia, en noviembre ya se les había informado a todos los fabricantes de lenguajes “vulnerables” de programación sobre el problema.

Microsoft respondió con prontitud publicando parches para ASP.NET, que limitan el numero de parámetros que pueden enviarse en una petición POST. La publicación del parche fue rápida debido a los temores (no infundados) de Microsoft de que alguien pudiese explotar una vulnerabilidad disponible al público. La publicación de este parche fue muy oportuna: a principios de 2012, un usuario bajo el pseudónimo de HybrisDisaster publico una serie de llaves de colisión para ASP.NET.

Los desarrolladores de Ruby publicaron nuevas versiones de CRuby y JRuby con funciones hash aleatorias. Por su parte, PHP, se limito a introducir una nueva variable, max_input_vars, que limita el numero de parámetros en las peticiones POST.

Resulta llamativo que Perl 5.8.1 y CRuby 1.9 hayan sido inmunes a este ataque desde 2003 y 2008, respectivamente, porque ya usan las funciones hash aleatorias.

El misterioso RefRef

A fines de julio, Anonymous presentaba algo novedoso: RefRef y afirmaba que podría usarse para lanzar ataques DDoS, en lugar de LOIC, que tenia la misma función.

Es sabido que Anonymous utilizo LOIC en sus numerosos ataques contra sitios web gubernamentales, de organizaciones que se oponían a Wikileaks, y de otras organizaciones. Como mencionamos mas arriba, se arrestó a mas de 30 participantes de ataques con LOIC: muchos de ellos no lograron ocultar su dirección IP, lo cual facilito su identificación.

Nuevos sitios y blogs divulgaron rápidamente información sobre la nueva herramienta DDoS. Incluso el Departamento de seguridad nacional de los Estados Unidos la menciono en su boletin de seguridad sobre potenciales amenazas y próximos ataques de Anonymous.

A pesar de la masiva divulgación de la información sobre la nueva herramienta DDoS, nadie conocía con exactitud los detalles de su implementación. Se han publicado algunas vagas declaraciones de sus “desarrolladores”, de las que se desprende que el programa se había escrito en Java o quizás en JavaScript, que explotaba alguna vulnerabilidad de inyección SQL en la mayoría de los sitios web, o que de alguna manera era capaz de subir sus propios archivos js al servidor. Y que el sitio web colapsaría por el agotamiento de los recursos del servidor: CPU, RAM, o ambos.

Anonymous también anuncio que RefRef se había probado en PasteBin y Wikileaks. El primero confirmo un ataque e incluso publico un mensaje en Twitter pidiendo que se suspendiera el ataque:

A muchos no les quedo claro por que Anonymous querría atacar a Wikileaks puesto que Anonymous había apoyado a esta organización desde el momento mismo de su creación. El representante del grupo, @AnonCMD, asumió la responsabilidad del ataque. Afirmo que era el desarrollador de RefRef y explico que el ataque se debió a disputas monetarias entre el y Assange.

Después del “anuncio” de la nueva herramienta DDoS, las cosas empezaron a suceder rápidamente. Se creo el sitio refref.org. Este sitio, que ahora esta cerrado, estaba supuestamente relacionado con los desarrolladores de la herramienta DDoS, en cuyo honor recibió el mismo nombre. Aparecieron varios scripts falsos con el nombre RefRef. El que mas se propago de ellos fue uno escrito en Perl, que solo puede usarse contra sitios que tengan una vulnerabilidad de inyección SQL. Es importante remarcar que para que un ataque tenga éxito, el atacante tiene primero que encontrar un sitio web vulnerable, pues el script solo realiza un determinado comando tipo benchmark en el servidor. Es decir, este script no sirve para atacar a la mayoría de los sitios web. Sin embargo, IBM Internet Security Systems, reacciono prontamente ante este script tomándolo como una nueva amenaza contra la seguridad de muchos sitios, y publico una advertencia especial de seguridad en su sitio y lanzo una firma IPS para sus productos.

Los miembros de Anonymous negaron repetidas veces tener algo que ver con las versiones falsas y prometieron publicar el verdadero RefRef el 17 de septiembre. Sin embargo, esto no sucedió. Mas tarde, muchos acusaron al grupo en general de mentir, y en particular a @AnonCMD. @AnonCMD había anunciado esta herramienta a sus “colegas” de Anonymous remarcando su “triunfal avance”. Posteriormente admitió que RefRef nunca había existido.

La sencilla conclusión de esta historia es que algunos representantes de Anonymous intentan atraer la atención del publico hacia Anonymous en general y a si mismos, en particular, y que los medios de comunicación los ayudaron en este sentido al propagar rumores e información sin verificar.

Estadísticas

Clasificación de las fuentes de ataques DDoS por país

Durante el segundo semestre de 2011, nuestros sistemas detectaron ataques contra ordenadores en 201 países en todo el mundo. Sin embargo, el 90% de todo el trafico DDoS provino de 23 países.

Clasificación de las fuentes de trafico DDoS por país. Segundo semestre de 2011

La clasificación geográfica de las fuentes de ataques DDoS ha cambiado. A fines del primer semestre de 2011, las primeras posiciones en la clasificación pertenecían a Estados Unidos (11%), Indonesia (5%) y Polonia (5%). En el segundo semestre del mismo ano aparecieron nuevos lideres: Rusia (16%), Ucrania (12%), Tailandia (7%) y Malasia (6%). La participación de ordenadores zombi de otros 19 países esta entre el 2% y 4%.

En Rusia y Ucrania se detectaron nuevas redes zombi creadas con programas vendidos en foros clandestinos. Curiosamente, estas redes zombi atacaban objetivos localizados en los mismos países en los que se encontraban ellas. Antes de esto, en la mayoría de los ataques detectados los bots y los servidores que atacaban se encontraban en diferentes países.

El cambio evidente que se dio en la distribución del tráfico, así como el hecho de que Rusia y Ucrania pasaran a ocupar posiciones de liderazgo, se debió en parte al uso activo de ciertas medidas anti-DDoS. Específicamente, un método de neutralización de ataques DDoS consiste en filtrar el ataque en base al país de donde proviene. La idea es muy sencilla: cuando se detecta un ataque DDoS, se activa un sistema que rechaza todos los paquetes de datos, salvo los provenientes de un determinado país. En general, solo se permite el acceso a los recursos a los usuarios del país en el que encuentra la mayoría del público del sitio. Es por esto que los ciberdelincuentes tienen que crear redes zombi en determinados países y usarlas para atacar recursos en esos mismos países para evitar los sistemas de filtros.

Sin embargo, cuando se producen ataques usando recursos fuera del país en el que se encuentra el servidor atacado, las redes zombi que operan con el enfoque “clásico” permanecen operativas. Tailandia y Malasia son buenos ejemplos de aquellos países en los que a pesar de que existen grandes cantidades de ordenadores desprotegidos, los dueños de redes zombi reciben pocos pedidos para atacar sitios en estos mismos países. Esto significa que esta región es un buen lugar para que los ciberdelincuentes instalen sus redes zombi.

Este grupo de países que representa entre el 2% y el 4% de todos los ataques DDoS, también ha cambiado en relación al primer semestre del ano. Este grupo incluye solo tres países con altos niveles de penetración en ordenadores y de seguridad informática: Irlanda (2%), Estados Unidos (3%) y Polonia (4%). Los restantes generadores de basura en el trafico eran ordenadores infectados en países en vías de desarrollo, en los que el numero de ordenadores per cápita es mucho menor, y la seguridad informática es débil: México (4%), India (4%), Pakistán (4%), Bielorrusia (3%), Brasil (3%), y otros.

Clasificación de sitios atacados por tipo de actividad online

El segmento de comercio online (tiendas, subastas, paneles de avisos para ventas, etc.) permaneció en su posición de líder: estos sitios representaron el 25% de todos los ataques registrados.

Detalle de los sitios atacados por áreas de actividad. Segundo semestre de 2011

Hacia fines de ano, el numero de ataques DDoS contra sitios web que ofrecían varios artículos empezó a incrementarse. Los ataques se dirigieron en su mayoría contra tiendas de pequeños artículos domésticos, electrodomésticos, artículos electrónicos, ropa de marca para niños y adultos, y accesorios y joyería de lujo.

Los sitios de comercio electrónico se colocaron en la segunda posición. Lucrar por medios deshonestos no es nada nuevo en el mundo financiero, y los ataques DDoS se alinean con estas prácticas. Es importante señalar que en el segundo semestre, los hackers se interesaron en los sitios web que las agencias gubernamentales y municipales usaban para sus actividades.

Los sitios de juegos representaron el 15% de todos los ataques DDoS, un 5% menos que en el segundo trimestre de 2011. Los ataques se dirigieron principalmente contra sitios que ofrecen servicios de alojamiento en servidores para juegos. A continuación se encontraban, en términos de numero de ataques, los servidores que ofrecen varios juegos online (generalmente propiedad de piratas de software). El mayor numero de ataques se dirigió contra los servidores de Lineage2 MMORPG y los que alojaban varios clones de Minecraft, un juego que se hizo muy popular en los últimos meses del ano.

Los medios de prensa representaron el 2% de todos los ataques DDoS. Entre blancos de estos ataques estaban los sitios web de canales de televisión y editores de periódicos y revistas en varias ex republicas soviéticas.

El porcentaje de ataques contra sitios web gubernamentales esta creciendo progresivamente, alcanzando el 2% en el segundo semestre de 2011. Los ataques se dirigieron en su mayoría contra sitios web oficiales de gobiernos regionales o de grandes ciudades. Los motivos de estos ataques contra sitios gubernamentales pueden ser diferentes, pero en la mayoría de los casos son en protesta por las acciones u omisiones de las autoridades.

Tipos de ataques DDoS

En el segundo semestre de 2011, el sistema de monitoreo de redes zombi de Kaspersky Lab intercepto mas de 32.000 ordenes transmitidas por la web para lanzar ataques contra distintos sitios.

Tipos de ataques DDoS. Segundo semestre de 2011

Tipos de desbordamiento HTTP. Segundo semestre de 2011

El desbordamiento HTTP sigue siendo el tipo de ataque más popular (80%). Consiste en el envío simultáneo de una gran cantidad de peticiones HTTP al sitio atacado. Los ciberdelincuentes usan distintas tecnologías para lanzar estos ataques. En el 55% de los casos, en los ataques de desbordamiento HTTP, los bots intentan acceder a una sola página del sitio. El segundo tipo más común (22%) consiste en ataques contra varios formularios de autorización. El tercero (12%) son los ataques de varios intentos por descargar un archivo desde el sitio. Los ataques mas sofisticados, en los que los ciberdelincuentes intentan camuflar sus bots imitando el comportamiento de los usuarios reales, solo representan el 10% de todos los casos.

El segundo tipo mas común de ataques DDoS (10%) son los de desbordamiento UDP. Los bots que realizan estos ataques recurren a la “fuerza bruta” al generar una gran cantidad de paquetes basura relativamente pequeños (unos 64 bytes de tamaño).

La tercera y cuarta posiciones en la clasificación de popularidad corresponden al desbordamiento SYN (8%) y al desbordamiento ICMP (2%), respectivamente.

Actividad de las redes zombi DDoS en el tiempo

Hemos analizado a que hora suelen atacar los bots DDoS. El siguiente diagrama muestra los ataques en hora local, es decir, la de los sitios atacados.

Detalle de los ataques DDoS por la hora del día. Segundo semestre de 2011

El grafico muestra que los bots DDoS comienzan a funcionar entre las 9:00 y las 10:00 de la mañana, cuando empiezan a llegar los primeros visitantes del sitio o los usuarios empiezan a usar sus ordenadores para su trabajo. El pico de actividad se registra alrededor de las 4 de la tarde. Sin embargo, los bots trabajan durante varias horas, y la mayoría de las redes zombi descansan alrededor de las 4 de la mañana.

Conclusión

No nos equivocamos cuando en nuestro informe del segundo trimestre previmos los ataques DDoS en protesta contra decisiones gubernamentales. Las actividades del grupo Anonymous no se han reducido a pesar del arresto de algunos de sus miembros. Además, los ataques DDoS como forma de protesta aglutinan a grupos que, a diferencia de Anonymous, prefieren permanecer en el anonimato. Por ejemplo, los ataques contra sitios web de partidos políticos, proyectos políticos y varios medios de prensa se realizaron en Rusia en medio de la campana para las elecciones generales, pero los que contrataron estos ataques nunca los asumieron.

La cantidad de ordenadores en las redes zombi DDoS sigue en aumento, lo que da como resultado ataques más potentes (un crecimiento del 57% en seis meses). Sin embargo, una mayor potencia de ataque tiene una desventaja, ya que estas redes zombi se convierten en objeto de investigación por parte de proyectos anti-DDoS y de las autoridades, lo que hace que resulten menos atractivas para los ciberdelincuentes. Esta es la razón por la que no veremos en 2012 redes zombi DDoS masivas. Nuestros radares mostraran mayormente redes zombi de tamaño mediano, lo suficientemente potentes para colapsar un sitio web promedio, y serán mas numerosas. Entonces, cuantas mas compañías adopten una protección anti-DDoS, los hackers tendrán que incrementar la potencia de sus ataques usando varias redes zombi que simultáneamente ataquen un solo objetivo.

Dada la demanda de los ataques DDoS, los dueños de estos negocios ilegales se preocuparan por mejorar sus tecnologías. La arquitectura de las redes zombi usadas para lanzar ataques DDoS se hará mas compleja y las redes P2P desplazaran a las redes zombi centralizadas. Además, según nuestra investigación actual, en 2012 los ciberdelincuentes buscaran nuevas formas de lanzar ataques DDoS sin recurrir a redes zombi.