Resumen de noticias
En el primer trimestre de 2021, dos nuevas botnets vieron la luz. En enero nos enteramos del malware FreakOut, que ataca a los dispositivos con sistema operativo Linux. Los atacantes explotaron varias vulnerabilidades críticas en los programas instalados en el dispositivo, entre ellas la CVE-2021-3007, descubierta este año. Los operadores de botnets suelen utilizar dispositivos infectados para lanzar ataques DDoS o extraer criptomonedas.
Otro bot activo se especializaba en dispositivos Android que tuvieran disponible la interfaz de depuración ADB (Android Debug Bridge). Su botnet recibió el nombre de Matryosh (como la muñeca de anidación rusa) por que usaba un proceso de varios pasos para obtener la dirección del servidor de administración. Este no es el primer bot que ataca dispositivos móviles a través de una interfaz de depuración, ya que esta vulnerabilidad ya fue utilizada por malware como ADB.Miner, Ares, IPStorm, Fbot y Trinity.
El primer trimestre no se libró de otra variante de Mirai. Los atacantes la usaron para infectar dispositivos de red, explotando vulnerabilidades descubiertas hace poco, así como varios errores desconocidos. Según los investigadores que identificaron el ataque, podría haber afectado a varios miles de dispositivos.
Además, en el primer trimestre de 2021, los ciberdelincuentes encontraron varias herramientas nuevas para amplificar sus ataques DDoS. Una de ellas fue el software Plex Media Server, destinado a organizar un servidor multimedia en computadoras con Windows, macOS o Linux; como también en almacenamientos NAS, reproductores de medios digitales, etc. Quedaron vulnerables alrededor de 37 000 dispositivos con Plex Media Server instalado, que eran accesibles directamente desde Internet o que recibían paquetes redirigidos desde determinados puertos UDP. El tráfico basura generado por Plex Media Server está compuesto por las respuestas a las solicitudes del Plex Media Service Discovery Protocol (PMSSDP) y amplifica el ataque por un factor de aproximadamente 4,68.
El servicio RDP para la conexión remota a dispositivos que ejecutan Windows resultó ser un vector serio de amplificación. Los servidores RDP que escuchaban en el puerto UDP 3389 permitían amplificar el ataque DDoS. Al momento de publicarse la información sobre el abuso del servicio de acceso remoto, se encontraron 33 000 dispositivos vulnerables. El factor de amplificación fue significativamente mayor que en el caso de Plex Media Server: 85,9. Para evitar ataques RDP, se recomienda ocultar los servidores RDP detrás de una VPN o deshabilitar el puerto UDP 3389 en ellos.
Sin embargo, una VPN no es una panacea si es vulnerable a los ataques de amplificación. Por ejemplo, en el primer trimestre de 2021, los atacantes comenzaron a abusar de los servidores de Powerhouse VPN. El culpable resultó ser el protocolo Chameleon, que se usa para proteger contra el bloqueo de VPN y escucha en el puerto UDP 20811. A las solicitudes a este puerto, los servidores devolvían una respuesta que era 40 veces mayor que la solicitud. Al enterarse del problema, el fabricante publicó un parche.
Lamentablemente, no todos los usuarios de programas y dispositivos vulnerables instalan de inmediato las actualizaciones. Así, a mediados de marzo, había en Internet alrededor de 4300 servidores que permitían ataques DDoS a través del protocolo DTLS. Este método fue descrito en el informe anterior. Los dispositivos vulnerables estaban mal configurados o no contaban con una versión de firmware actualizada con los ajustes requeridos. Los ciberdelincuentes ya han sumado este método de amplificación, como la mayoría de los descubiertos en el primer trimestre de 2021, al arsenal de plataformas que ofrecen el arrendamiento de potencia para ataques DDoS.
Los atacantes están interesados en los protocolos no estándar, no solo como medio de amplificación, sino también como instrumento para llevar a cabo ataques DDoS. En el primer trimestre, apareció un nuevo vector de ataque: DCCP (Datagram Congestion Control Protocol), un protocolo de transporte que permite controlar la carga en la red cuando se transfieren datos en tiempo real, por ejemplo, cuando se transmite video. Los mecanismos incorporado de protección contra la congestión del canal no los salvaron de los ataques mediante este protocolo: los atacantes inundaban a las víctimas con grandes cantidades de solicitudes de conexión. Por su parte, los destinatarios de los paquetes basura no tenían aplicaciones DCCP disponibles desde Internet. Lo más probable es que los atacantes estuviesen buscando una forma de eludir la protección DDoS estándar y actuaran al azar.
El FBI mencionó otro vector inusual de DDoS en su advertencia sobre el aumento de ataques dirigidos a teléfonos de emergencia. Estamos hablando de TDoS (Telephony Denial of Service, un DDoS telefónico): ataques destinados a mantener el número de la víctima ocupado todo el tiempo. Hay dos métodos principales de TDoS: el primero es organizar un flashmob en redes sociales o foros y el segundo, ataques automatizados mediante software de VoIP. Ninguno de los dos es nuevo, pero los TDoS contra los servicios de emergencia pueden representar una seria amenaza. Se aconseja a los usuarios que no confíen en la disponibilidad del 911, sino que tengan siempre a mano los contactos de los departamentos de emergencia locales, las direcciones de sus sitios web y sus páginas en redes sociales, o que configuren en su teléfono una alerta automática para los rescatistas, en caso de que surja una emergencia.
En general, este trimestre hubo una gran cosecha de ataques DDoS reportados en los medios. En particular, a principios de año, los extorsionistas que usan DDoS continuaron atacando activamente a organizaciones en todo el mundo. En algunos casos, demostraron tener un poder impresionante. Por ejemplo, una de las empresas de juego europeas se enfrentó a una avalancha de tráfico basura, que en su pico alcanzó los 800 GB por segundo. En Malta, el proveedor de servicios de Internet Melita también se vio afectado por los extorsionistas: un ataque DDoS “de muestra” provocó interrupciones en el trabajo de sus servicios. Al mismo tiempo, los operadores de ransomware, que previamente habían comenzado a robar los datos de las víctimas antes de cifrarlos, también dirigieron su atención a los ataques DDoS como instrumento de extorsión. El primer ataque al sitio web de una víctima que se negó a negociar tuvo lugar a fines del año pasado. En enero, los operadores de Avaddon se unieron a esta tendencia, y en marzo lo hizo el grupo responsable del ransomware Sodinokibi (REvil).
Lo más probable es que la actividad de ransomware se haya visto impulsada por el crecimiento de la tasa de las criptomonedas, que siguió tomando impulso en el primer trimestre de 2021. A principios de febrero, Tesla anunció la compra de una gran cantidad de bitcoins, lo que generó aún más publicidad en torno al dinero digital. Como resultado, varios establecimientos de cambio de criptomonedas no pudieron abastecer la afluencia de usuarios y empezaron a sufrir cortes. Como no podía ser de otra manera, también hubo ataques DDoS: la bolsa británica EXMO denunció un ataque contra sus sistemas. Los representantes de la empresa afirmaron que el problema no solo afectó al sitio, sino a toda la infraestructura de la red.
A principios de 2021, muchos usuarios seguían trabajando y pasando su tiempo libre en casa, y los ciberdelincuentes atacaban los sitios web que más demanda tenían en esta situación. Así, además del proveedor Melita mencionado anteriormente, también sufrieron ataques DDoS (aunque sin el componente de extorsión) el proveedor austriaco A1 Telekom y la empresa belga de telecomunicaciones Scarlet. En ambos casos, los clientes de las organizaciones atacadas sufrieron interrupciones en la comunicación, y en el caso de A1 Telekom, usuarios de todo el país experimentaron problemas.
El entretenimiento en línea también fue blanco de los ciberdelincuentes durante el trimestre. Así, a principios de enero, Blizzard informó que había sufrido un ataque DDoS. Debido al aluvión de tráfico basura, los jugadores, en especial aquellos que intentaban conectarse a los servidores de World of Warcraft, experimentaron retrasos. También hubo casos en los que un jugador era expulsado del servidor. Hacia finales de mes, los delincuentes atacaron League of Legends. Los jugadores que intentaban ingresar a los torneos en el modo Choque experimentaron problemas de inicio de sesión y pérdidas intermitentes de conectividad. En febrero, un ataque DDoS desactivó temporalmente el servicio de televisión del proveedor islandés Siminn. En marzo, Little Big Planet funcionó de forma intermitente durante varios días. Según los jugadores, el ataque DDoS fue organizado por un fan descontento.
A principios de 2021, muchas escuelas habían pasado a funcionar de forma presencial o híbrida, pero los ataques DDoS no se detuvieron. La diferencia es que antes los ciberdelincuentes anteriores inundaban las plataformas en línea con tráfico basura, pero en el primer trimestre intentaron dejar a las instituciones educativas sin Internet. De esta manera, en febrero las escuelas de Winthrop, en Massachusetts, y de Manchester, en Nueva Jersey, se vieron afectadas por ataques DDoS. En el segundo caso, el ataque obligó a las instituciones educativas a volver temporalmente al trabajo remoto. En marzo, CSG Comenius Mariënburg en la ciudad de Leeuwarden, capital de Frisia, se convirtió en víctima de un ataque DDoS. El ataque fue organizado por estudiantes. Dos de ellos fueron identificados con bastante rapidez, pero los funcionarios escolares sospechan que hubo otros cómplices.
En el sector salud, el evento más significativo del primer trimestre fue la vacunación contra el COVID-19. Al mismo tiempo, la conexión de nuevos segmentos de la población al programa, a menudo estuvo acompañada de interrupciones en el funcionamiento de los recursos temáticos. Entonces, a fines de enero, el sitio de inscripción para recibir vacunas de Minnesota no pudo soportar la carga. El incidente coincidió con la apertura de la inscripción de jubilados, docentes y personal de instituciones preescolares. En febrero, se produjo un error similar en el portal de vacunación de Massachusetts, que abrió la inscripción para jubilados, personas con enfermedades crónicas y empleados de asilos estatales de ancianos. En ambos casos, no se sabe con certeza si fue un ataque DDoS o una afluencia de tráfico legítimo, pero la empresa Imperva observa que hubo un aumento de la actividad de los bots en los sitios web de salud.
El primer trimestre no estuvo exento de ataques DDoS lanzados por motivos políticos. En febrero, los atacantes inundaron con tráfico basura los sitios web de la política holandesa Kati Piri y su Partido Laborista. El grupo turco Anka Nefeler Tim se atribuyó la responsabilidad. A finales de marzo, el sitio web de la Alianza Interparlamentaria sobre China (IPAC) sufrió un ataque DDoS. Los representantes de la organización señalaron que este no es el primer ataque de este tipo que sufren. Además, varias agencias gubernamentales en Rusia y Ucrania informaron haber sufrido ataques DDoS a principios de 2021. En particular, entre las víctimas estaban los sitios web del Servicio Penitenciario Federal y la Guardia Nacional de Rusia, así como la municipalidad de Kiev, el Servicio de Seguridad de Ucrania, el Consejo de Defensa y Seguridad Nacional y otras instituciones ucranianas relacionadas con la seguridad y la defensa.
Desde principios de 2021, varios medios de comunicación en Rusia y en el extranjero han sido objeto de ataques DDoS. Por ejemplo, en enero, los atacantes “derrumbaron” los sitios del periódico kazajo “Vlast” y de la organización brasileña Reporter Brasil. En el segundo caso, los ataques duraron seis días. Mucho más tiempo duró el asedio al portal de Ulyanovsk “Ulpressa”, que estuvo bajo ataque dos semanas. Cada día los ataques se realizaban en las horas punta. Por su parte, el periódico en línea KazanFirst al principio logró rechazar el flujo de tráfico basura, pero los atacantes cambiaron sus tácticas y al final lo colapsaron. De forma similar se realizaron los ataques a la revista mexicana Espejo: los administradores lograron neutralizar los primeros intentos de “derrumbar” el sitio, pero fueron seguidos por una ola más poderosa de ataques DDoS.
Pero no solo las organizaciones legítimas sufrieron ataques DDoS en el primer trimestre de 2021. En enero, muchos recursos ubicados en la red anónima Tor, popular entre los ciberdelincuentes, también funcionaron de manera intermitente. El motivo de la congestión de la red Tor podrían ser los ataques DDoS dirigidos contra sitios específicos en la web oscura. En febrero, el objetivo fue el gran foro clandestino Dread, que se utiliza, entre otras cosas, para hacer negocios en el mercado negro. La administración del foro tuvo que conectar servidores adicionales para defenderse del ataque.
Por último, de vez en cuando se logra poner en evidencia a los organizadores de DDoS. Por ejemplo, los jugadores altamente calificados que “colgaban” Apex Legends cada vez que alguien los vencía terminaron siendo bloqueados. Se impuso un castigo algo más severo a un adolescente que intentó perturbar las clases de una escuela del condado de Miami-Dade, en Estados Unidos, a finales del año pasado. No fue encarcelado, pero fue condenado a 30 horas de servicios comunitarios y a libertad condicional.
Tendencias del trimestre
En el primer trimestre de 2021, el mercado de ataques DDoS creció, respecto al período del informe anterior, más de lo que habíamos pronosticado: un poco más del 40%, mientras que esperábamos fluctuaciones dentro del 30%. Es curioso notar que el 43% de los ataques tuvo lugar en enero, lo cual es ya raro, porque este mes suele ser más o menos tranquilo.
Número comparativo de ataques DDoS, primer trimestre de 2021 y primer y cuarto trimestre de 2020. Los datos para el primer trimestre de 2020 se consideran el 100% (descargar)
El aumento inesperado en la actividad DDoS puede estar asociado con la tasa de las criptomonedas en general y bitcoin en particular, que comenzó a disminuir en enero de 2021. La experiencia de los años anteriores ha demostrado que el rápido crecimiento de las criptomonedas va seguido del mismo rápido descenso. Se puede suponer que los propietarios más apresurados de botnets esperaban este comportamiento para este año y, ante los primeros signos de una disminución en la tasa, comenzaron a devolver el poder a DDoS. Sin embargo, la criptomoneda se comportó de forma inesperada: volvió a subir en febrero, alcanzó una meseta en marzo y sigue teniendo un alto precio hasta ahora. En consecuencia, el mercado de ataques DDoS se hundió en febrero y marzo.
Cabe destacar que lo ocurrido estos dos meses coincidió con nuestro pronóstico: el mercado DDoS mostró un leve incremento en comparación con el cuarto trimestre, pero este crecimiento no superó el 30%. También es curioso que los indicadores de febrero y marzo de este año sean muy similares (con fluctuaciones dentro algunos porcentajes) a los indicadores de enero de 2020, que fue un enero normal y tranquilo. La misma imagen (enero anormal, febrero y marzo regulares) se observa al comparar los indicadores con los de 2019.
Número comparativo de ataques DDoS por meses, 2019-2021 Los datos de 2019 se consideran el 100%. (descargar)
El primer trimestre de 2019 fue bastante estable, hasta podríamos decir ejemplar. Por eso nos sirve de patrón de referencia para mostrar las desviaciones. Se ve claramente que el año pasado hubo un aumento explosivo en la actividad de los ataques DDoS en febrero y marzo, lo que hemos asociado y seguimos asociando con la epidemia del coronavirus, la transición al trabajo remoto y la aparición de una gran cantidad de nuevos objetivos vulnerables a DDoS. No menos notorios son los datos de enero de este año en comparación con los datos de 2019.
Vale la pena prestar atención a la significativa disminución de los indicadores del primer trimestre en su conjunto respecto al mismo período del año anterior. Explicamos esta brecha por las tasas anormalmente altas de 2020 que ya hemos mencionado. Durante el último año, la situación ha cambiado: las organizaciones han fortalecido los puntos débiles de la infraestructura remota y han aprendido a protegerlos, por lo que el primer trimestre de este año resultó ser… normal. Simplemente ordinario, sin ningún tipo de asimetrías: la causa de las reducidas cifras fue la anormalidad en al año anterior, y no la caída en el actual.
Al mismo tiempo, la proporción de ataques inteligentes en el primer trimestre aumentó en relación con el final de 2020 (del 44,29% al 44,60%) y en relación con su comienzo. Esto es también una confirmación indirecta de la teoría de que la reorientación de capacidades hacia actividades distintas a DDoS se debe a que los ataques son simples de organizar y proteger, y que se vuelven poco rentables para los operadores de botnets.
Proporción de ataques inteligentes, primer trimestre de 2021, y primer y cuarto trimestre de 2020 (descargar)
En nuestro informe del cuarto trimestre de 2020, notamos una tendencia a la baja en la duración de los ataques cortos y un aumento en la duración de los ataques prolongados. Esta tendencia continuó también en este trimestre, y es claramente visible en términos de duración en comparación con el cuarto trimestre del año anterior, por lo que podemos asumir, no sin cautela, que esta tendencia continuará en el futuro.
Duración del ataque DDoS, primer trimestre de 2021, y primer y cuarto trimestre de 2020. Los datos para el primer trimestre de 2020 se consideran el 100% (descargar)
Estadística
Metodología
Kaspersky tiene muchos años de experiencia en la lucha contra las amenazas informáticas, entre ellas los ataques DDoS de diversos tipos y de diferentes grados de complejidad. Los expertos de la compañía realizan un seguimiento constante de las actividades de las botnets con la ayuda del sistema DDoS Intelligence.
El sistema DDoS Intelligence es parte de la solución Kaspersky DDoS Protection, y su función es interceptar y analizar los comandos que los servidores de administración envían a los bots. Al mismo tiempo, para iniciar la protección, no es necesario esperar a que se infecten los dispositivos del usuario, ni que ocurra la ejecución real de los comandos de los atacantes.
Este informe contiene las estadísticas de DDoS Intelligence del cuarto trimestre de 2020.
En este informe consideraremos como ataque DDoS aislado aquel cuya pausa entre periodos de actividad no supere las 24 horas. Por ejemplo, si un solo recurso sufrió ataques de la misma botnet y la pausa entre ellos fue de 24 horas o mayor, los consideraremos como dos ataques. También se consideran ataques diferentes los lanzados contra un solo recurso, pero ejecutados por bots de diferentes botnets.
Determinamos la ubicación geográfica de las víctimas de los ataques DDoS; los servidores desde donde se enviaron las instrucciones se determinan por sus direcciones IP. El número de blancos únicos de ataques DDoS en este informe se calcula según el número de direcciones IP únicas de la estadística trimestral.
La estadística de DDoS Intelligence se limita a las botnets detectadas y analizadas por Kaspersky Lab. También hay que tener en cuenta que las botnets son solo uno de los instrumentos con los que se realizan ataques DDoS, y los datos que se presentan en esta sección no abarcan todos y cada uno de los ataques ocurridos durante el periodo indicado.
Vale decir que, a partir del cuarto trimestre de 2020, ha aumentado el número de botnets cuya actividad se incluye en las estadísticas de DDoS Intelligence. Esto puede afectar los datos presentados en este informe.
Resultados del trimestre
En el primer trimestre de 2021:
- Estados Unidos (37,82%; 41,98%) desplazó a China (16,64%; 10,77%) del primer lugar en cuanto al número de ataques DDoS y número de objetivos únicos.
- Vimos un aumento en la actividad DDoS en enero, que en su punto máximo fue de más de 1800 ataques por día: 1833 ataques el 10 de enero y 1820 ataques el 11 de enero. Además, durante varios días de enero, el número diario de ataques superó los 1500.
- La distribución de los ataques por día de la semana fue bastante uniforme: la diferencia entre los días más activos y los más tranquilos fue de solo 2,32 p.p.
- La cantidad de ataques DDoS breves (de menos de 4 horas) aumentó en gran medida.
- Esta vez, los tipos de ataque más generalizados fueron los UDP (41,87%), mientras que los SYN-flood cayeron al tercer lugar (26,36%).
- Las botnets de Linux (99,90%) siguen siendo responsables de casi todo el tráfico DDoS.
Geografía de los ataques
En el primer trimestre de 2021, los líderes permanentes en el número de ataques DDoS intercambiaron posiciones: Estados Unidos (37,82%) sumó 16,84 p.p. y ocupó el primer puesto, desplazando a China (16,64%), que perdió 42,31 p.p. en comparación con el período cubierto por el informe anterior. La Región Administrativa Especial de Hong Kong (2,67%), que durante mucho tiempo ocupó la tercera línea, esta vez cayó al noveno lugar, mientras que Canadá (4,94%) se ubicó entre los tres primeros.
Gran Bretaña (4,12%) también perdió su posición, a pesar de que su participación aumentó en 2,13 p.p. y pasó del cuarto al sexto lugar, detrás de Holanda (4,48%) y Francia (4,43%). En cambio, Sudáfrica, que terminó quinto el último trimestre, salió del TOP 10.
Alemania (3,78%) subió al séptimo lugar, desplazando a Australia (2,31%), que cierra el ranking este trimestre. El octavo fue Brasil (3,36%), que rara vez ha subido por encima de la undécima línea.
Distribución de los ataques DDoS por país, cuarto trimestre de 2020 y primer trimestre de 2021 (descargar)
El TOP 10 de países con el mayor número de objetivos DDoS luce similar al TOP 10 de países que han sufrido el mayor número de ataques. El líder en el primer trimestre fue Estados Unidos (41,98%), cuya participación aumentó en 18,41 p.p. La participación de China, por el contrario, se redujo a menos de la cuarta parte, del 44,49 al 10,77%, por lo que cayó al segundo lugar. Sin embargo, también existen pequeñas diferencias en las dos calificaciones. Así, Hong Kong salió del TOP 10 de países con mayor número de objetivos y Holanda subió al tercero (4,90%). Reino Unido (4,62%) fortaleció su posición, ocupando la cuarta posición, mientras que Canadá (4,05%), por el contrario, pasó del sexto al séptimo lugar, apenas una fracción de punto porcentual por debajo de Alemania (4,10%) y Francia (4,08%).
Brasil (3,31%), al igual que en la clasificación por el número de ataques DDoS, subió al octavo lugar, mientras que Australia (2,83%) subió del décimo al noveno lugar, cediendo la última posición a Polonia (2,50%). Este último país, junto con Brasil, es un invitado poco frecuente en el TOP 10.
Distribución de blancos únicos de ataques DDoS por país, cuarto trimestre de 2020 y primer trimestre de 2021 (descargar)
Dinámica del número de ataques DDoS
El primer trimestre de 2021 comenzó de manera muy dinámica. La actividad DDoS alcanzó su punto máximo el 10 y 11 de enero, cuando el número de ataques superó los 1800 por día. En enero, hubo varios días más en los que nuestros sistemas registraron más de 1500 ataques. Como mencionamos anteriormente, es probable que este aumento en la actividad se deba a la disminución a corto plazo en la tasa del bitcoin.
Después de un comienzo tormentoso, siguió un febrero relativamente tranquilo, cuando durante varios días seguidos, del 13 al 17, la norma diaria de ataques DDoS no superó los 500. El más tranquilo fue el 13 de febrero, cuando registramos solo 346 ataques. A principios de marzo, observamos otro pico, más modesto que el de enero: hubo 1311 ataques el 3 de marzo y 1290 el cuatro. Vale la pena señalar que antes de esto, una vez más, hubo una disminución en la tasa del bitcoin.
Dinámica del número de ataques DDoS, primer trimestre de 2021 (descargar)
La distribución de los ataques DDoS por día de la semana en el primer trimestre de 2021 fue mucho más uniforme que en el período cubierto en el informe anterior. La diferencia entre los días más turbulentos y los más tranquilos fue de 2,32 p.p., frente a los 6,48 p.p. del cuarto trimestre de 2020. El mayor número de ataques DDoS ocurrió los sábados (15,44%), mientras que los jueves, que lideraron el último trimestre, por el contrario, se convirtieron en los más inactivos (13,12%). En general, la proporción de días de viernes a lunes en los primeros tres meses de 2021 aumentó, mientras que la mitad de la semana laboral experimentó una ligera reducción.
Distribución de ataques DDoS por días de la semana, cuarto trimestre de 2020 y primer trimestre de 2021 (descargar)
Duración y tipos de ataques DDoS
La duración media de un ataque DDoS en el primer trimestre se redujo en más de la mitad en comparación con el cuarto trimestre de 2020. La proporción de ataques muy breves, que duran menos de cuatro horas, aumentó notablemente (91,37% frente al 71,63% del período cubierto en el informe anterior). Al contrario, la proporción de ataques más prolongados disminuyó. Los ataques que duraron de cinco a nueve horas perdieron 7,64 p.p. y representaron el 4,14% del total de ataques. Solo el 2,07% de los incidentes duró de 10 a 19 horas y el 1,63% duró de 20 a 49 horas. Los ataques que duraron entre 50 y 99 horas en el primer trimestre representaron menos del 1% del total. Los ataques largos (0,07%) y ultra largos (0,13%) también disminuyeron ligeramente.
Distribución de los ataques DDoS por duración, cuarto trimestre de 2020 y primer trimestre de 2021 (descargar)
La distribución de los ataques por tipo siguió cambiando. En el primer trimestre de 2021, SYN flood, el líder permanente de esta calificación (26,36%), cedió su posición al perder 51,92 p.p. y quedó en tercer lugar. Los ataques UDP-flood (41,87%) y TCP (29,23%), por otro lado, se han vuelto muy populares entre los ciberdelincuentes. Las acciones de GRE-flood (1,43%) y HTTP-flood (1,10%), que cierran el rating, también aumentaron ligeramente.
Distribución de ataques DDoS por tipo, primer trimestre de 2021 (descargar)
En cuanto a los tipos de botnets, en el primer trimestre los bots para Linux volvieron a ser responsables de la gran mayoría de los ataques. Además, su participación aumentó un poco en comparación con el período del informe anterior: del 99,80 al 99,90%.
Proporción de ataques de botnets Windows y Linux, cuarto trimestre de 2020 y primer trimestre de 2021 (descargar)
Distribución geográfica de las botnets
Como ya es tradición, la mayoría de los servidores de administración que controlaban los ataques en el primer trimestre estaban ubicados en Estados Unidos (41,31%). La participación de este país aumentó en 5,01 p.p. respecto al cuarto trimestre de 2020. El segundo y tercer lugar lo ocuparon nuevamente Alemania (15,32%) y Holanda (14,91%), solo que esta vez intercambiaron lugares: la participación del Holanda disminuyó, mientras que la participación de Alemania casi se duplicó.
Rumanía cayó del cuarto al séptimo lugar (2,46%), y quedó detrás de Francia (3,97%), Gran Bretaña (3,01%) y Rusia (2,60%). Canadá se mantuvo en el octavo lugar (1,92%), seguido de Singapur y Seychelles, que tuvieron el mismo número de servidores de administración el primer trimestre (1,37%).
Países con el mayor número de servidores de administración de botnets, primer trimestre de 2021 (descargar)
Conclusión
El primer trimestre comenzó con un aumento en la actividad DDoS que ocurrió en el contexto de la caída de la tasa de las criptomonedas, pero en general fue más o menos tranquilo. Al mismo tiempo, observamos varios cambios inesperados. En particular, Estados Unidos desplazó a China del primer lugar en términos tanto del número de ataques DDoS, como del número de objetivos. Las inundaciones SYN, que durante mucho tiempo han sido el tipo de ataque más común, esta vez dieron paso a UDP-flood y TCP-flood.
En lo que atañe al pronóstico para el segundo trimestre, todavía no vemos premisas para que haya grandes cambios en el mercado DDoS. Como siempre, mucho dependerá de la tasa de las criptomonedas, que ahora es muy alta. Además, la experiencia de años anteriores muestra que el segundo trimestre suele ser algo más tranquilo que el primero, por lo que, si no hay grandes conmociones, podemos esperar un ligero descenso, o que el mercado DDoS se mantenga más o menos en el mismo nivel. Sin embargo, si el mercado de las criptomonedas comienza a caer en picado, pronosticamos un aumento en la actividad DDoS, causado sobre todo por ataques de corta duración.
Ataques DDoS en el primer trimestre de 2021