Los ataques DDoS en el segundo trimestre de 2017

Resumen de noticias

En el segundo trimestre de 2017, vimos que los ataques DDoS se usaron con cada vez más frecuencia como un instrumento de lucha política. La crisis de Qatar fue acompañada por un ataque a la página web de la agencia de noticias más grande de la región, Al Jazeera; en el fragor de las elecciones presidenciales francesas, sufrieron los periódicos le Monde y Fígaro; y en Gran Bretaña se recordó la historia de hace un año cuando prolongados ataques contra el sitio de registro de electores para el referéndum sobre el abandono de la Unión Europea dejó fuera a una parte de la población.

Una historia muy ilustrativa ocurrió en los Estados Unidos, donde la Comisión Federal de Comunicaciones (FCC) divulgó planes para derogar el principio de la neutralidad de Internet, que fue legislada hace dos años. Debido a un ataque masivo, el sistema de comentarios en el sitio web de la Comisión dejó de funcionar durante unas 24 horas y finalmente se lo tuvo que deshabilitar. No quedó claro qué había causado que el sistema fallase, si las incursiones de los opositores a la neutralidad, que mandaban los mismos comentarios muchas veces, o un ataque de los partidarios de la neutralidad que intentaban impedir que los oponentes inundaran el sitio de la FCC con falsos comentarios.

Sin embargo, el principal motivo de los ataques DDoS sigue siendo el dinero. El revuelo alrededor de las criptomonedas condujo a un aumento brusco en su tasa de cambio en el segundo trimestre de 2017, lo que atrajo la atención de los ciberdelincuentes. Bitfinex, la bolsa más grande de Bitcoin, fue atacada al mismo tiempo que se empezó a cotizar la nueva divisa IOTA. Un poco antes, la bolsa BTC reportó una ralentización en su funcionamiento debido a un potente ataque DDoS. Al parecer, de esta manera los hackers están tratando de manipular los tipos de cambio, objetivo muy posible dada la alta volatilidad de las criptomonedas.

Los propietarios de botnes DDoS no se limitan a arrendar sus recursos. A finales de junio se registró un intento de extorsión a gran escala bajo la amenaza de lanzar ataques DDoS. Un grupo autodenominado Armada Collective, exigió cerca de 315 000 dólares a siete bancos surcoreanos por no interrumpir sus servicios en línea. Según el informe de Radware, éste no es el primer intento de extorsión DDoS ejecutado por este grupo.

Con el aumento de las pérdidas provocadas por los ataques DDoS, los organismos policiales también están empezando a tomar más en serio a los organizadores de los ataques. En abril de 2017, en el Reino Unido, un tribunal condenó a un joven a dos años de prisión por una serie de ataques que había cometido cinco años antes, cuando era estudiante. El condenado creó la botnet Titanium Stresser y vendía sus servicios en la Darknet, llegando a ganar 386 000 libras esterlinas.

En el segundo trimestre hemos visto pocas novedades técnicas en los ataques DDoS, pero hay informes sobre un nuevo vector de ataques DDoS que ameritan atención. Los investigadores de Corero Network Security reportaron que ya habían registrado más de 400 ataques mediante servidores LDAP mal configurados. El pico de potencia observado fue de 33 GB/c. Gracias a que se utilizó el principio de reflexión con amplificación, se requieren relativamente pocos recursos para lanzar este tipo de ataque.

El ataque DDoS del segundo trimestre más famoso fue el que afectó a los servidores de Skype. Muchos usuarios de este programa de mensajería experimentaron problemas de conexión en todo el mundo. El grupo Cyberteam reivindicó la responsabilidad de esta acción, pero sus motivos se desconocen.

Tendencias del trimestre

Ransom DDoS

La tendencia de extorsionar para conseguir dinero bajo la amenaza de ataques DDoS se está haciendo evidente en este trimestre. Este enfoque ha recibido el nombre de Ransom DDoS o RDoS. Los atacantes envían un mensaje a la compañía de la víctima solicitando un rescate de entre 5 y 200 bitcoins. En caso de no recibir el pago, prometen organizar un ataque DDoS al recurso en línea de la víctima que tenga una importancia crítica. Estos mensajes suelen ir acompañados de ataques cortos como demostración de fuerza. La víctima se escoge con mucho cuidado y suelen ser empresas que pueden sufrir perjuicios significativos si sus recursos dejan de estar disponibles.

Existe un método diferente: Los hackers, con la esperanza de obtener ganancias rápidas con el mínimo esfuerzo, envían mensajes con la amenaza de organizar ataques DDoS y demandas de rescate a un gran número de empresas, sin importarles en qué campo trabajan. En la mayoría de los casos no se hace ningún ataque de prueba. Si una empresa decide pagar el rescate, puede crearse determinada reputación y provocar ataques de otros grupos de delincuentes.

Estos últimos, hay que decirlo, con frecuencia no son equipos bien coordinados de hackers , sino advenedizos que no dominan las técnicas necesarias para organizar un ataque DDoS, pero que tienen los medios para “demostrar sus posibilidades”. Las víctimas son aquellas empresas que, por una u otra razón, no cuentan con los recursos para organizar la protección de sus servicios y que disponen de dinero para pagar el rescate.

SambaCry

Otro suceso importante de este trimestre fue la detección de vulnerabilidades en el software de la red Samba, que permite a los hackers ejecutar comandos de forma remota en dispositivos basados en Linux y Unix. Samba es una suite de software que permite conectarse a unidades de red e impresoras y funciona en la mayoría de sistemas similares a Unix, como Linux, Solaris compatible con POSIX, Mac OS X Server y diversas variantes de BSD.

Todas las versiones de Samba, a partir de la 3.5.0, son vulnerables a la ejecución remota de código, permiten a un atacante descargar una biblioteca compartida a un recurso abierto para la escritura, para después forzar al servidor a ejecutar código malicioso, declaró el portavoz de la empresa Samba.

Las estimaciones preliminares indican que el número de dispositivos en los que se instaló el software es superior a 500 000. Esto sugiere que los hackers pueden utilizarlos para crear redes de bots para organizar ataques DDoS a gran escala.

Estadística de ataques DDos lanzados por medio de botnets

Metodología

Kaspersky Lab tiene años de experiencia en la lucha contra las amenazas cibernéticas, entre ellas los ataques DDoS de diversos tipos y grados de complejidad. Los expertos de la compañía realizan un seguimiento constante de las actividades de las botnets con la ayuda del sistema DDoS Intelligence.

El sistema DDoS Intelligence es parte de la solución Kaspersky DDoS Prevention y está diseñado para interceptar y analizar las instrucciones que los centros de administración y control envían a los bots, pero sin necesidad de infectar ningún dispositivo del usuario ni de ejecutar las instrucciones de los delincuentes.

Este informe contiene las estadísticas de DDoS Intelligence del segundo trimestre de 2017.

En este informe consideraremos como un ataque DDoS aislado (es decir, un ataque) aquel cuya pausa entre periodos de actividad no supere las 24 horas. Por ejemplo, si un solo recurso sufrió ataques de la misma botnet y la pausa entre ellos fue de 24 horas o mayor, los consideraremos como dos ataques. También se consideran ataques diferentes los lanzados contra un solo recurso, pero ejecutados por bots de diferentes botnets.

La ubicación geográfica de las víctimas de los ataques DDoS y los servidores desde donde se enviaron las instrucciones se determinan por sus direcciones IP. El número de blancos únicos de ataques DDoS en este informe se calculará por el número de direcciones IP únicas de la estadística trimestral.

Es importante mencionar que la estadística de DDoS Intelligence se limita a las botnets detectadas y analizadas por Kaspersky Lab. También hay que tener en cuenta que las botnets son sólo uno de los instrumentos con los que se realizan ataques DDoS y los datos que se presentan en este informe no abarcan todos los ataques ocurridos durante el periodo indicado.

Resultados del trimestre

• En el segundo trimestre de 2017 se registraron ataques contra blancos de 86 países del mundo, 14 más que en el trimestre anterior.
• Como en el último trimestre, casi la mitad de los ataques (47,42%) fue contra blancos ubicados en China.
• Tanto por el número de ataques, como por el de objetivos, China, Corea del Sur y los Estados Unidos siguen liderando. En el TOP3 de servidores de comando Tor detectados están los mismos países, pero Corea del Sur subió al primer puesto.
• En el segundo trimestre volvieron los ataques DDoS prolongados. El récord de duración fue de 277 horas, un 131% mayor que en el primer trimestre. Al mismo tiempo, la proporción de ataques de menos de 50 horas de duración permaneció casi inalterada (99,7% contra 99,8% en el último pasado).
• La proporción de los ataques TCP (de 26,6% a 18,2%) y ICPM (de 8,2% a 7,3) cayó significativamente. Esto provocó el incremento del porcentaje de ataques SYN-DDoS y UDP y HTTP.
• Los bot para Linux se recuperaron de la caída experimentada por su porcentaje el último trimestre. Ahora son responsables del 51,23% de los ataques (contra el 43,40% en el trimestre pasado).

Geografía de los ataques

En el segundo trimestre, observamos ataques DDoS en 86 países. La mayor parte tuvo lugar en China (58,07% del total de ataques), 3 puntos porcentuales más que en el trimestre anterior. Corea del Sur redujo su participación (del 22,41% al 14,17%), pero permaneció en la segunda posición, mientras que Estados Unidos aumentó su proporción del 11,37% al 14,03%, y casi llegó a igualar a Corea del sur.

El TOP 10 de líderes en este trimestre abarcó el 94,60% de los ataques. Italia (0,94%) y Holanda (0,84%) entraron a esta lista y desplazaron a Vietnam y Dinamarca. Rusia (1,23%) perdió 0,37 puntos porcentuales, cayendo del cuarto lugar al sexto, mientras que Gran Bretaña aumentó su proporción de 0,77% a 1,38%, subiendo del séptimo al quinto lugar.

Distribución de los ataques DDoS por país, primer y segundo trimestres de 2017

En el segundo trimestre de 2017, el 95,3% de los ataques apuntó a blancos del TOP 10.

Distribución de blancos únicos de ataques DDoS por país, primer y segundo trimestre de 2017

China conservó el primer puesto según el número de objetivos, con el 47,42% de los blancos en su territorio, que es sólo 0,36 puntos porcentuales menos que el trimestre anterior. Los Estados Unidos subieron del tercer al segundo puesto, desplazando a Corea del Sur. En consecuencia, la participación de los Estados Unidos ascendió hasta alcanzar el 18,63% (frente al 13,80% en el primer trimestre) y la de Corea del Sur cayó del 26,57% al 16,37%.

La participación de los blancos ubicados en el territorio de Rusia bajó del 1,55% en el primer trimestre al 1,33% en el segundo, por lo que Rusia descendió del quinto al séptimo lugar. Abandonaron el TOP 10 Vietnam y Dinamarca. Sus lugares los ocuparon Italia (1,35%) y Australia (0,97%).

Dinámica del número de ataques DDoS

En el segundo trimestre de 2017, el número de ataques por día osciló entre 131 (17 de abril) y 904 (13 de abril). Los valores pico se registraron el 24 de abril (581), el 7 de mayo (609), el 10 de junio (614) y el 16 de junio (621). Se observó una relativa tranquilidad el 14 de abril (192), el 31 de mayo (240) y el 23 de junio (281).

Dinámica del número de ataques DDoS*, segundo trimestre de 2017
_{* Debido a que los ataques DDoS pueden prolongarse de forma ininterrumpida por varios días, en la línea de tiempo un ataque puede contarse varias veces, una por cada día.}

En el segundo trimestre de 2017, el día más tranquilo en lo que a ataques DDoS se refiere fue el lunes (11,74% de los ataques), y el día más tenso fue el domingo (15,57%), debido a que se redujo la actividad del sábado (del 16,05% en el primer trimestre al 14,39% en el segundo). Por la cantidad de ataques, el segundo día más activo fue el jueves (15,39%), con un índice ligeramente menor que el domingo.

Distribución de ataques DDoS por días de la semana

Tipos y duración de los ataques DDoS

En el segundo trimestre de 2017, los ataques SYN-DDoS recuperaron parcialmente las posiciones perdidas en el trimestre anterior, elevando su participación del 48,07% al 53,26%. Aumentaron los porcentajes de ataques UDP (del 8,71% al 11,91%) y HTTP (del 8,43% al 9,38%). Pero la proporción de ataques TCP-DDoS tuvo una caída brusca (del 26,62% al 18,18%) y hubo una ligera disminución en la popularidad de ataques ICMP (del 8,17% al 7,27% de los ataques registrados).

Distribución de ataques DDoS por tipos

En el segundo trimestre de 2017, volvieron a la estadística los ataques de muy larga duración. El 0,07% de los ataques duró más de 100 horas, con un ataque récord que se prolongó 277 horas, más de 157 horas más que el récord del trimestre anterior. Al mismo tiempo, aumentó la proporción de ataques de hasta 4 horas, del 82,21% en el último trimestre al 85,93% en el segundo. En consecuencia, bajó el porcentaje de ataques de 5 a 49 horas de duración.

Distribución de ataques DDoS por duración, horas

Servidores de administración y tipos de botnets

El TOP 3 de países por el número de servidores de control y control identificados en el segundo trimestre, tuvo ciertos cambios. En el tercer puesto ahora está China, con un 7,74%, habiendo desplazado a los Países Bajos, que a pesar de haber subido del 3,51% al 4,76%, bajaron al cuarto puesto. Corea del Sur siguió siendo el líder, con una participación que bajó del 66,49% al 49,11%. El segundo puesto lo siguen ocupando los Estados Unidos (16,07%). En total, el TOP 3 abarcó el 72,92% de los servidores de administración.

Este trimestre Canadá y Dinamarca (0,89%) entraron al TOP 10, desplazando Rumania y el Reino Unido. Disminuyeron notablemente en comparación con el primer trimestre de 2017 los índices de Hong Kong (del 1,89% al 1,19%) y Rusia (del 3,24% al 2,68%).

Distribución de los servidores de administración de botnets por países, segundo trimestre de 2017

La distribución por sistemas operativos en el segundo trimestre fue casi uniforme: la participación de los bots para Linux fue del 51,23%, y para Windows, 48,77%.

Proporción de los ataques lanzados desde botnets para Windows y para Linux

Conclusión

En comparación con el trimestre anterior, no hubo cambios extraordinarios en las estadísticas del segundo trimestre de 2017: cerca de la mitad de los ataques DDoS se siguen originando en China, y la mitad de los blancos que hemos identificado están en este país.

En el segundo trimestre, se hizo evidente que la amenaza representada por los ataques DDoS se toma tan en serio, que algunas compañías están dispuestas a pagar a los atacantes literalmente después de su primera demanda, sin esperar un ataque. Esto dio lugar a toda una ola de fraude relacionado con la extorsión de dinero bajo la amenaza de ataques Ransom DDoS. La seriedad de la situación se confirma por el hecho que a menudo los hackers descuidan demostrar sus capacidades y simplemente envían mensajes pidiendo el rescate a un gran número de direcciones. Por supuesto, el “umbral de entrada” a los ataques Ransom DDoS es muy bajo, y los extorsionadores no necesitan recursos o conocimientos técnicos significativos.