Los ataques DDoS en el cuarto trimestre de 2017

Resumen de noticias

En términos de noticias sobre ataques DDoS, el último trimestre de 2017 estuvo más animado que el anterior. Se descubrieron y pusieron fuera de combate grandes botnets. Por ejemplo, a principios de diciembre, las fuerzas conjuntas del FBI, Microsoft y Europol, neutralizaron la botnet Andromeda, que existía desde 2011. A finales de octubre, la agencia central de ciberseguridad de la India (CERT) advirtió que ciertos malhechores habían organizado una gran botnet mediante el malware Reaper y IoTroop. A principios de octubre, se había logrado detener la propagación del bot Sockbot, que se difundía en Google Play por medio de aplicaciones infectadas.

Aparte de la lucha contra los troyanos y las botnets creadas con su ayuda, tres tendencias dominaron los últimos meses en el área de las amenazas DDoS: ula lucha política, los intentos de lucrar con los cambios de precio de Bitcoin y el aumento de la presión por parte de los organismos de aplicación de la ley.

La lucha política con la ayuda de ataques DDoS sigue siendo bastante notable, pero da pocos resultados. A finales de octubre, durante las elecciones parlamentarias en la República Checa, se lanzó un ataque DDoS contra la oficina de estadísticas encargada del escrutinio. El ataque causó una serie de inconvenientes, pero no logró obstaculizar el proceso, y los resultados de las elecciones se anunciaron a tiempo.

Otra protesta política realizada mediante ataques DDoS y relacionada con la cuestión catalana tuvo como blanco al Gobierno de España. Los hacktivistas del grupo Anonymous dejaron fuera de servicio el sitio web del Tribunal Constitucional de España y pusieron en el sitio del Ministerio de obras públicas y transporte el mensaje “Independencia para Cataluña”.

La política es la política, pero los negocios están en primer lugar. Como hemos observado el último trimestre, los bitcoins y todo lo relacionado con ellos están en la cima de su popularidad comercial. Lo cual no es sorprendente, considerando el explosivo crecimiento de su tasa de cambio. Así, después de que un nuevo tipo de criptomoneda llamado Bitcoin Gold (BTG) se separara de Bitcoin, los sitios de BTG empezaron inmediatamente a sufrir ataques DDoS. Después del despegue del precio de esta criptomoneda en noviembre, una tormenta de ataques DDoS cayó sobre la bolsa Bitfinex, al parecer con el fin de lucrar con las fluctuaciones de la tasa de Bitcoin resultantes de la denegación de servicio. Poco tiempo después de haberse recuperado del ataque de noviembre, otros dos ataques lanzados en la primera mitad de diciembre paralizaron Bitfinex.

Y si de servicios totalmente paralizados hablamos, no podemos dejar de mencionar que también quedaron fuera de servicio cuatro mercados clandestinos en la red “profunda”, que se usan para todo tipo de comercio ilegal: Trade Route, Tochka, Wall Street Market y Dream Market. Las interrupciones en su funcionamiento comenzaron en octubre y continúan hasta ahora. Al principio, no estaba claro si estos ataques masivos y bien coordinados estaban relacionados con las diligencias de las fuerzas de seguridad, como la reciente destrucción de AlphaBay y Hansa, o con los intentos de competidores de repartirse territorios. Los ataques subsecuentes contra las demás plataformas de comercio a principios de diciembre despejaron las dudas de los analistas: se trataba de una ciberguerra a muerte entre los cárteles de la droga.

Sin embargo, los organismos encargados de hacer cumplir la ley, en particular el sistema judicial, tampoco están dormidos. En el cuarto trimestre, se hicieron numerosas acusaciones y se dictaron muchos veredictos de culpabilidad en los procesos por organización de ataques DDoS. El sistema judicial de Estados Unidos fue el que más se distinguió: A mediados de diciembre, tres acusados, Paras Jah, Josias White y Dalton Norman, se confesaron culpables de haber creado la botnet Mirai.

A finales de diciembre se declaró culpables a los fundadores de los grupos de hackers Lizard Squad y Poodlecorp, el americano Zachary Buchta y el holandés Bradley Jan Willem van Rooy.

En el Reino Unido comenzó un juicio de gran resonancia contra el joven hacker Alex Bessell de Liverpool, acusado de una serie de ciberataques a gran escala, llevados a cabo entre de 2011 y 2013 contra gigantes como Skype, Google y Pokemon. Otro hacker aún más joven que lanzó un ataque contra el Banco NatWest, la Oficina Nacional de investigación de Gran Bretaña, Vodafone, BBC y Amazon, ya fue condenado a un año y medio de prisión con un aplazamiento de dos años.

Con el castigo de los delincuentes cibernéticos también está conectado un curioso caso: En Minnesota se presentaron cargos contra John Gemmell, de 46 años de edad, quien había contratado tres servicios de hackers para crear problemas durante un año a sus antiguos empleadores, los sitios del sistema judicial del distrito donde residía, y hasta a varias empresas en las que había trabajado bajo contrato. Es difícil rastrear a los clientes de los ataques DDoS, pero Gemmell no se resistió a la tentación de burlarse de sus ofensores enviándoles mensajes de correo electrónico, que fueron los que lo delataron. Los investigadores reportaron que los servicios de hackers se comunicaban con Gemmell de una forma muy profesional y le agradecieron muy cordialmente por la compra de paquetes de servicios extendidos y de actualizaciones de suscripción.

Tendencias del trimestre

El cuarto trimestre nos mostró que los ataques DDoS pueden pasar a la categoría de “perturbaciones de ruido” constantes de Internet: la cantidad de tráfico de basura ha aumentado tanto que las caídas de los servidores ante el alud de solicitudes puede ser no sólo el objetivo, sino también el resultado accidental de los efectos secundarios de las actividades de las botnets. Así, en diciembre registramos un gran número de solicitudes enviadas a dominios inexistentes de niveles 2 y 3, que crearon una carga anormal en los servidores DNS de la zona RU. Al final resultó que el responsable era una de las modificaciones del troyano Lethic. Este malware es conocido desde hace mucho tiempo, tiene un gran número de versiones, y su principal tarea es pasar el tráfico de spam a través del dispositivo infectado, que de hecho actúa como un servidor proxy.

La versión que encontramos se destacó de la masa general de modificaciones en que usaba varios procesos simultáneos para crear un gran número de solicitudes a dominios no existentes. El estudio estableció que este comportamiento era un intento de enmascarar las direcciones de los servidores de comando detrás de un gran número de solicitudes basura, y la carga excesiva sobre los servidores DNS era sólo el resultado de un error de diseño en el malware. Sin embargo, los ataques DDoS contra los servidores DNS realizados mediante solicitudes basura son bastante comunes y se pueden implementar sin mucho esfuerzo. Nuestros expertos han enfrentado en varias ocasiones problemas similares en servidores de clientes. En este caso, lo que reviste interés es el método y el efecto resultante, que quizá no estaba en los planes de los organizadores.

Estadística de ataques DDos lanzados por medio de botnets

Metodología

Kaspersky Lab tiene muchos años de experiencia en la lucha contra las amenazas informáticas, entre ellas los ataques DDoS de diversos tipos y de diferentes grados de complejidad. Los expertos de la compañía realizan un seguimiento constante de las actividades de las botnets con la ayuda del sistema DDoS Intelligence,

El sistema DDoS Intelligence es parte de la solución Kaspersky DDoS Prevention y está diseñado para interceptar y analizar las instrucciones que los centros de administración y control envían a los bots, pero sin necesidad de infectar ningún dispositivo del usuario ni de ejecutar las instrucciones de los delincuentes.

Este informe contiene las estadísticas de DDoS Intelligence del cuarto trimestre de 2017.

En este informe consideraremos como un ataque DDoS único aquel cuya pausa entre periodos de actividad no supere las 24 horas. Por ejemplo, si un solo recurso sufrió ataques de la misma botnet y la pausa entre ellos fue de 24 horas o mayor, los consideraremos como dos ataques. También se consideran ataques diferentes los lanzados contra un solo recurso, pero ejecutados por bots de diferentes botnets.

La ubicación geográfica de las víctimas de los ataques DDoS y los servidores desde donde se enviaron las instrucciones se determinan por sus direcciones IP. El número de blancos únicos de ataques DDoS en este informe se calculará por el número de direcciones IP únicas de la estadística trimestral.

La estadística de DDoS Intelligence se limita a las botnets detectadas y analizadas por Kaspersky Lab. También hay que tener en cuenta que las botnets son sólo uno de los instrumentos con los que se realizan ataques DDoS y los datos que se presentan en este informe no abarcan todos y cada uno de los ataques ocurridos durante el periodo indicado.

Resultados del trimestre

• En el cuarto trimestre de 2017 se registraron ataques DDoS contra objetivos situados en 84 países del mundo (en el tercer trimestre fueron 98 países). Sin embargo, al igual que en el trimestre anterior, la abrumadora mayoría de los ataques se llevó a cabo en los países ubicados en los primeros diez lugares de la lista (el 94,48% en comparación con el 93,56%).
• Más de la mitad (51,84%) de los ataques en el cuarto trimestre fue contra objetivos ubicados en el territorio de China. Este porcentaje es casi idéntico al del informe del trimestre anterior (51,56%).
• Como ya es tradición, Corea del Sur, China y Estados Unidos siguen liderando por el número de ataques DDoS y el número de blancos de los ataques. Pero por el número de servidores de administración de botnets, Rusia se ha unido a esta este trío: su participación relativa se ha igualado a la de China.
• El ataque DDoS más prolongado del cuarto trimestre de 2017 duró 146 horas (poco más de seis días). Pero fue mucho más corto que el récord del trimestre anterior, que alcanzó 215 horas (casi nueve días). El récord de duración de los ataques en 2017 se registró en el segundo trimestre y fue de 277 horas.
• En los días precedentes y posteriores al Viernes Negro y al Ciberlunes se observó una mayor actividad en los servidores-trampa Linux (honeypot-traps), que duró hasta principios de diciembre.
• Los métodos de ataque más populares siguen siendo los de tipo SYN-DDoS, y el menos popular es ICMP-DDoS. Al mismo tiempo, según Kaspersky DDoS Protection, la frecuencia de los ataques que utilizan varios métodos al mismo tiempo ha aumentado.
• En el cuarto trimestre de 2016 el porcentaje de botnets Linux disminuyó ligeramente quedando en el 76,7% del total de los ataques llevados a cabo.

Geografía de los ataques

En el cuarto trimestre de 2017, los ataques DDoS afectaron a 84 países, lo que implica cierta mejora en comparación con el tercer trimestre, cuando 98 países fueron afectados por ataques DDoS. Como de costumbre, la mayor parte de los ataques afectó a China, aunque la proporción de este país disminuyó ligeramente (del 63,30% al 59,18%), acercándose al nivel del segundo trimestre. Los índices de los Estados Unidos y Corea del sur, que retienen el segundo y tercer lugar, aumentaron ligeramente al 16,00% y 10,21% respectivamente.

El cuarto lugar le corresponde a Gran Bretaña (2,70%), que aumentó 1,4 p.p. y quedó por delante de Rusia. El número de ataques en Rusia bajó un poco, solo en 0,3 p.p., pero esta reducción la envió al sexto lugar, detrás de Vietnam (1,26%), que volvió a situarse entre los diez primeros, desplazando a Hong Kong.

Distribución de ataques DDoS por países, tercer y cuarto trimestre de 2017

El porcentaje de ataques contra blancos ubicados en los diez primeros países experimentó un leve aumento en el último trimestre, con casi el 92,90% frente al 91,27% en del tercer trimestre de 2017. Podemos decir que la situación a este respecto ha cambiado poco.

Alrededor de la mitad de los objetivos sigue estando en China (51,84%), en segundo lugar están los EE.UU. (19,32%), donde, después de un ligero descenso en el último trimestre, el número de objetivos se acerca al 20%. En tercer lugar está Corea, con el 10,37% de los objetivos. En esta categoría, Vietnam también desplazó a Hong Kong de las primeras diez posiciones ocupando el noveno lugar con una participación del 1,13%. Rusia (1,21%) perdió 1 p.p. quedando en el séptimo lugar, por debajo del Reino Unido (3,93%), Francia (1,60%), Canadá (1,24%) y los Países Bajos (1,22%), cuya participación apenas ha cambiado desde el último trimestre.

Distribución de blancos únicos de ataques DDoS, tercer y cuarto trimestre de 2017

Dinámica del número de ataques DDoS

Las estadísticas de actividad de servidores Linux especialmente programados para atraer a los delincuentes (denominados “trampas”) muestran que los picos máximos de actividad de las botnets en este trimestre ocurrieron en los días anteriores y posteriores a las liquidaciones en las tiendas. Se hizo muy visible la delirante actividad que desplegaron este año los delincuentes en las vísperas del Viernes Negro y el Ciberlunes, y que se apagó en el segundo tercio de diciembre.

Los picos más significativos ocurrieron el 24 y 29 de noviembre, cuando el número de direcciones IP individuales que atacaron nuestros recursos se duplicó y alcanzó los varios miles. También se observó un aumento de la actividad a finales de octubre, al parecer debido a los preparativos para Halloween.

Estas fluctuaciones pueden reflejar los intentos de los delincuentes por aumentar las dimensiones de sus botnets antes de que empiecen las liquidaciones. Las vísperas de las fiestas es un periodo conveniente para el crecimiento criminal en dos aspectos: En primer lugar, los usuarios son menos críticos y fácilmente dejan sus dispositivos a merced de los delincuentes; en segundo lugar, la perspectiva de grandes ganancias permite chantajear los servicios por Internet, amenazándolos con posibles pérdidas o con ofrecer sus servicios a la competencia.

Dinámica de ataques contra las trampas Linux en el cuarto trimestre 2017*
_{* Se muestran los cambios en el número de IP únicas por día}

Tipos y duración de los ataques DDoS

En el cuarto trimestre se redujo el porcentaje de ataques SYN-DDoS (del 60,43 al 55,63%), debido a la disminución de la actividad del bot DDoS para Linux Xor, pero estos ataques todavía ocupan el primer lugar. También se redujo el porcentaje de ataques ICMP (hasta el 3,37%) que siguen siendo los menos populares. La frecuencia relativa de los ataques de los demás tipos aumentó en proporción inversa, sin embargo, si el último trimestre los ataques TCP estaban en segundo lugar después de los SYN, ahora los UDP desplazaron con éxito estos dos tipos, subiendo de la penúltima a la segunda posición (en el cuarto trimestre los ataques UDP DDoS representaron el 15,24% del total).

Distribución de ataques DDoS por tipo, cuarto trimestre de 2017

A su vez, las estadísticas anuales de Kaspersky DDoS Protection muestran una disminución de la popularidad de los ataques DDoS que utilizan sólo flood HTTP y HTTPS. En consecuencia, aumentó la frecuencia de los ataques que utilizan varios métodos al mismo tiempo. Sin embargo, uno de cada tres ataques mixtos incluye flood HTTP o HTTPS. Esta técnica puede estar relacionada con el hecho de que organizar ataques HTTP(S) es bastante costoso y complejo, mientras que su uso en un ataque mixto permite a los delincuentes aumentar la efectividad global de un ataque mixto sin costo adicional.

Relación de tipos de ataques según los datos de Kaspersky DDoS Protection, 2016 y 2017

En el cuarto trimestre, la duración del ataque más largo se redujo significativamente en comparación con el tercero: de 215 horas (cerca de 9 días) a 146 (cerca de 6 días). Es casi la mitad del récord del segundo trimestre y 2017 (277 horas). En general, la proporción de los ataques relativamente prolongados sigue reduciéndose, aunque de una forma poco significativa: esto se aplica a los ataques que duran de 100 a 139 horas, y los ataques de 50 a 99 horas (los porcentajes de estas categorías son tan pequeños que hasta un cambio de una centésima parte de p.p. merece mencionarse). Los más populares siguen siendo los microataques, de no más de cuatro horas de duración: su participación aumentó ligeramente hasta alcanzar el 76,76% (comparado con el 76,09% del tercer trimestre). También aumentó el porcentaje de los ataques de 10 a 49 horas, pero no mucho, aproximadamente en 1,5 p.p.

Distribución de ataques DDoS por duración, tercer y cuarto trimestre de 2017

Servidores de administración y tipos de botnets

Los tres primeros países por el número de servidores de administración siguen siendo los mismos: Corea del Sur (46,63%), Estados Unidos (17,26%) y China (5,95%). Sin embargo, a pesar de que el porcentaje de los dos últimos países fue ligeramente mayor que el último trimestre, China todavía tuvo que compartir el tercer lugar con Rusia, que ganó 2 p.p. Esto se debe a que, aunque el porcentaje de los líderes experimentó leves cambios, en términos absolutos el número de servidores de administración registrados en los tres países se ha reducido a casi la mitad. Al menos en parte, esto se debe al cese de funcionamiento de muchos servidores de administración de la botnet Nitol y la reducción de la actividad de la botnet Xor. Además, entraron al TOP 10 de países de esta categoría Canadá, Turquía y Lituania (1,19% cada uno), mientras que Italia, Hong Kong y el Reino Unido abandonaron la lista.

Distribución de los servidores de administración de botnets por países, cuarto trimestre de 2017

En el cuarto trimestre, el número de botnets Linux siguió creciendo sin prisa ni pausa: ahora su participación es del 71,19% en comparación con el 69,62% del último trimestre. En consecuencia, la participación de las botnets Windows disminuyó del 30,38% al 28,81%.

Proporción de ataques lanzados desde botnets Windows y Linux, cuarto trimestre de 2017

Conclusión

En el cuarto trimestre de 2017 hubo una tregua: el número y la duración de los ataques DDoS disminuyeron en comparación con el trimestre anterior. Los últimos meses de 2017 fueron aún más tranquilos que los primeros. Junto con el aumento del número de ataques compuestos, que consisten en diferentes combinaciones de técnicas SYN, TCP Connect, flood HTTP y flood UDP, esto puede indicar un deterioro general de la situación de los dueños de botnets para DDoS. Es posible que se haya hecho más difícil mantener grandes botnets por razones económicas o debido a la mayor actividad de las fuerzas de seguridad estatal, y como resultado las tácticas de uso de las redes de bots han cambiado: es cada vez más común que se combinen componentes de diferentes botnets para llevar a cabo los ataques.

Este aumento en el número de ataques recibidos por nuestras trampas honeypot en las vísperas de las ventas navideñas muestra el deseo de los delincuentes de ampliar las botnet en el momento más favorable y lucrar ejerciendo presión sobre los propietarios de recursos de Internet, amenazándolos con hacerlos perder ganancias. En cualquier caso, los picos de la virulencia de los ataques DDoS en el área del Viernes Negro y Ciberlunes se convirtieron en una característica notable este trimestre.

Otra característica de finales de otoño y principios de invierno es que continúan los ataques contra las bolsas de criptomonedas, de acuerdo con las tendencias de los últimos meses. El entusiasmo de los delincuentes no tiene nada de extraño a la luz del crecimiento explosivo del valor de Bitcoin y Monero. Si el tipo de cambio no colapsa (las fluctuaciones momentáneas, que sólo aumentan el entusiasmo de los especuladores, no cuentan), lo más probable es que estas bolsas sigan siendo uno de los principales objetivos durante todo 2018.

Además, el último trimestre ha demostrado que un ataque DDoS puede ser no sólo una manera de lucrar o ganar capital político, sino también un efecto secundario accidental, como en el ejemplo de la contaminación por el tráfico de basura del bot de spam Lethic que vimos en diciembre. Es evidente que la saturación de Internet con el ruido digital ha alcanzado tales dimensiones que ahora un recurso puede sufrir daños por las actividades de las botnets, incluso si no es el blanco el ataque y no representa ningún valor para los delincuentes.