Ataques DDoS en el cuarto trimestre de 2020

Resumen de noticias

Los atacantes no cesan en la búsqueda de formas y herramientas para que sus ataques sean más destructivos. En el cuarto trimestre de 2020, los controladores de entrega de aplicaciones de Citrix ADC se convirtieron en una de esas herramientas. Los ciberdelincuentes abusaron de la interfaz DTLS de los dispositivos. El protocolo DTLS (Datagram Transport Layer Security) se utiliza para establecer conexiones seguras a través de UDP, mediante las cuales se transmiten la mayoría de las consultas DNS, así como el tráfico de audio y video. Para amplificar el ataque, los atacantes enviaban solicitudes a dispositivos que tenían la interfaz DTLS habilitada, falsificando las direcciones IP de las víctimas. Como resultado, estos recibían paquetes de respuesta varias veces más grandes. En el caso de los dispositivos Citrix, la cantidad de tráfico basura podría haberse multiplicado por 36. Una vez que los ataques se hicieron públicos, el fabricante no tardó en lanzar una actualización del firmware que permite configurar la verificación de las solicitudes entrantes. A quienes no usan DTLS, se les recomienda deshabilitar este protocolo para combatir el abuso.

Otro notable ataque en diciembre afectó al sitio bitcoin.org, que alberga a Bitcoin Core, una de las versiones de software de bitcoin más utilizadas. Durante un tiempo, el sitio web no estuvo disponible, pero los entusiastas de la criptografía novatos podían descargar una copia de Bitcoin Core desde archivos de torrents. Lo más probable es que el ataque esté relacionado con la tasa de bitcoin, que ha tenido un crecimiento sostenido durante el último trimestre. Según uno de los especialistas que respalda a bitcoin.org, cuando el bitcoin está en aumento, proliferan los intentos de dejar fuera de servicio este sitio web.

En general, los eventos del cuarto trimestre se mantuvieron dentro de las tendencias de 2020. Los atacantes utilizaron los nombres de conocidos grupos APT para intimidar a las víctimas, exigieron un rescate en criptomonedas y demostraron que podían organizar ataques para respaldar sus amenazas. La actividad de los extorsionadores cibernéticos apareció regularmente en las noticias a lo largo de 2020. En octubre, la empresa de telecomunicaciones noruega Telenor Norway se convirtió en otra de las víctimas.

Desde la transición de las escuelas y universidades al aprendizaje a distancia, los atacantes han intentado interrumpir las clases inundando las plataformas educativas con tráfico basura. Esta tendencia también continuó en los últimos meses de 2020. En octubre, las escuelas de Sandwich y Tingsboro , del estado Massachusetts, experimentaron cortes de red. En ambos casos, al principio las instituciones educativas pensaron que se trataba de una falla técnica, para descubrir más tarde que se trataba de un ataque. La Universidad de Laurentia informó haber sufrido un ataque DDoS en diciembre. La universidad resolvió el problema en cuestión de minutos. Pero los ataques a finales de año fueron lo suficientemente graves como para que el FBI los mencionara en la advertencia de diciembre como una de las principales amenazas contra las instituciones educativas. Para impedir esto ataques, se recomienda a las escuelas utilizar soluciones anti-DDoS y configuraciones estrictas de firewall, y colaborar con los proveedores de Internet.

Como no podía ser de otra manera, también hubo ataques contra las plataformas de juegos. Por ejemplo, Xbox y Steam estuvieron entre los objetivos de los ataques de amplificación a través de dispositivos Citrix, según la revista online ZDNet. A principios de octubre, el equipo de PUBG Mobile informó sobre un ataque DDoS.

Dear players,

The PUBG MOBILE team are currently actively working to resolve the DDoS attacks against our systems and the new hacking issues. For information, please check out here: https://t.co/DMYsxWTlCc

— PUBG MOBILE (@PUBGMOBILE) October 3, 2020

Los servidores europeos de Blizzard también fueron atacados dos veces en el trimestre.

We are currently experiencing a DDoS attack, which may result in high latency and disconnections for some players. We are actively working to mitigate this issue #BlizzCS

— Blizzard CS EU (@BlizzardCSEU_EN) October 2, 2020

A finales de diciembre, varias docenas de famosos jugadores en línea planeaban celebrar el final de 2020 jugando a Rust en un solo servidor. El primer intento falló. Se supone que el juego fue interrumpido por un ataque DDoS, aunque no hay datos confiables al respecto. Dada la emoción que rodeaba el evento, la gran afluencia de espectadores también pudo haber causado la falla. En 2020, cuando la mayor parte de la vida pasó a realizarse en línea, los recursos de  Internet sufrieron un fuerte y repentino aumento de actividades legítimas.

En cuanto a las contramedidas, el hecho más notable del cuarto trimestre fue la condena de un ex miembro de Apophis Squad que llevó a cabo ataques DDoS, incluyendo el uso de extorsión: interrumpió las clases escolares en diferentes países, envió mensajes sobre una bomba colocada en un edificio, y  almacenaba pornografía infantil. Por todos sus “méritos”, el atacante fue condenado a 8 años de prisión.

También continúa la lucha contra ciertos vectores de ataque. El Grupo de trabajo de ingeniería de Internet (IETF) ha publicado una propuesta para el estándar NTS (Network Time Security): la transmisión segura de datos a través del protocolo Network Time Protocol (NTP), que se utiliza para sincronizar el tiempo en redes. El documento aborda, en particular, el problema de la amplificación de los ataques DDoS a través de este protocolo y prohíbe la devolución de paquetes de datos como respuesta a una solicitud que exceda el tamaño del paquete de solicitud.

Tendencias trimestrales y anuales

Esta vez, se cumplió la mitad exacta de nuestro pronóstico: como lo habíamos predicho, en el cuarto trimestre de 2020, observamos indicadores comparables a los del mismo período en 2019 y que incluso los superaban ligeramente. Sin embargo, el crecimiento respecto al tercer trimestre de 2020, que pronosticamos como una posible alternativa, no se produjo. Por el contrario, el número total de ataques se redujo en aproximadamente un 30%, mientras que el número de ataques inteligentes lo hizo en un 10%.

Número comparativo de ataques DDoS, tercer y cuarto trimestre de 2020, y cuarto trimestre de 2019. Los datos del cuarto trimestre de 2019 se consideran el 100% (descargar)

Sin embargo, es interesante observar los indicadores cualitativos: la proporción de ataques inteligentes aumentó ligeramente en el cuarto trimestre y los datos muestran una tendencia hacia la disminución en la duración de los ataques cortos, así como un aumento en la duración de los prolongados.

Proporción de ataques inteligentes, tercer y cuarto trimestre de 2020, y cuarto trimestre de 2019 (descargar)

Duración de los ataques DDoS, tercer y cuarto trimestre de 2020, y cuarto trimestre de 2019. Los datos del cuarto trimestre de 2019 se consideran el 100% (descargar)

La disminución en el número de ataques DDoS puede explicarse por el crecimiento del mercado de las criptomonedas. Ya hemos escrito más de una vez, incluso en el informe anterior, sobre la relación inversa entre la actividad DDoS y el precio de las criptomonedas. Cuando hicimos nuestras predicciones para el cuarto trimestre, casi nadie esperaba un crecimiento tan rápido, porque nunca antes había sucedido nada similar. Como era de esperar, los operadores de botnets le dieron un uso alternativo además de su capacidad de extracción criptominera.

Es interesante notar que la aparente caída en el número de ataques DDoS en comparación con el trimestre anterior se debió a ataques fáciles de organizar, mientras que los ataques inteligentes disminuyeron de manera despreciable. Y esto es bastante lógico: no es rentable para los operadores de botnets vender capacidades a bajo precio, perdiendo las ganancias de la criptominería, pues cuando los precios suben, los aficionados son los primeros en quedar fuera: escolares, pequeños vándalos y simplemente exaltados que no tienen ninguna razón seria para organizar ataques DDoS. Los intereses de los profesionales, a su vez, no pierden su relevancia, a pesar de las fluctuaciones del mercado, sobre todo en el cuarto trimestre, que fue rico en vacaciones y ventas por Internet, por lo que siguen ordenando y organizando ataques, en su mayoría inteligentes, ya que creen en los resultados, no en los intentos.

Es difícil decir lo que veremos en el primer trimestre de 2021. Sin embargo, estamos cada vez más convencidos de que el mercado DDoS ha dejado de crecer y se ha estabilizado por completo tras el otoño de 2018. Las fluctuaciones actuales están asociadas principalmente a la dinámica de precios de las criptomonedas y dependerán directamente de ellas. Si las criptomonedas comienzan a bajar de precio en el primer trimestre, la cantidad de ataques DDoS aumentará, y viceversa. Al mismo tiempo, no esperamos ningún crecimiento explosivo ni una caída brusca. A menos que suceda algo impredecible (bueno, el último año pasaron más cosas impredecibles que predecibles), las fluctuaciones en el mercado DDoS se mantendrán dentro del 30%.

Número comparativo de ataques DDoS, 2019 y 2020. Los datos de 2019 se consideran el 100% (descargar)

En cuanto a los resultados de 2020 en su conjunto, el mercado ha crecido un poco menos del doble durante el año. Cabe señalar que este crecimiento es puramente cuantitativo: la proporción de ataques inteligentes se ha mantenido casi invariable.

Proporción de ataques inteligentes, 2019 y 2020 (descargar)

Los datos sobre la duración de los ataques son de especial interés. En 2020, la duración media disminuyó en alrededor de un tercio, mientras que la máxima aumentó significativamente; sin embargo, en el caso de los ataques inteligentes se mantuvo casi en el nivel del año pasado. Esto sugiere que los ataques cortos son cada vez más cortos y los largos, más largos. Observamos una tendencia similar en el cuarto trimestre. Es difícil decir con exactitud a qué se debe, pero suponemos que a lo mismo que las demás tendencias del año: la grave inestabilidad de la situación, la pandemia y el crecimiento explosivo del mercado de las criptomonedas. El mercado de DDoS está cambiando, influido por estos factores. También cambian los objetivos de los ataques y sus clientes, y con ellos, la duración promedio de los ataques.

Duración de los ataques DDoS, 2019 y 2020. Los datos de 2019 se consideran el 100% (descargar)

Estadística

Metodología

Kaspersky tiene muchos años de experiencia en la lucha contra las amenazas informáticas, entre ellas los ataques DDoS de diversos tipos y de diferentes grados de complejidad. Los expertos de la compañía realizan un seguimiento constante de las actividades de las botnets con la ayuda del sistema DDoS Intelligence.

El sistema DDoS Intelligence es parte de la solución Kaspersky DDoS Protection e intercepta y analiza los comandos enviados a los bots desde los servidores de comando y control. Al mismo tiempo, para iniciar la protección, no es necesario esperar a que se infecten los dispositivos del usuario, ni que ocurra la ejecución real de los comandos de los atacantes.

Este informe contiene las estadísticas de DDoS Intelligence del cuarto trimestre de 2020.

En este informe consideraremos como ataque DDoS aislado aquel cuya pausa entre periodos de actividad no supere las 24 horas. Por ejemplo, si un solo recurso sufrió ataques de la misma botnet y la pausa entre ellos fue de 24 horas o mayor, los consideraremos como dos ataques. También se consideran ataques diferentes los lanzados contra un solo recurso, pero ejecutados por bots de diferentes botnets.

Determinamos la ubicación geográfica de las víctimas de los ataques DDoS; los servidores desde donde se enviaron las instrucciones se determinarán por sus direcciones IP. El número de blancos únicos de ataques DDoS en este informe se calcula según el número de direcciones IP únicas de la estadística trimestral.

La estadística de DDoS Intelligence se limita a las botnets detectadas y analizadas por Kaspersky. También hay que tener en cuenta que las botnets son solo uno de los instrumentos con los que se realizan ataques DDoS, y los datos que se presentan en esta sección no abarcan todos y cada uno de los ataques ocurridos durante el periodo indicado.

Vale decir que en el cuarto trimestre de 2020 aumentó el número de botnets cuya actividad se incluye en las estadísticas de inteligencia DDoS. Esto puede influir en los datos presentados en este informe.

Resultados del trimestre

• China (58,95%), Estados Unidos (20,98%) y Hong Kong (3,55%) lideraron el número de ataques DDoS en el cuarto trimestre, como lo venían haciendo.
• El TOP 3 de regiones con mayor número de objetivos es idéntico al de líderes en el ranking por el número de ataques: China (44,49%), EE.UU. (23,57%) y Hong Kong (7,20%).
• En los días más tranquilos, el número de ataques DDoS no superó uno por día.
• El día más activo del trimestre en términos de DDoS fue el 31 de diciembre, cuando se registraron 1349 ataques.
• Vimos la mayoría de los ataques DDoS los jueves, mientras que los domingos fueron los más tranquilos en este trimestre.
• La participación de ataques muy cortos (71,63%) y de ataques muy largos (0,14%) disminuyeron en el cuarto trimestre, mientras que aumentó la participación de todas las categorías intermedias.
• En el cuarto trimestre, la distribución de los ataques DDoS por tipo cambió: UDP flood volvió al segundo lugar (15,17%) y GRE flood, nunca mencionado en nuestros informes hasta ahora, se convirtió en el cuarto más frecuente (0,69%).
• En casi el 100% de los ataques se utilizaron botnets de Linux.
• La mayor parte de los servidores de administración de botnets se encuentran en Estados Unidos (36,30%), Países Bajos (19,18%) y Alemania (8,22%).

Geografía de los ataques

Los tres países principales por el número de ataques DDoS en el cuarto trimestre de 2020 siguieron siendo los mismos que en el período del informe anterior. China sigue en la primera línea (58,95%), pero su participación disminuyó en 12,25 p.p. El segundo lugar lo ocupa Estados Unidos (20,98%), cuya participación, por el contrario, aumentó en 5,68 p.p.  Un cuadro similar se dio en los últimos tres meses de 2019: descenso en la participación de China y aumento en la participación de Estados Unidos, en comparación con el tercer trimestre.

La Región Administrativa Especial de Hong Kong (3,55%) perdió 0,92 p.p., pero a pesar de ello se mantuvo en el tercer lugar, que no deja desde principios de 2020. Aquí es donde termina la similitud con el cuadro del tercer trimestre: Singapur, que en el último período cubierto por el informe estaba en la cuarta línea, salió del TOP 10. Fue sustituido por Reino Unido (1,99%), que subió 1,72 p.p.

El quinto puesto lo ocupa Sudáfrica (1,31%), que desplazó a Australia (0,97%) al séptimo, a pesar de que ésta aumentó su participación en 0,32 p.p. Canadá se convirtió en el sexto (1,04%), al volver al ranking. después de estar ausente en el tercer trimestre.

Países Bajos bajó una línea para ocupar el octavo lugar (0,86%). En cambio, India y Vietnam, al igual que Singapur, dejaron el TOP 10. Alemania (0,71%) y Francia (0,64%) se encuentran en la parte inferior de la clasificación, por debajo de los diez primeros en el tercer trimestre.

Distribución de ataques DDoS por países, tercer y cuarto trimestre de 2020 (descargar)

La composición del TOP 10 con la mayor cantidad de objetivos DDoS es tradicionalmente similar a la calificación por el número de ataques. Los tres líderes son los mismos: el primero es China (44,49%), cuya participación disminuyó 28,34 p.p., pero sigue estando muy por delante del resto. Le sigue Estados Unidos (23,57%), cuya participación se incrementó en 7,82 p.p.  En tercer lugar está Hong Kong, que aumentó su participación en el ranking hasta el 7,20%.

Sudáfrica no entró en el TOP 10 en términos de número de objetivos, pero sí lo hizo Singapur (2,21%), que salió de la clasificación por el número de ataques. Su participación aumentó en 1,74 p.p., sin embargo, con respecto al tercer trimestre, perdió terreno y cayó a la quinta línea. Esto se debe a que todos los países del TOP 10, excepto China, han aumentado su participación. Así, Países Bajos (4,34%), que ocupa el cuarto lugar, sumó 4,07 p.p.

El resto de la calificación difiere de la clasificación en términos del número de ataques solo por el orden de los países. Canadá (1,97%) está por delante del Reino Unido (1,77%), mientras que Australia está en el último lugar (1,29%), detrás de Francia (1,73%) y Alemania (1,62%).

Distribución de blancos únicos de ataques DDoS, tercer y cuarto trimestre de 2020 (descargar)

Dinámica del número de ataques DDoS

El cuarto trimestre, como se esperaba, fue más turbulento que el tercero. El inicio del período reportado resultó tranquilo: del 3 al 6 de octubre, observamos un solo ataque por día. Sin embargo, ya el 20 de este mes se registraron 347 ataques, cantidad que supera el valor máximo del tercer trimestre (323 ataques en un día). A finales de octubre y noviembre, la actividad de los ataques DDoS fluctuó entre valores cercanos a cero y doscientos por día.

A finales de noviembre comenzó un crecimiento intenso, que continuó hasta el final del trimestre, quizá debido al aumento del número de botnets monitorizados por Kaspersky, como a las fiestas de Navidad y Año Nuevo, cuya preparación suele ir acompañada de un aumento en la actividad de los ciberdelincuentes. Es probable que el aumento en 2020 de las compras en línea – relacionadas o no con las fiestas- haya contribuido a ello. El día más intenso en términos de ataques DDoS este trimestre fue el 31 de diciembre. Aquel día se registraron 1349 ataques en todo el mundo.

Dinámica del número de ataques DDoS*, cuarto trimestre de 2020 (descargar)

En el cuarto trimestre, el jueves se mantuvo como el día más activo de la semana (17,67%), aunque su participación disminuyó 1,35 p.p. respecto al trimestre anterior. Pero el día más tranquilo volvió a cambiar: esta vez los atacantes prefirieron descansar los domingos (11,19%). Al mismo tiempo, la propagación del número de ataques en días “tranquilos” y “tormentosos” disminuyó a 6.48 p.p. El último trimestre, la diferencia fue de casi 9 p.p. El número de ataques sucedidos los martes, miércoles y viernes en el último trimestre del año aumentó, y en los otros días, por el contrario, disminuyó.

Distribución de ataques DDoS por días de la semana, tercer y cuarto trimestre de 2020 (descargar)

Duración y tipos de ataques DDoS

La duración media de los ataques DDoS en el cuarto trimestre aumentó en comparación con el período del informe anterior. Esto puede deberse a la notable disminución de la proporción de ataques muy breves cuya duración no supera las cuatro horas (71,62% versus 91,06% en el tercer trimestre), así como al aumento del número de ataques más largos. En particular, durante el período del informe, aumentó la proporción de ataques con una duración de 5 a 9 (11,78%), de 10 a 19 (8,40%), 20 a 49 (6,10%), 50 a 99 (1,86%) y 100 a 139 horas (0,10%).

La proporción de ataques ultra largos, por el contrario, disminuyó en 0,09 puntos porcentuales y fue del 0,14%. Al mismo tiempo, se mantuvo por encima de la proporción de ataques que duraron entre 100 y 139 horas, y la duración del ataque más largo superó los 12 días (302 horas), la cual es notablemente más larga que la máxima del tercer trimestre (246 horas).

Distribución de los ataques DDoS por duración (en horas), tercer y cuarto trimestre de 2020 (descargar)

La distribución de los ataques DDoS por tipo cambió drásticamente en el cuarto trimestre. SYN flood todavía está a la cabeza, pero su participación disminuyó en 16,31 p.p., hasta el 78,28%. Al mismo tiempo, la proporción de UDP flood, que no superó el 2% en los tres primeros trimestres, tubo un aumento notable (15,17%). El número de ataques TCP también aumentó (5,47%), pero ICMP flood, que ocupaba el segundo lugar después de los ataques SYN, resultó ser insignificante en el cuarto trimestre, por lo que no aparece incluido en las estadísticas.

Por otro lado, en los últimos meses de 2020, apareció un tipo de ataque que nunca había aparecido en nuestros informes: GRE flood (0,69%). GRE (Generic Routing Encapsulation, encapsulación de enrutamiento genérico) es un protocolo de tunelización de tráfico que se utiliza para crear redes privadas virtuales (VPN). Por ejemplo, la botnet Mirai utilizó GRE flood para atacar el blog del periodista Brian Krebs en 2016.

Distribución de ataques DDoS por tipo, cuarto trimestre de 2020 (descargar)

La proporción de botnets de Windows en el cuarto trimestre, por primera vez en la historia de nuestras observaciones, cayó a casi cero (0,20%). Casi todos los ataques DDoS registrados se llevaron a cabo utilizando bots basados en Linux.

Proporción de ataques de botnets para Windows y Linux, tercer y cuarto trimestre de 2020 (descargar)

Distribución geográfica de las botnets

La mayoría de los servidores de administración que controlaron las botnets DDoS en el cuarto trimestre de 2020 estaban ubicados en los Estados Unidos. Este país representó el 36,30% del número total de servidores. Países Bajos ocupó el segundo lugar con una participación del 19,18%. Alemania cierra el TOP 3 con un 8,22%.

Rumania ocupó el cuarto lugar en términos de número de servidores de administración (4,79%), mientras que Francia y Reino Unido compartieron el quinto y sexto lugar, ya que la participación de ambos países fue del 4,11%. Las líneas séptima, octava y novena de este trimestre también se distinguieron por el mismo número de servidores de administración: Hungría, Canadá y Vietnam recibieron un 3,42% cada uno. China (2,05%) es el último país del TOP 10 donde se registraron servidores de control de botnets.

Distribución de los servidores de administración de botnets por países, cuarto trimestre de 2020 (descargar)

Conclusión

El cuarto trimestre resultó ser ordinario e inusual a la vez. Por un lado, no hubo enroques inesperados en la distribución geográfica de los ataques DDoS y de los objetivos. Por otro lado, la distribución por tipo de ataque cambió notablemente: la proporción de UDP flood aumentó, mientras que los ataques ICMP fueron reemplazados por los de GRE flood. Además, por primera vez desde que empezamos a hacer nuestras investigaciones, las botnets de Linux capturaron casi por completo el mercado de DDoS.

Sería extremadamente interesante ver datos de un imaginario 2020 alternativo, sin pandemia ni crecimiento brusco de las criptomonedas, y el mercado DDoS se desarrollara sin convulsiones. La epidemia del coronavirus hizo crecer al mercado (escribimos sobre esto en el primer y segundo trimestres), mientras que el crecimiento de la criptomoneda lo hizo desacelerar (escribimos sobre esto en el tercer trimestre). Quizás sin estos eventos, el cuadro hubiera terminado siendo similar, pero bajo su influencia, el mercado de DDoS fue muy tormentoso en 2020, por lo que la mitad de nuestras predicciones no se cumplieron.

Es difícil decir qué esperar de 2021; no podemos predecir cómo se desarrollará la situación con la pandemia y la tasa de las criptomonedas. Por lo tanto, nuestro pronóstico es muy cauteloso: si no hay conmociones bruscas, el mercado DDoS no cambiará mucho. No vemos premisas para un crecimiento o descenso significativo, tanto en el primer trimestre, como a lo largo de 2021. Todo lo que queda es estabilidad, que es lo que esperamos.