Informes sobre DDoS

Los ataques DDoS en el cuarto trimestre de 2021

Resumen de noticias

En el cuarto trimestre de 2021 se supo de la aparición de varias nuevas botnets de DDoS. La red zombi Abcbot apareció por primera vez en los radares de los investigadores en julio, pero en ese momento era poco más que un simple escáner que atacaba sistemas Linux mediante técnicas de fuerza bruta para descifrar contraseñas débiles y la explotación de vulnerabilidades conocidas. La botnet recibió una actualización en octubre, y con ella adquirió la funcionalidad DDoS. Y en diciembre, los investigadores de Cado Security revelaron la conexión de la botnet con la campaña de criptojacking Xanthe. Esto ilustra una vez más el hecho de que las mismas botnets se utilizan a menudo tanto para la criptominería, como para los ataques DDoS.

La botnet EwDoor, que llamó la atención de los investigadores por primera vez a finales de octubre, demostró ser más exigente que Abcbot. La red zombi está formada únicamente por dispositivos EdgeMarc Enterprise Session Border Controller ubicados en redes del operador AT&T. El bot se infiltró en los dispositivos a través de la vulnerabilidad CVE-2017-6079, que permite ejecutar comandos arbitrarios. Aprovechando una falla del propio bot (una de las primeras versiones accedía a un servidor de mando y control inexistente que los investigadores registraron), el equipo de Netlab 360 consiguió detectar 5700 dispositivos infectados. Sin embargo, después los atacantes cortaron la comunicación con este servidor. AT&T está investigando los ataques a los dispositivos EdgeMarc.

En noviembre, Qrator Labs registró una serie de breves, pero potentes ataques a sus sistemas y a los de sus clientes. Los atacantes utilizaron la técnica TCP Data Flood: establecer una conexión TCP con el servidor de la víctima e intentar inundarlo con paquetes TCP aleatorios y pesados. En algunos casos, los atacantes también utilizaron la amplificación de DNS. Los ataques procedían de miles de cámaras y routers y duraban entre dos y tres minutos, tras los cuales cesaban. Los investigadores señalan que la botnet es nueva, pero no tienen suficientes datos para describirla. También sugieren que la corta duración de los ataques se debe al deseo de los atacantes de no ser detectados, porque no podían usar por largo tiempo los canales de comunicación de los usuarios de los dispositivos infectados.

El investigador de Google Damian Menscher ha descubierto una red zombi formada por servidores de GitLab vulnerables. La botnet se apoderó de nuevos dispositivos explotando la vulnerabilidad CVE-2021-22205, que GitLab parcheó en abril de 2021, y realizó ataques DDoS de más de 1TB/s. Menscher no aclara si el bot es nuevo o está vinculado a botnets ya existentes. Sin embargo, alrededor del mismo período, Cloudflare reportó un breve pero poderoso ataque de la variante Mirai, que involucró, entre otros, a servidores de GitLab infectados a través de CVE-2021-22205.

Con todo, las botnets ya conocidas han sido noticia en más de una ocasión en el cuarto trimestre. Así, Moobot ha agregado una vulnerabilidad relativamente reciente a su arsenal. El error, identificado como CVE-2021-36260, fue descubierto en varios modelos de cámaras Hikvision y parcheado en septiembre de 2021. Al igual que la vulnerabilidad CVE-2017-6079, ésta permite a los atacantes ejecutar comandos arbitrarios. Tras infiltrarse en el dispositivo, Moobot espera una orden del servidor C2 para lanzar un ataque DDoS. Los investigadores relacionan la campaña con el proveedor de servicios DDoS-as-a-Service, a cuyo canal de Telegram llegaron durante su análisis. El canal se creó en junio y entró en funcionamiento en agosto de 2021.

La botnet Mēris, descubierta el trimestre pasado, resultó ser dos botnets, según Netscout. Los investigadores llamaron Dvinis (“doble de una persona” en letón) al gemelo de Mēris. A diferencia de su hermano mayor, no emplea técnicas de HTTP-pipelining, pero también se utiliza en ataques de gran potencia. Además, Dvinis, según los investigadores, es responsable del 75% de los ataques atribuidos a Mēris.

A finales de 2021, se dio a conocer una vulnerabilidad en la biblioteca Apache Log4j, que se postuló como la más peligrosa del año. Log4Shell, el nombre dado a la vulnerabilidad, está presente en todas las versiones de Log4j desde la 2.0-beta9 hasta la 2.14.1 y permite a un atacante tomar el control total de un sistema vulnerable. Sin embargo, el exploit de la vulnerabilidad está disponible en la web, y la biblioteca que lo contiene se utiliza en millones de productos, tanto comerciales como de código abierto. No es de extrañar que Log4Shell se haya incorporado al arsenal de muchos atacantes, entre ellos los desarrolladores de botnets DDoS. En particular, los bots Mirai, Muhstik y Elknot han intentado explotar la vulnerabilidad.

En cuanto a los ataques DDoS en sí, los ataques a los medios de comunicación filipinos fueron noticia en varias ocasiones durante el trimestre. A mediados de noviembre, el medio de comunicación Pinoy Media Center sufrió una inundación cibernética; en la primera quincena de diciembre el portal de noticias ABC-CBN News corrió la misma suerte, seguido de VERA files. Por su parte, Rappler fue atacado varias veces durante el mes por autores desconocidos. También en el cuarto trimestre, la iniciativa periodística indonesia Project Multatuli sufrió un ataque DDoS tras publicar un artículo que criticaba a las fuerzas del orden locales.

También en el cuarto trimestre, los delincuentes lanzaron una gran cantidad de ataques a las empresas de tecnología. El operador de telefonía móvil polaco T-Mobile informó haber sufrido el mayor ataque de este tipo en el país, que sin embargo fue repelido. Otro objetivo de los ataques DDoS fue la plataforma de blockchain Solana. El mercado NFT Blockasset, impulsado por Solana, fue el primero en informar del ataque. La empresa señaló que las transferencias de tokens se habían ralentizado debido a los ataques DDoS. GenesysGo, un proveedor de infraestructuras que trabaja con la plataforma Solana, también señaló que algunos servicios dejaron de funcionar de forma intermitente, pero aseguró que no había mayor motivo de preocupación.

Continúan los ataques DDoS a varios proveedores de VoIP. A principios de octubre, la víctima fue VoIP Unlimited, una empresa británica que también fue atacada por extorsionadores que usaron DDoS el trimestre pasado. Una nueva oleada de tráfico de basura vino acompañada también de una exigencia de rescate. Otros proveedores del Reino Unido también se han visto afectados por ataques similares. Y en noviembre, se vio afectada la empresa internacional Telnyx y sus clientes de todo el mundo tuvieron problemas de comunicación. El grupo REvil, que también ha sido vinculado a ataques anteriores contra proveedores de VoIP y que fue liquidado en enero por la policía rusa después de recibir información sobre los atacantes por parte de las autoridades estadounidenses, podría haber estado detrás del DDoS.

Además de los proveedores de VoIP, el objetivo de las campañas de extorsión mediante DDoS en el cuarto trimestre fueron los proveedores de servicios de correo electrónico. Se vieron afectadas la mayoría de las pequeñas empresas que proporcionan cuentas de correo electrónico seguras y confidenciales por suscripción o invitación: Runbox, Posteo, Fastmail, TheXYZ, Guerrilla Mail, Mailfence, Kolab Now y RiseUp. Los atacantes se hacían llamar Cursed Patriarch (el Patriarca Maldito) y exigían a las víctimas un rescate de 0,06BTC, unos 4000 dólares, en el momento del ataque.

Los operadores de troyanos cifradores siguieron utilizando DDoS como palanca adicional de presión. El nuevo extorsionador Yanluowang, por ejemplo, amenaza desde el principio con lanzar un ataque DDoS si la víctima “quiere pasarse de viva con los delincuentes“. Además, en el cuarto trimestre, Hello Kitty, que se hizo famoso por atacar a la compañía CD Projekt, desarrolladora de The Witcher y Cyberpunk 2077, agregó ataques DDoS a su arsenal.

Hablando de juegos: el cuarto trimestre tampoco estuvo exento de ataques a los jugadores. En octubre, los jugadores de Apex Legends establecieron el récord de la partida más larga debido a que el servidor en el que estaban jugando tenía a alguien intentando dejarlo fuera de servicio todo el tiempo. Y los ataques a Blizzard en noviembre y diciembre provocaron problemas de acceso a ciertos juegos, en particular Overwatch y World of Warcraft. Los jugadores individuales también sufrieron. Por ejemplo, varios streamers populares se vieron afectados, probablemente como resultado de la filtración de direcciones IP del nuevo juego Crab Game, que empezaron a experimentar interrupciones de conexión después de jugar al juego. Y algunos streamers de Dead by Daylight no sólo se enfrentaron con ataques DDoS, sino también con doxing y swatting (de SWAT – Special Weapons Assault Team, grupo de asalto rápido que acude al domicilio de la víctima, en este caso por una llamada falsa). Una de las víctimas tuiteó que, durante la visita causada por esa falsa llamada, uno de los policías lo reconoció porque él mismo jugaba a Dead by Daylight. No se sabe a ciencia cierta cómo los atacantes averiguaron las direcciones IP y otros detalles de los streammers.

Los fans de Titanfall 2, que están bajo constante acoso de los ataques DDoS, en el cuarto trimestre tomaron la iniciativa de crear un mod que permite jugar en servidores personalizados cuando los oficiales no están disponibles. Rastrear la IP de un servidor privado para inundarlo de tráfico basura no es fácil, por lo que la probabilidad de que se produzca un ataque DDoS se reduce enormemente con esta medida.

Los éxitos en la lucha contra las botnets también se reflejaron en las noticias del cuarto trimestre. Por ejemplo, en octubre, la policía ucraniana detuvo al operador de una botnet DDoS formada por 100.000 dispositivos infectados. Y en diciembre, Google presentó una demanda contra los operadores de otra botnet, Glupteba. El gigante de Internet también tomó medidas para eliminar la propia botnet: bloqueó 63 millones de documentos maliciosos, 908 proyectos en la nube, más de mil cuentas de Google y otras 870 cuentas de Google Ads. Además, Google colaboró con otras empresas para cerrar los servidores de administración de la botnet. Glupteba está formada por millones de dispositivos IoT y equipos Windows infectados. La botnet es capaz de instalar servidores proxy en los dispositivos infectados, minar criptomonedas y realizar ataques DDoS. Además, Glupteba utiliza la blockchain de bitcoin para almacenar las direcciones de los servidores de comando de reserva, lo que dificulta combatirla. Según Kaspersky, fue esta botnet la que contribuyó a la propagación del conocido Mēris el trimestre pasado.

Como nota final, los atacantes se lanzan ataques DDoS entre sí de forma regular. En noviembre, unos desconocidos intentaron “acabar” con Cannazonؙ, un mercado en la Darknet especializado en la venta de marihuana. Poco después, el recurso se cerró, pero los administradores afirman que llevaban tiempo planeando retirarse, y que el DDoS fue sólo una excusa conveniente para llevar a cabo este plan.

Tendencias trimestrales y anuales

El cuarto trimestre estuvo en consonancia con nuestras previsiones: vimos un aumento impresionante en el número de ataques DDoS, que alcanzó su máximo histórico. Veamos los números:

Número comparativo de ataques DDoS, tercer y cuarto trimestre de 2021, y cuarto trimestre de 2020. Los datos del cuarto trimestre de 2020 se toman como el 100% (descargar).

El número de ataques en el cuarto trimestre aumentó un 52% respecto al año anterior y se multiplicó por más 4,5 veces el número de ataques en el mismo periodo del año pasado. Las cifras son desalentadoras, pero no saquemos conclusiones precipitadas, sino que consideremos el porqué de las mismas.

Empecemos por el aumento de los ataques DDoS en relación con el tercer trimestre. Este aumento en los últimos tres meses es una fluctuación estacional tradicional, que pronosticamos todos los años y que se produce casi todos los años. Hacia el final del año, la vida en general se acelera y esto repercute en el mercado de los DDoS: la competencia en el comercio minorista aumenta, los exámenes escolares y estudiantiles se acercan, los activistas de todo tipo también se vuelven más activos, todo lo cual lleva a un aumento de los ataques.

Además, el tamaño del mercado de DDoS es inversamente proporcional al mercado de criptomonedas, algo sobre lo que también hemos escrito muchas veces. Esto se debe a que las capacidades de producción de ataques DDoS y de generación de criptomonedas, aunque no son completamente intercambiables, tienden a desviarse hacia la minería cuando las criptomonedas están subiendo y hacia el DDoS cuando están bajando. En el cuarto trimestre, estamos viendo precisamente eso: un aumento de los ataques DDoS en medio de una fuerte caída del valor de las criptomonedas. No es la primera vez que vemos que esto ocurre.

Ambos factores, las fluctuaciones estacionales y la caída del mercado de criptomonedas, hicieron que el mercado de ataques DDoS subiera durante el cuarto trimestre y se multiplicara por 1,5. Esto se hace aún más patente si se observan las estadísticas por meses: octubre representó el 16% del total de ataques DDoS del trimestre, noviembre el 46% y diciembre el 38%.

Distribución porcentual de los ataques DDoS por trimestre y por mes, cuarto trimestre de 2021 (descargar)

Ahora tratemos de averiguar de dónde procede el aterrador aumento de cuatro veces y media con respecto al año anterior. En contraste con el récord de este año, el cuarto trimestre fue el más bajo de 2020. Hace un año, vimos lo contrario de la situación actual: un descenso del mercado de DDoS en medio de un aumento de los precios de las criptomonedas. De hecho, durante todo este año el mercado de DDoS se ha ido recuperando poco a poco de aquella caída, de ahí el impresionante crecimiento. En esencia, es un récord de 2021, en contraste con el antirrécord de 2020.

El siguiente gráfico muestra claramente el aumento de los ataques DDoS a lo largo del año, así como los picos que se producen cuando las criptodivisas se desplomaron en el verano de 2021 y a finales de año.

Dinámica de los ataques DDoS, octubre 2020 – diciembre 2021. Los datos de octubre de 2020 se toman como el 100% (descargar).

En términos de objetivos DDoS, la distribución de los ataques entre los sectores fue bastante uniforme, así que no se puede afirmar que algunas áreas tuvieran mayor actividad DDoS que otras. Lo único interesante fueron los picos de ataques a los recursos educativos en noviembre y diciembre, con la región de Moscú como principal objetivo en noviembre y la República de Tartaristán en diciembre. No podemos decir con certeza con qué tiene que ver esto, pero es probable que los ataques tengan algo que ver con las especificidades regionales de la educación, como los horarios de los exámenes o las vacaciones.

Estadísticas de ataques DDoS

Metodología

Kaspersky tiene muchos años de experiencia en la lucha contra las amenazas informáticas, como los ataques DDoS de diversos tipos y de diferentes grados de complejidad. Los expertos de la compañía realizan un seguimiento constante de las actividades de las botnets con la ayuda del sistema DDoS Intelligence.

El sistema DDoS Intelligence es parte de la solución Kaspersky DDoS Protection e intercepta y analiza los comandos enviados a los bots desde los servidores de comando y control. Al mismo tiempo, para iniciar la protección, no es necesario esperar a que se infecten los dispositivos del usuario, ni que ocurra la ejecución real de los comandos de los atacantes.

Este informe contiene las estadísticas de DDoS Intelligence del cuarto trimestre de 2020.

En este informe consideramos como ataque DDoS aislado aquel cuya pausa entre periodos de actividad no supera las 24 horas. Por ejemplo, si el mismo recurso fue atacado por la misma botnet con 24 horas o más de diferencia, se considera que son dos ataques. También se consideran ataques diferentes los lanzados contra un solo recurso, pero ejecutados por bots de diferentes botnets.

Determinamos la ubicación geográfica de las víctimas de los ataques DDoS; los servidores desde donde se enviaron las instrucciones se determinan por sus direcciones IP. El número de blancos únicos de ataques DDoS en este informe se calcula según el número de direcciones IP únicas de la estadística trimestral.

La estadística de DDoS Intelligence se limita a las botnets detectadas y analizadas por Kaspersky. También hay que tener en cuenta que las botnets son solo uno de los instrumentos con los que se realizan ataques DDoS, y los datos que se presentan en esta sección no abarcan todos y cada uno de los ataques ocurridos durante el periodo indicado.

Resultados del trimestre

  • Los recursos situados en Estados Unidos fueron los más atacados en el cuarto trimestre, con un 43,55% de los ataques y un 44,54% de los objetivos únicos.
  • Nuestro sistema DDoS Intelligence registró 86 710 ataques DDoS.
  • Los días más tranquilos del trimestre se produjeron en periodos de rebajas: el Día del Soltero Chino y el Black Friday.
  • El 94,29% de los ataques duraron menos de cuatro horas.
  • La mitad de los ataques DDoS se realizaron mediante UDP-flood.
  • El 46,49% de los servidores de mando y control de las botnets estaban ubicados en Estados Unidos.
  • El 70,96% de los ataques a los secuestradores SSH de Kaspersky fueron realizados por bots de Rusia.

Geografía de los ataques DDoS

En el cuarto trimestre, al igual que en 2021, la mayor parte de los ataques DDoS se dirigieron a recursos situados en Estados Unidos (43,55%). Además, ha vuelto a aumentar la cuota de participación del país en la distribución geográfica de los atentados. China (9,96%) regresó al segundo lugar, con 2,22 puntos porcentuales más que en el trimestre anterior, mientras que la Región Administrativa Especial de Hong Kong (8,80%) quedó en tercer lugar, con una cuota que fue menor en una vez y media que en el trimestre anterior.

Distribución de los ataques DDoS por países y territorios, tercer y cuarto trimestre de 2021 (descargar)

Los porcentajes de ataques en Alemania (4,85%) y Francia (3,75%) aumentaron y estos países ascendieron a la cuarta y quinta posición, respectivamente. Canadá (3,64%) se mantiene en el sexto puesto, Gran Bretaña (3,21%) asciende al séptimo y el octavo puesto es para los Países Bajos (2,75%), que estuvieron más o menos tranquilos en el último periodo. Ocupan los últimos puestos del TOP 10 de países y territorios con más ataques a finales de 2021 Singapur (2,68%) y Brasil (2,08%), cuya cuota se redujo a más de la mitad en comparación con el trimestre anterior.

La distribución geográfica de los objetivos únicos fue, como es habitual, similar a la de los ataques individuales. La mayor proporción de objetivos se encuentra en Estados Unidos (44,54%), cuya cuota aumentó en comparación con el trimestre anterior. La Región Administrativa Especial de Hong Kong (9,07%) y China (8,12%) ocupan el segundo y tercer lugar, respectivamente.

Distribución de objetivos únicos por países y territorios, tercer y cuarto trimestre de 2021 (descargar)

El cuarto objetivo más alto es Alemania (4,67%) y el quinto, Gran Bretaña (3,58%). Le siguen Francia (3,28%) y Canadá (2,98%). La cuota de estos cuatro países aumentó un ápice en el cuarto trimestre y subieron un peldaño con respecto al tercer trimestre. El octavo país por el número de objetivos únicos fue Holanda (2,76%), cuya cuota casi se duplicó y, al igual que en la estadística del número de ataques, los últimos puestos del TOP 10 los ocupan Singapur (2,49%) y Brasil (2,37%), cuya cuota casi se redujo a la mitad.

Dinámica del número de ataques DDoS

En el cuarto trimestre, nuestro sistema de inteligencia DDoS registró 86.710 ataques DDoS contra recursos de todo el mundo. A diferencia del periodo anterior, en el que se produjeron algunos días muy turbulentos, los ataques se repartieron de forma más o menos uniforme a lo largo del trimestre, oscilando entre 500 y 1500 ataques diarios. Sin embargo, el 11 de octubre se produjo un notable repunte de la actividad de los ataques DDoS, con 2.606 ataques en un periodo de 24 horas. En noviembre, por su parte, se produjeron dos descensos notables en la actividad de los ataques DDoS: del 9 al 11 y del 23 al 30 del mes, el número de ataques fue inferior a 500 por día. Es curioso que la primera caída se haya producido el Día del Soltero Chino y la segunda el Viernes Negro (Black Friday). En ambas fechas hay grandes rebajas, que suelen ser el telón de fondo de un repunte de todo tipo de ataques en la red.

Dinámica del número de ataques DDoS, cuarto trimestre de 2021 (descargar)

Como ya lo hemos señalado, en el cuarto trimestre no se produjeron picos de actividad DDoS tan espectaculares como en el trimestre anterior. Esto también se refleja en la distribución de los ataques por día de la semana: la diferencia entre los días más activos y los más tranquilos fue del 5,02%, un 2,72% menos que en el tercer trimestre. La mayor cantidad de ataques DDoS se produjo los domingos (16,61%). La cuota de este día de la semana en la distribución de los ataques aumentó en 0,66 p.p. El jueves siguió siendo el más tranquilo (11,59%), con un ligero aumento de su cuota. También aumentaron las cuotas del lunes (15,78%), el martes (14,17%) y el viernes (14,58%), mientras que disminuyeron las del miércoles (12,67%) y el sábado (14,60%), siendo el miércoles el segundo día más tranquilo del cuarto trimestre después del jueves.

Distribución de ataques DDoS por días de la semana, tercer y cuarto trimestre de 2021 (descargar)

Duración y tipos de ataques DDoS

En el cuarto trimestre se observó un aumento de la proporción de ataques DDoS muy cortos (menos de 4 horas), que representaron el 94,29% del total, y una disminución significativa del número de ataques largos: sólo el 0,02% de los ataques duraron más de 100 horas. Además, el ataque más largo del trimestre fue un tercio más corto que el ataque más largo del anterior período del informe: 218 horas, o algo más de nueve días. Como resultado, la duración media de un ataque DDoS se redujo de nuevo a poco menos de dos horas.

Distribución de los ataques DDoS por duración, Q3 y Q4 2021 (descargar)

En cuanto a los tipos de ataque, volvimos a ver una redistribución de fuerzas en el cuarto trimestre. El método UDP-flood volvió a encabezar la lista, con más de la mitad de los ataques realizados. El porcentaje de TCP-flood también tuvo un aumento notable (30,75%), mientras que el porcentaje de SYN-flood se multiplicó por tres y una fracción (16,29%). HTTP-flooding (1,33%) y GRE-flooding (1,32%) se mantuvieron en las mismas posiciones, aunque sus porcentajes aumentaron un poco.

Distribución de ataques DDoS por tipo, cuarto trimestre de 2021 (descargar)

Distribución geográfica de los botnets

El mayor número de servidores de mando y control de botnets activos en el cuarto trimestre se encontraba en Estados Unidos (46,49%), cuya cuota aumentó en 3,05 puntos porcentuales en comparación con el período anterior. Los Países Bajos (10,17%) y Alemania (7,02%) intercambiaron sus posiciones. Otro 6,78% de los servidores de los equipos se ubicaron en la República Checa, cuya cuota aumentó en casi 3 p.p., mientras que Canadá y el Reino Unido representaron cada uno el 3,15%. Francia albergó el 2,91% de la infraestructura activa de la botnet y el 2,66% de los servidores de mando y control estaban situados en Rusia. Vietnam (1,94%) y Rumanía (1,45%) también figuran en el TOP 10 de países desde donde los ciberdelincuentes operan las botnets.

Distribución de servidores de mando y control de botnets por país, cuarto trimestre de 2021 (descargar)

Ataques a las trampas de IoT

En cuanto a los bots que intentaron expandir las botnets en el cuarto trimestre, la mayoría de los dispositivos que atacaron las trampas SSH de Kaspersky estaban ubicadas en China (26,73%), Estados Unidos (11,20%) y Alemania (9,05%). Al mismo tiempo, la cuota de los dos primeros países en la distribución de bots disminuyó, mientras que la tercera, por el contrario, sumó 3,47 p.p. en comparación con el tercer trimestre. Otro 5,34% de los bots activos estaban en Vietnam y un 5,13% en Brasil. Mientras tanto, la gran mayoría de los ataques a nuestras trampas – el 70,96% – procedían de Rusia, donde sólo se encontraban el 2,75% de los dispositivos atacantes, mientras que Vietnam fue responsable de sólo el 7,94% de los ataques y Estados Unidos del 4,84%. Lo más probable es que al menos un bot ruso haya destacado por su alto rendimiento.

Distribución geográfica de los dispositivos desde los que se atacaron las trampas SSH de Kaspersky, cuarto trimestre de 2021 (descargar)

La mayoría de los dispositivos que atacaron nuestras trampas Telnet se encontraban en China (44,88%), India (12,82%) y Rusia (5,05%), como en el trimestre anterior. La cuota del primero aumentó un 3,76%, mientras que la de los otros dos países disminuyó 2,4 y 0,93 puntos porcentuales respectivamente. La mayor parte de los ataques contra las trampas de Kaspersky procedía de China (65,27%).

Distribución geográfica de los dispositivos desde los que se atacaron las trampas Telnet de Kaspersky, cuarto trimestre de 2021 (descargar)

Conclusión:

El cuarto trimestre, por un lado, correspondió a nuestras predicciones para el periodo, pero por otro lado fue inusual. Por ejemplo, en lugar del esperado aumento de la actividad de DDoS durante los períodos de ventas a gran escala, vimos calma entre las botnets en esos días. Una característica del trimestre fue el gran número de ataques DDoS de muy corta duración, así como una serie de informes de los medios de comunicación sobre ataques cortos, pero potentes.

Ahora las predicciones. Si nos atenemos a las tendencias de años anteriores, deberíamos ver aproximadamente las mismas cifras en el primer trimestre que en el cuarto. Pero la situación en el mundo, y en el mercado de las criptomonedas en particular, es demasiado volátil como para hacer tal predicción con total seguridad. El valor del bitcoin se ha desplomado ahora a la mitad de su valor máximo, pero sigue siendo alto. De la misma forma se desplomó a mediados de año, pero ha subido aún más desde entonces. Si ahora se produce una nueva subida de la criptodivisa, podríamos ver una caída significativa del mercado de ataques DDoS, pero si se desploma aún más, podríamos ver una subida. Es imposible predecirlo sin equivocarse. No obstante, dada la falta de información, no nos inclinamos a suponer que habrá ninguna fluctuación significativa y esperamos ver en el primer trimestre cifras similares a las del cuarto.

Los ataques DDoS en el cuarto trimestre de 2021

Su dirección de correo electrónico no será publicada.

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada