Resumen de noticias
Principales noticias del segundo trimestre de 2018: uso poco común de antiguas vulnerabilidades, nuevas botnets, competencia despiadada en el mundo de las criptomonedas, un ataque DDoS de gran impacto (o no) con connotaciones políticas, el efecto slashdot, intentos de activismo no siempre convincentes y varias detenciones. Pero vayamos en orden.
Al enterarnos de las devastadoras consecuencias de los ataques DDoS, no nos alegra que nuestras predicciones se hayan cumplido. Sin embargo, el pronóstico de nuestro informe del trimestre anterior se confirmó: los atacantes siguen buscando nuevos y poco usuales modos de amplificar los ataques. Acababa de calmarse el pánico causado por la reciente ola de ataques con Memcached, cuando los expertos descubrieron una forma de amplificación que usaba otra vulnerabilidad, esta vez en el protocolo Universal Plug-and-Play, conocida desde 2001. Esta vulnerabilidad permite enviar tráfico spam, pero no desde un solo puerto, sino desde diferentes puertos que cambian al azar, lo que dificulta su bloqueo. Los expertos han reportado dos ataques (ocurridos el 11 y el 26 de abril) que probablemente utilizaron este método: en el primer caso, el ataque DNS se intensificaba mediante UPnP, y en el segundo, mediante NTP. Además, el equipo de Kaspersky DDoS Protection también registró un ataque gestado mediante una vulnerabilidad en el protocolo CHARGEN. Un ataque un poco más débil, que entre otros métodos utilizaba el mismo protocolo para intensificar el desbordamiento, apuntó al proveedor ProtonMail, bajo el pretexto de un comentario desafortunado hecho por el director ejecutivo de la compañía.
Las nuevas botnets dieron más dolores de cabeza a los especialistas en seguridad informática. Cabe destacar, por ejemplo, la creación de una botnet de 500 000 cámaras de vigilancia en Japón. También plantea un serio peligro la nueva cepa del malware Hidde-n-Seek, que es el primero de todos los bots conocidos que ha aprendido, bajo ciertas circunstancias, a resistir el reinicio del dispositivo en el que se instala. Sin embargo, aunque esta botnet no se utiliza para organizar ataques DDoS, los expertos no excluyen la posibilidad de que en un futuro se agregue esta función, ya que no existen muchas otras formas de monetizar la botnet.
Uno de los métodos más populares de monetización sigue siendo los ataques a sitios relacionados con criptomonedas y las bolsas de divisas. Y los ataques DDoS no solo se usan para evitar que los competidores aumenten el número de inversores, sino también como una forma de ganar grandes sumas de dinero. Es ilustrativo el caso ocurrido con la criptomoneda Verge a fines de mayo: un hacker atacó los pools de minería y se llevó 35 millones de XVG (1,7 millones de dólares americanos). Durante dos meses, esta criptomoneda fue hackeada dos veces, aunque la primera vez no se usaron ataques DDoS.
El 5 de junio, los delincuentes colapsaron Bitfinex, la bolsa de criptomonedas, y una ola de tráfico basura siguió a la falla del sistema de negociaciones; es decir, se puede suponer que se aplicó una estrategia gradual, probablemente con el objetivo de minar la credibilidad del sitio. Tal vez debido a la intensa competencia también sufrió daños el famoso sitio de póquer en línea Americas Cardroom, al que un ataque DDoS obligó primero a interrumpir, y después a cancelar el torneo. Pero también se oyeron opiniones de que el ataque tuvo motivos políticos y que fue una protesta contra la posibilidad de usar en el juego avatares de Donald Trump y Kim Jong-un.
Como siempre, los ataques DDoS de contenido político fueron los que más sobresalieron en los medios el trimestre pasado. A mediados de abril, las autoridades policiales inglesas y estadounidenses advirtieron que hackers rusos (supuestamente patrocinado por el Kremlin) habían tomado el control de una gran cantidad de dispositivos en EE.UU., la UE y Australia con miras al lanzamiento de nuevos ataques. Pocos días después, a finales de abril, los rusos también fueron víctimas: el sitio del mayor partido ruso “Rusia Unida” dejó de funcionar por dos días, pero no se publicó ninguna suposición sobre la autoría del ataque DDoS.
También se supone que el ataque a la compañía de ferrocarriles danesa, que dejó de prestar servicios a los pasajeros durante varios días, tuvo razones políticas. Hay quienes consideran que esto fue la secuela del ataque a la infraestructura sueca lanzado el otoño pasado.
Al final del trimestre, la atención del público se concentró en las elecciones mexicanas y el ataque contra el sitio del partido de la oposición, donde se publicaron evidencias de las actividades ilegales de uno de los contendientes. Según la parte acusadora, el ataque comenzó durante el debate preelectoral, cuando el candidato mostraba a los telespectadores un póster con la dirección del sitio web. Sin embargo, casi de inmediato surgió la opinión de que no se trataba de un ataque DDoS, sino del efecto Slashdot, que los usuarios de Reddit también llaman “el abrazo de la muerte”. Este fenómeno, bien conocido en los albores de Internet, cuando los canales de transmisión todavía dejaban mucho que desear, sucede hasta hoy: cuando se hace una extensa publicidad en los medios o en páginas web muy visitadas, el sitio web experimenta también gran afluencia de visitantes legítimos, lo que rebasa su capacidad.
El equipo de Kaspersky DDoS Protection también observó el efecto Slashdot a comienzos del verano: después de la conferencia de prensa brindada por el presidente de la Federación de Rusia, se registró una poderosa ola de solicitudes HTTP a uno de los principales medios de comunicación que cubría el evento: desde varios miles de direcciones únicas se enviaron decenas de miles de solicitudes HTTP GET. Después de evaluar las dimensiones de la supuesta botnet, los expertos de KDP supusieron que se trataba de una nueva ronda de ataques mediante dispositivos del Internet de las cosas; sin embargo, un análisis adicional reveló que todas las solicitudes sospechosas contenían la subcadena “XiaoMi MiuiBrowser” en el encabezado de Agente de usuario. Se logró determinar que los dueños de teléfonos Xiaomi que tenían instalada la aplicación Navegador recibieron una notificación push sobre el resultado de la conferencia, y al parecer muchos de ellos la encontraron interesante, ya que un gran número de usuarios reales siguieron el enlace, creando una tormenta de solicitudes.
Mientras tanto, las autoridades policiales hicieron todo lo posible para evitar ataques deliberados: a finales de abril, la Europol consiguió cerrar Webstresser.org, el mayor recurso que ofrecía a todo el mundo lanzar ataques DDoS de pago. En el momento del bloqueo, el portal tenía más de 136 mil usuarios y en los últimos años, fue el origen de más de 4 millones de ataques DDoS. Después de la caída de Webstresser, se notaron tendencias contradictorias: algunas empresas reportaron un significativo descenso de la actividad DDoS en Europa (aunque advirtieron que fue relativamente corto); otras por el contrario, señalaron un creciente número de ataques en todas las regiones, posiblemente a causa de que los atacantes trataron de compensar la pérdida creando nuevas botnets y ampliando las antiguas.
Además, se logró atrapar y condenar a varios organizadores de ataques DDoS. Fue sentenciado el hacker alemán ZZboot, que lanzó ataques contra grandes compañías alemanas y británicas exigiéndoles un rescate. Pero no se lo encarceló: se lo condenó a un año y diez meses de libertad condicional. En el otro extremo del continente, en Taipei, la policía detuvo al hacker apellidado Chung, por sospechas de haber lanzado ataques contra la oficina taiwanesa de investigaciones, la administración presidencial, la empresa Chungwa Telecom y el Banco Central. Asimismo, en Estados Unidos se arrestó a un autoproclamado hacktivista que intentó obstruir el funcionamiento de estaciones de policía en Ohio.
Otro arresto, menos importante pero más divertido, tuvo lugar en los Estados Unidos: en Arizona, un hacker aficionado fue detenido, condenado a prisión y al pago de una multa después de que uno de sus conocidos publicara un Tweet con su nombre. A pesar de tener solo habilidades rudimentarias, el atacante, apodado Bitcoin Baron, aterrorizó durante varios años a pequeñas ciudades norteamericanas, dejando fuera de servicio los sitios web de organismos oficiales y exigiendo rescates. En uno de los casos, sus acciones causaron serías interferencias a los servicios de emergencia. El delincuente también intentó posicionarse como un ciberaktivista, pero su reputación estaba manchada por su inadecuado comportamiento y por haber intentado derrumbar el sitio web de un hospital de niños, inundándolo con pornografía infantil. La verdad es que de este ataque solo se supo por sus propias declaraciones y no fue posible establecer si tuvo lugar en realidad.
Tendencias del trimestre
En la primera mitad de 2018, la potencia promedio y máxima de los ataques disminuyó significativamente en comparación con la segunda mitad de 2017. Esto puede explicarse por cierta disminución observada a principios de año. Sin embargo, si comparamos los indicadores de la primera mitad de 2018 con los de la primera mitad de 2017, no podemos dejar de notar un aumento significativo en la potencia de los ataques.
Una forma de aumentar la potencia de un ataque es amplificarlo mediante recursos de terceros. Como se mencionó en el resumen de noticias, los hackers continúan buscando formas de amplificar los ataques DDoS a través de vulnerabilidades nuevas (o antiguas en el olvido) en el software, y, lamentablemente, con éxito. Esta vez el equipo de KDP tuvo la oportunidad de registrar y neutralizar un ataque de varias decenas de GB, gestado mediante CHARGEN, un protocolo antiguo y muy simple, descrito en el RFC 864 en el lejano año de 1983.
CHARGEN está diseñado para efectuar varios tipos de pruebas y mediciones, y puede usar como transporte los protocolos TCP y UDP. En el modo UDP, el servidor CHARGEN responde a cualquier solicitud con un paquete que contiene una cadena de 0 a 512 caracteres ASCII aleatorios. Los atacantes usan este mecanismo para enviar al servidor vulnerable CHARGEN solicitudes, donde se sustituye la dirección de origen por la dirección de la víctima. US-CERT estima que el grado de amplificación es de 358,8 veces, cifra bastante arbitraria, ya que las respuestas se generan de forma aleatoria.
A pesar de la considerable edad y el alcance limitado del protocolo, todavía se puede encontrar muchos servidores CHARGEN abiertos en Internet. La mayor parte es una variedad de impresoras y copiadoras, cuyo software tiene este servicio de red habilitado por defecto.
Los casos, señalados por KDP y otros proveedores (Radware, Nexusguard) de uso de CHARGEN en ataques UDP pueden significar que los ataques mediante protocolos más convenientes (por ejemplo, DNS o NTP) son cada vez menos eficaces, debido a que las técnicas de lucha con este tipo de desbordamiento UDP están bien desarrolladas. Pero los delincuentes no quieren abandonar estos ataques, ya que son muy fáciles de organizar, y buscan formas retorcidas de realizarlos con la esperanza de que los sistemas de defensa no sean capaces de hacer frente a los métodos antiguos. Y a pesar de que seguirán buscando brechas poco ortodoxas, es poco probable que los ataques de tipo CHARGEN Amplification se conviertan en el “hit del momento”, ya que casi no hay formas de añadir nuevos servidores vulnerables (¿con qué frecuencia se conectan las viejas fotocopiadoras a Internet?).
Si bien en sus métodos los delincuentes están regresando a las fuentes, en la elección de nuevos blancos están conquistando nuevas fronteras. Organizar ataques DDoS contra usuarios domésticos es simple pero no rentable, mientras que los ataques a las empresas son rentables pero difíciles. Ahora los organizadores de los ataques DDoS han encontrado la manera de obtener lo mejor de ambos mundos, en la industria de los juegos en línea y los streamers. Tomemos por ejemplo, la creciente popularidad de los torneos de deportes electrónicos, donde los ganadores reciben decenas, si no cientos de miles de dólares. Los eventos de mayor envergadura se realizan en predios especiales, con computadoras para los participantes y tribunas para los espectadores, pero las etapas de calificación suelen jugarse desde casa. En este caso, un ataque DDoS que se lance contra los jugadores claves de uno de los equipos puede hacer que este pierda y se retire del torneo en una etapa temprana. El servidor del torneo también puede sufrir ataques: la amenaza de interrupción de la competencia incita a los organizadores a pagar el rescate. Según datos de los clientes de Kaspersky Lab, los ataques DDoS contra jugadores y las áreas especiales de juego que pretenden bloquear el acceso de los jugadores al servidor del juego están muy difundidos hoy en día.
Del mismo modo, los delincuentes tratan de monetizar el mercado de los streamers, canales que transmiten los videojuegos. El propietario del canal transmite en vivo un juego popular y el público le dona pequeñas cantidades de dinero para respaldarlo. Por supuesto, mientras mayor sea audiencia del streamer, más dinero obtendrá durante cada emisión; las donaciones que reciben los jugadores más populares pueden llegar a cientos o miles de dólares, lo que hace que el streaming sea su principal fuente de ingresos. La competencia en este segmento es muy alta, y con los ataques DDoS los delincuentes pueden interferir las transmisiones en línea, lo que provoca el descontento de los abonados y hace que se reduzca su número.
Como en el caso de los jugadores, los streamers que trabajan desde casa prácticamente no tienen ningún medio de protección contra los ataques DDoS: solo su proveedor de Internet puede tomar medidas. Por el momento, la única salida puede ser trabajar en sitios especializados.
Metodología
Kaspersky Lab tiene años de experiencia en la lucha contra las amenazas cibernéticas, entre ellas los ataques DDoS de diversos tipos y grados de complejidad. Los expertos de la compañía realizan un seguimiento constante de las actividades de las botnets con la ayuda del sistema DDoS Intelligence.
El sistema DDoS Intelligence es parte de la solución Kaspersky DDoS Protección y realiza la interceptación y el análisis de los comandos que llegan a los bots desde los servidores de administración y control. Al mismo tiempo, para comenzar la protección, no es necesario esperar que algún dispositivo del usuario se infecte, o que se ejecuten los comandos de los delincuentes.
Este informe contiene las estadísticas de DDoS Intelligence del segundo trimestre de 2018.
En este informe consideraremos como un ataque DDoS aislado aquel cuya pausa entre periodos de actividad no supere las 24 horas. Por ejemplo, si un solo recurso sufrió ataques de la misma botnet y la pausa entre ellos fue de 24 horas o mayor, los consideraremos como dos ataques. También se consideran ataques diferentes los lanzados contra un solo recurso, pero ejecutados por bots de diferentes botnets.
Para determinar la ubicación geográfica de las víctimas de los ataques DDoS y los servidores desde donde se enviaron las instrucciones, se usan sus direcciones IP. El número de blancos únicos de ataques DDoS en este informe se calcula por el número de direcciones IP únicas de la estadística trimestral.
La estadística de DDoS Intelligence se limita a las botnets detectadas y analizadas por Kaspersky Lab. También hay que tener en cuenta que las botnets son sólo uno de los instrumentos con los que se realizan ataques DDoS y los datos que se presentan en este informe no abarcan todos los ataques ocurridos durante el periodo indicado.
Resultados del trimestre
- Desde el punto de vista de los ataques DDoS, el principio del trimestre fue el más virulento, sobre todo a mediados de abril. Finales de mayo y principios de junio, por el contrario, fueron periodos de relativa tranquilidad.
- La posición de liderazgo por el número de ataques la sigue teniendo China (59,03%). Hong Kong (17,13%) ocupa el segundo puesto. Hong Kong también está entre los tres primeros (12,88 %) por el número de objetivos únicos, por debajo de China (52,36 %) y Estados Unidos (17,75 %).
- Los ataques se distribuyeron de manera uniforme durante los días de la semana. El día más popular entre los cibercriminales fue el martes; el menos popular, el jueves, pero la diferencia entre ellos no fue tan grande.
- La proporción de ataques SYND aumentó de una manera brusca (hasta un 80,2 %). El segundo lugar lo ocupan los ataques UDP, con un 10,6 %.
- El número de ataques de botnets Linux aumentó significativamente, alcanzando el 94,47 % del total de ataques lanzados por una sola familia.
Geografía de los ataques
El nuevo trimestre nos deparó algunas sorpresas. El líder por el número de ataques, como antes, es China. Su participación se mantuvo prácticamente sin cambios (59,03 %, en comparación con el 59,42 % del primer trimestre). Sin embargo, es la primera vez que Hong Kong ocupa uno de los tres primeros puestos, subiendo del cuarto lugar al segundo, y con una participación que creció casi en cinco veces: del 3,67 % al 17,13 %. Con esto, desplazó a los Estados Unidos (12,46 %) y Corea del Sur (3,21 %), cuyos índices disminuyeron en un 5 % cada uno.
Además, Malasia experimentó un ascenso inesperado (hasta el quinto lugar) en la estadística territorial, y ahora tiene el 1,30 % de los ataques DDoS. Asimismo, Australia (1,17 %) y Vietnam (0,50 %) entraron al TOP 10, pero Japón, Alemania y Rusia lo abandonaron. El Reino Unido (0,50 %) y Canadá (0,69 %) perdieron posiciones y se trasladaron al octavo y al séptimo lugar, respectivamente.
Al mismo tiempo, en el segundo trimestre, el TOP 10 “reunió” más ataques que en el primer trimestre del año: el 96,44% en comparación con el 95,44%.
La distribución territorial de objetivos únicos guarda cierta correlación con la distribución del número de ataques: el mayor índice le pertenece a China (52,36%), que superó el resultado del último trimestre en un 5 %. En el segundo tenemos a EE. UU. (17,5 %), en el tercero a Hong Kong (12,88 %), que subió al cuarto lugar, desplazando a Corea del Sur (4,76 %). Los blancos más populares en Hong Kong fueron los servidores de Microsoft Azure. Reino Unido también perdió posiciones, ya que descendió del 4° lugar al 8° (y ahora su índice de objetivos únicos es del 0,8 %).
Japón y Alemania abandonaron el TOP 10, pero lograron entrar Malasia (2,27 %), que ocupó el 4°. puesto y, pisándole los talones, Australia (1,93 %). El número total de ataques únicos que ocurrieron en los 10 países más populares aumentó muy poco, alcanzando el 95,09 %, en comparación con el 94,17% del trimestre anterior.
Dinámica del número de ataques DDoS
Durante el segundo trimestre del año 2018, tuvieron lugar dos picos de actividad a mediados de abril: alrededor del 10 de ese mes se registró un aumento significativo en el número de ataques. Los dos grandes saltos estuvieron separados por pocos días: uno ocurrió el 11 (1163) el otro el 15 de abril (1555). Las caídas más profundas tuvieron lugar en la segunda mitad y a finales del trimestre; las fechas más tranquilas fueron el 24 de mayo (13) y el 17 de junio (16).
En el segundo trimestre de 2018, el domingo, de ser el más tranquilo se convirtió en el segundo más popular entre los ciberdelincuentes. Este día se llevaron a cabo el 14,99 % de los ataques en lugar del 10,77 % del trimestre anterior. Y la palma por el número de ataques se la llevó el martes, que concentró el 17,49 % de los ataques. Con el jueves ocurrió todo lo contrario: este día ocurrió solo el 12,75% de los ataques. En general, como se puede observar en el gráfico, de abril a junio los ataques se distribuyeron de manera más uniforme entre los días de la semana que a principios de año.
Distribución de los ataques DDoS por días de la semana, primer y segundo trimestres de 2018
Duración y tipos de ataques DDoS
El ataque más largo en el segundo trimestre duró 258 horas (casi 11 días), un poco menos que el récord del trimestre anterior, que fue de 297 horas (12,4 días). Esta vez, los hackers trataron con más insistencia de impedir el funcionamiento de una de las direcciones IP del proveedor chino China Telecom.
En general, la proporción de ataques prolongados disminuyó en un 0,02%, alcanzando el 0,12%. Se mantuvo la proporción de ataques de entre 100 y 139 horas de duración, pero la proporción de ataques de 10 a 50 horas casi se duplicó (del 8,28 % por ciento al 16,27%), mientras que el porcentaje de ataques de cinco a nueve horas de duración aumentó casi en una vez y media (del 10,73 % al 14,01%). La proporción de ataques cortos (de hasta cuatro horas) tuvo una baja significativa: del 80,73% en el primer trimestre al 69,49% en el segundo.
En consecuencia, disminuyeron los índices de todos los demás tipos de ataques. Ahora los ataques UDP están en el segundo lugar (10,6%), mientras que los ataques TCP, HTTP e ICMP constituyen un porcentaje relativamente pequeño.
Distribución geográfica de botnets
El TOP 10 de regiones con el mayor número de servidores de comando de botnets experimentó cambios significativos. El liderazgo le correspondió a EE. UU., con casi la mitad de los centros de comando (44,75% en comparación con el 29,32% del primer trimestre). Corea del Sur (11,05%) bajó del primer lugar al segundo, perdiendo casi 20 puntos. China también bajó bastante (del 8,0% al 5,52%). Su lugar fue ocupado por Italia, cuya participación en el trimestre aumentó del 6,83% al 8,84%. Además, Hong Kong salió del TOP 10, pero por primera vez desde que empezamos a publicar nuestros informes, Vietnam subió (3,31%) hasta el séptimo lugar.
Conclusión
En el segundo trimestre de 2018, los ciberdelincuentes continuaron la tendencia de buscar vulnerabilidades exóticas en los protocolos que utilizan el transporte UDP. Es probable que pronto tengamos noticias de otros métodos sofisticados para amplificar ataques.
Entre otros hallazgos técnicos, cabe destacar que se demostró la posibilidad de crear una botnet con la ayuda del protocolo UPnP, pero afortunadamente, este tipo de botnets es todavía muy raro en las “condiciones reales”.
La actividad de la botnets Windows disminuyó. En particular, la botnet Yoyo redujo significativamente sus actividades, al igual que las botnets Nitol, Drive y Skill. En cambio, Xor para Linux aumentó significativamente el número de ataques, mientras que Darkai, otra célebre botnet para Linux, se ralentizó un poco. Debido a esto, SYN-flood fue el tipo de ataque más popular.
La duración absoluta de los ataques cambió poco desde el trimestre anterior, pero la proporción de ataques de duración media aumentó, mientras que la proporción de ataques más cortos disminuyó en proporción inversa. La intensidad de los ataques también sigue creciendo. Al parecer, los blancos más rentables para los atacantes siguen siendo las criptomonedas, pero pronosticamos que son inminentes los ataques de alto perfil relacionados con el colapso de los cibercampeonatos, y las extorsiones relativamente pequeñas dirigidas a streamers y jugadores específicos. En consecuencia, en el mercado surgirá la necesidad de una protección individual y asequible contra los ataques DDoS.
Ataques DDoS en el segundo trimestre de 2018