Ataques DDoS en el primer trimestre de 2019

Resumen de noticias

El comienzo del año estuvo marcado por la aparición de una serie de nuevas herramientas en el arsenal de los organizadores de ataques DDoS. Así, a principios de febrero, en el campo de visión de los expertos en ciberseguridad apareció la nueva botnet Cayosin, compilada usando elementos de Qbot, Mirai y otros programas maliciosos de libre acceso. Esta botnet es de interés no tanto por su semejanza a un mosaico, ni por la alta frecuencia de actualización del conjunto de vulnerabilidades que explota, sino porque sus servicios (esta botnet se posiciona como un servicio DDoS) no se publicitan en el sector oscuro de Internet, sino a través de YouTube. Al mismo tiempo, las ventas se realizan en Instagram: los delincuentes, no son ajenos a las tendencias modernas y usan al máximo las posibilidades de las redes sociales. El seguimiento que los investigadores hicieron de las cuentas de los delincuentes los condujo a otros malware y botnets, entre ellos el ya descubierto Yowai.

A mediados de marzo se hizo otro hallazgo: una nueva version de Mirai, diseñada para atacar los dispositivos de negocios. Ahora el malware puede convertir en bots no solo puntos de acceso, enrutadores y cámaras de red, sino también sistemas de presentación inalámbricos, así como paneles de publicidad.

Pero a pesar de todo esto, no se observó una gran cantidad de ataques de gran envergadura realizados por botnets nuevas o no tan nuevas. Al final del invierno, la Universidad de Albany (UAlbany) situada en EE. UU. estuvo bajo asedio: del 5 de febrero al 1 de marzo, sufrió 17 ataques, que hicieron que los servidores de la universidad dejaran de procesar el tráfico entrante durante cinco minutos o más. Los datos de estudiantes y maestros no se vieron afectados, pero algunos servicios dejaron de estar disponibles. El jefe del servicio de seguridad de la universidad cree que justo ellos eran el blanco del ataque.

A principios de febrero también se dio un golpe al nuevo sitio web del Sindicato Nacional de Periodistas de Filipinas: como resultado de una serie de poderosos ataques de hasta 468 GB/s, estuvo fuera de servicio durante varias horas. El ataque fue parte de una extensa campaña contra varios sitios de noticias. Los afectados consideran que se han convertido en víctimas de la presión política sobre las fuentes alternativas de información.

A mediados de marzo, la empresa Facebook se topó con serios problemas en el funcionamiento de sus servicios: los usuarios de Facebook e Instagram no podían iniciar sesión en sus cuentas. Muchos observadores vincularon este incidente con un ataque DDoS. Sin embargo, la dirección de la red social niega esta versión, así que solo se pueden hacer conjeturas sobre las posibles causas del incidente.

En ausencia de noticias sobre ataques DDoS graves, hubo frecuentes noticias sobre grandes operaciones de la policía contra los organizadores de ataques, con los consecuentes arrestos y presentaciones de cargos.

Sigue recrudeciendo la presión contra los sitios que ofrecen organizar ataques DDoS: a principios de enero, el Departamento de Justicia de los Estados Unidos arrestó 15 dominios de Internet desde los que se lanzaron ataques DDoS el pasado diciembre. Según los documentos presentados en el juicio, mediante estos servicios se llevaron a cabo ataques contra sistemas gubernamentales, proveedores de servicios de Internet, universidades, instituciones financieras y plataformas de juego en todo el mundo.

Un poco más tarde ese mismo mes, en Estados Unidos se sentenció a 10 años de cárcel a un hacker de Massachusetts que realizó ataques DDoS contra dos establecimientos de salud. También en enero, en el Reino Unido se arrestó a un hacker contratado que dejó fuera de servicio varias redes de operadores móviles en Liberia y Alemania (que en el punto más alto de su carrera criminal, en 2015, logró dejar a toda Liberia sin Internet). Esta no es, ni mucho menos, la lista completa de sus “hazañas”, pero no se presentaron otros cargos.

Cada vez llegan más lejos las olas creadas por la operación del año pasado que cerró Webstresser.org, el servicio más grande para ordenar ataques DDoS. Ahora las autoridades policiales no solo apuntan a los organizadores, sino también a los clientes que ordenaron ataques DDoS. A finales de enero, Europol reportó que se había arrestado a más de 250 usuarios en el Reino Unido y los Países Bajos. Uno de los convictos, en lugar de ir a la cárcel, recibirá un castigo alternativo en el Hack_Right Center de Holanda, instituto dedicado a la reeducación de jóvenes hackers arrestados por primera vez. Según otras fuentes, está en marcha una investigación contra 150 mil clientes de Webstresser que residen en 20 países.

Pero a pesar de los esfuerzos de las autoridades policiales, los ataques DDoS siguen siendo una amenaza real para los propietarios de empresas. La organización Neustar International Security Council, después de realizar una encuesta a 200 directores técnicos de grandes empresas, considera que los ataques DDoS son un problema grave: el 52% de los servicios de seguridad ya los ha sufrido y el 75% está preocupado por este fenómeno.

Tendencias del trimestre

En el trimestre pasado, hicimos dos predicciones relacionadas con las tendencias en el mercado de ataques DDoS. La primera, que el mercado general de ataques DDoS se reduciría. La segunda, que al mismo tiempo aumentaría la demanda de ataques inteligentes de larga duración, en particular mediante inundación de HTTP.

La primera predicción no se confirmó: las estadísticas del sistema Kaspersky DDoS Protection muestran que todos los indicadores de ataques DDoS aumentaron en el último trimestre. El número total de ataques aumentó en un 84%, y el número de sesiones DDoS largas (más de 60 minutos) se duplicó. La duración promedio ha aumentado en 4,21 veces, y en el segmento de ataques extremadamente prolongados, el aumento fue de 487%.

Esto hace que sea necesario reconsiderar la suposición que hicimos en los informes del tercer y cuarto trimestre del año pasado: que la disminución de la actividad en el segmento DDoS del mercado de ciberdelincuentes está relacionada con la migración de los atacantes a la minería de criptomonedas, una actividad más segura y rentable. Ya está claro que esta hipótesis es, al menos en parte, errónea.

Es más probable otra explicación: en los seis meses anteriores, observamos no solo y no tanto la redistribución de la capacidad de las botnets hacia otros fines, sino la formación de un vacío en el mercado. Es probable que la falta de ofertas esté asociada con el aumento de las penas por los ataques DDoS, el cierre de varios sitios para la venta de servicios relacionados y el arresto de algunos de los principales actores durante el año pasado. Parece que ahora el vacío ha llegado a su fin: es casi seguro que el explosivo crecimiento de los indicadores se debe a la aparición de nuevos proveedores y clientes de servicios DDoS. Será interesante observar el desarrollo de esta tendencia en el segundo trimestre: ¿seguirán aumentando los indicadores o el mercado se consolidará en el nivel actual?

La segunda conclusión (de que crecería la demanda de ataques “inteligentes” a nivel de aplicaciones) se confirmó: la proporción de ataques más complejos y prolongados sigue creciendo, tanto en calidad, como en cantidad. Lo más probable es que esta tendencia continúe en el segundo trimestre, porque no vemos condiciones para que cambie.

Estadísticas

Metodología

Kaspersky Lab tiene años de experiencia en la lucha contra las amenazas cibernéticas, entre ellas los ataques DDoS de diversos tipos y grados de complejidad. Los expertos de la compañía realizan un seguimiento constante de las actividades de las botnets con la ayuda del sistema DDoS Intelligence.

El sistema DDoS Intelligence es parte de la solución Kaspersky DDoS Protección y realiza la interceptación y el análisis de los comandos que llegan a los bots desde los servidores de administración y control. Al mismo tiempo, para comenzar la protección, no es necesario esperar a que algún dispositivo del usuario se infecte, o a que se ejecuten los comandos de los delincuentes.

Este informe contiene la estadística de DDoS Intelligence correspondiente al primer trimestre de 2019.

En este informe consideraremos como un ataque DDoS aislado aquel cuya pausa entre periodos de actividad no supera las 24 horas. Por ejemplo, si un solo recurso sufrió ataques de la misma botnet y la pausa entre ellos fue de 24 horas o mayor, los consideraremos como dos ataques. También se consideran ataques diferentes los lanzados contra un solo recurso, pero ejecutados por bots de diferentes botnets.

Para determinar la ubicación geográfica de las víctimas de los ataques DDoS y los servidores desde donde se enviaron las instrucciones, se usan sus direcciones IP. El número de blancos únicos de ataques DDoS en este informe se calcula por el número de direcciones IP únicas de la estadística trimestral.

La estadística de DDoS Intelligence se limita a las botnets detectadas y analizadas por Kaspersky Lab. También hay que tener en cuenta que las botnets son sólo uno de los instrumentos con los que se realizan ataques DDoS y los datos que se presentan en este informe no abarcan todos los ataques ocurridos durante el periodo indicado.

Resultados del trimestre

• En cuanto a la distribución geográfica de los ataques, China sigue siendo el líder. Tras perder posiciones a fines de 2018, las recuperó el primer trimestre de 2019.
• La distribución geográfica de los objetivos es similar a la distribución geográfica de los ataques: los tres primeros son China (59,85%), EE. UU. (21,28%) y Hong Kong (4,21%).
• En ambos TOP 10 “geográficos”, el número de cambios de posición es relativamente pequeño en comparación con los trimestres anteriores. Han dejado de observarse aumentos repentinos de la actividad de las redes de bots en zonas inesperadas.
• El número máximo de ataques DDoS se observó en la segunda mitad de marzo. Enero fue el período más tranquilo.
• Durante la semana, el día más peligroso en términos de ataques DDoS fue el sábado, pero el domingo sigue siendo el más tranquilo.
• La duración máxima de ataques se redujo en más de un día en comparación con el trimestre anterior, sin embargo, el porcentaje de sesiones DDoS prolongadas continuó creciendo y ascendió a 21,34% (comparado con el 16,66% en el cuarto trimestre de 2018).
• La proporción de inundaciones SYN aumentó, alcanzando el 84%. En este sentido, la proporción de inundaciones UDP y TCP disminuyó, mientras que la proporción de ataques HTTP e ICMP en este contexto aumentó a 3,3% y 0,6%, respectivamente.
• La proporción de botnets Linux experimentó una ligera disminución, pero sigue siendo predominante (95,71%).
• La mayoría de los servidores de administración de botnets todavía se encuentran en los EE. UU. (34,10%); los Países Bajos ocupan el segundo lugar (12,72%) y Rusia el tercero (10,40%). Cabe destacar que Corea del Sur, el ex líder permanente ha regresado al TOP 10, pero solo para ocupar el último lugar (su participación fue del 2,31%).

Geografía de los ataques

China sigue siendo el líder por el número de ataques. Hasta alcanzó a recuperar las cifras perdidas en los trimestres anteriores: su participación aumentó del 50,43% al 67,89%. Estados Unidos ocupa el segundo lugar, a pesar de que su participación ha disminuido del 24,90% al 17,17%. En tercer lugar se ubicó Hong Kong, que subió del séptimo lugar y con una participación que aumentó del 1,84% al 4,81%.

Es curioso que, a excepción de China y Hong Kong, los porcentajes de todos los demás países se hayan reducido. Esto no impidió que EE. UU. quedara en segundo lugar, pero Australia, que ocupaba el tercer puesto a finales de 2018, por el contrario, cayó al último lugar, aunque perdió solo 4 puntos porcentuales (del 4,57% al 0,56%).

Entre otros cambios significativos, cabe destacar la caída del Reino Unido del quinto lugar al séptimo como resultado de una pérdida de 1,52 puntos porcentuales (del 2,18% al 0,66%), así como la de Canadá y Arabia Saudita. Cada uno de estos dos países perdió aproximadamente 1 punto porcentual, pero Canadá (0,86%) al mismo tiempo subió del sexto al cuarto lugar, y Arabia Saudita (0,58%) bajó un escalón y quedó en el penúltimo lugar.

Además, Brasil dejó el TOP 10, pero Singapur ingresó directo al quinto lugar, con el 0,82% de los ataques (su participación también se redujo, aunque de forma no muy significativa, en comparación con el trimestre anterior).

Corea del Sur, que anteriormente compartía el segundo o tercer lugar con los Estados Unidos, aún se encuentra fuera del TOP 10 (le corresponde el 0,30% de los ataques). Sin embargo, a pesar de que el TOP 10 aún tiene una apariencia inusual, en la distribución de puestos no se observan cambios tan abruptos e inesperados como en los tres trimestres anteriores.

Distribución de los ataques DDoS por países, cuarto trimestre de 2018 y primer trimestre de 2019

Los resultados de la distribución geográfica de los blancos son consistentes con la distribución geográfica de los ataques: en el primer lugar de nuevo está China, cuya participación aumentó del 43,26% al 59,85%, en el segundo lugar EE. UU., cuya participación disminuyó del 29,14% al 21,28%, en el tercero, Hong Kong, cuya participación aumentó del 1,76% al 4,21%.

Arabia Saudita cayó del quinto al sexto lugar, perdiendo un poco más de 1 punto porcentual (su participación disminuyó del 2,23% al 1,08%). Canadá perdió aproximadamente la misma cantidad (del 2,21% al 1,30%), sin embargo, subió del sexto al cuarto lugar, y el Reino Unido, con pérdidas más significativas (del 2,73% al 1,18%) cayó del cuarto lugar al quinto.

Al mismo tiempo, abandonaron el TOP 10 Australia y Brasil, que en el último trimestre ocuparan el tercer y octavo lugar. En cambio, lograron entrar Singapur, cuyo pequeño crecimiento (del 0,72% al 0,94%) le permitió ocupar el octavo lugar, y Polonia con una participación que aumentó del 0,33% al 0,90%, que la hizo ocupar el noveno puesto. Alemania (0,77%) sigue en el último puesto del TOP 10.

Distribución de blancos únicos de ataques DDoS por países, cuarto trimestre de 2018 y primer trimestre de 2019

Dinámica del número de ataques DDoS

En el último trimestre, la mayor virulencia de los ataques DDOS se observó en marzo, sobre todo en su segunda mitad. Así, el pico más alto tuvo lugar el 16 de marzo (699 ataques). Además, se observó un aumento significativo a mediados de enero, el día 17, en este día registramos 532 ataques. El comienzo de enero fue tranquilo, sin manifiestos altibajos, pero el 5 de febrero resultó ser el día más tranquilo: solo 51 ataques.

Dinámica del número de ataques DDoS en el primer trimestre de 2019

En cuanto a la distribución por días de la semana, en el último trimestre la actividad se desplazó claramente al fin de semana: el sábado fue el día más intenso (representó el 16,65% de los ataques) y el viernes fue el segundo (15,39%). Los domingos hubo una tranquilidad temporal: solo el 11,41% de los ataques. Recordamos que a fines de 2018, la mayoría de los ataques DDoS se lanzaron el jueves (15,74%), pero el domingo también fue el más tranquilo.

Distribución de los ataques DDoS por días de la semana, cuarto trimestre de 2018 y primer trimestre de 2019

Duración y tipos de ataques DDoS

En el primer trimestre, la proporción de ataques prolongados casi se duplicó, pasando del 0,11% al 0,21%. Sin embargo, el ataque más largo no duró casi 14 días (329 horas), como en el cuarto trimestre de 2018, sino “solo” un poco más de 12 (289 horas).

Además, la proporción de los ataques que duraron más de cinco horas ha aumentado significativamente: si a fines de 2018 era del 16,66%, ahora ha aumentado al 21,34%. Si dividimos este segmento en partes más pequeñas, entonces, como se ve en el gráfico, la mayoría de las categorías de ataques de larga duración experimentaron un aumento, y solo la proporción de ataques de 100 a 139 horas disminuyó ligeramente (de 0,14% a 0,11%). En consecuencia, la proporción de ataques cortos disminuyó en casi 5 pp, hasta alcanzar el 78,66%.

Distribución de los ataques DDoS por duración, cuarto trimestre de 2018 y primer trimestre de 2019

Como en años anteriores, la inundación SYN prevaleció en el tráfico de basura del primer trimestre. En comparación con el cuarto trimestre de 2018, su participación incluso aumentó, alcanzando el 84,1%. Naturalmente, un aumento tan significativo (del 58,2%, más de 20 pp) se reflejó en la participación de los demás tipos de tráfico.

Así, aunque en el primer trimestre la inundación UDP se mantuvo en el segundo lugar, su participación fue solo del 8,9% (en lugar del 31,1%). La participación de la inundación TCP, que ocupaba el tercer lugar, también disminuyó (del 8,4% al 3,1%). Además, este tipo de ataque se ubicó en el cuarto lugar, detrás de la inundación HTTP (que creció en 1,1 pp hasta el 3,3%). El tráfico ICMP está, como de costumbre, en el último lugar, aunque su participación aumentó del 0,1 al 0,6%.

Distribución de ataques DDoS por tipo, primer trimestre de 2019

La cantidad de botnets Linux siguen siendo muy superior a la de las botnets conformadas por dispositivos con Windows. Sin embargo, en el primer trimestre de 2019, esta ventaja ha disminuido un poco: ahora las botnets de Linux no representan el 97,11%, sino el 95,71%. La participación de las botnets Windows, respectivamente, aumentó aproximadamente 1,5 pp y ascendió al 4,29%. Pero esto no se debe a la creciente popularidad de los dispositivos de Windows, sino a la disminución en el número de servidores de comandos del bot Mirai y su clon Darkai. Como resultado, el número de ataques de estos bots se redujo en tres y siete veces, respectivamente.

Proporción de ataques de botnets Windows y Linux, cuarto trimestre de 2018 y primer trimestre de 2019

Distribución geográfica de las botnets

Los Estados Unidos siguen a la cabeza del TOP 10 por el número de redes de bots ubicadas en su territorio (34,10%). Los Países Bajos pasaron del tercer lugar, que ocupaban a finales de 2018, al segundo lugar (12,72%). Y el tercer lugar en el ranking lo ocupó Rusia (10,40%), que antes estaba en el séptimo. China (7,51%) subió del último lugar al cuarto, pero no volvió a ocupar un lugar entre los tres primeros.

Además, Grecia y Alemania salieron del TOP 10. En lugar de ellos, en el TOP 10 entraron Vietnam (4,05%), que ocupó el séptimo lugar, y Corea del Sur (2,31%). Esta vez, Corea del Sur resultó en la última, décima posición, aunque anteriormente durante mucho tiempo encabezó el TOP 10 de esta categoría.

Distribución de los servidores de administración de botnets por país, primer trimestre de 2019

Conclusión

En los tres trimestres anteriores, observamos la aparición de “huéspedes” inesperados en varios TOP 10: algunos países, de los cuales aún no había emanado una cantidad significativa de amenazas DDoS, entraron de repente en escena. En el primer trimestre de 2019, no se observaron sorpresas particulares, excepto en regiones como Arabia Saudita, los Países Bajos o Rumania que aún mantienen un alto nivel de actividad DDoS, es decir, su aparición en el TOP 10 no puede atribuirse a desviaciones aleatorias. Mientras tanto, los atacantes que tenían su base en Corea del Sur, parecen no tener prisa por manifestarse en este país. Tal vez ahora estemos presenciando el surgimiento de una nueva distribución de botnets por país.

También vale la pena señalar una disminución significativa en las actividades de las botnets Darkai, uno de los clones de Mirai: el número de ataques con su ayuda se redujo en siete veces. El mismo Mirai sufrió una reducción significativa, porque su actividad se redujo en tres veces. Esta circunstancia, entre otras cosas, puede explicar la ligera disminución en el número y la duración de los ataques DDoS.