Ataques DDoS en el tercer trimestre de 2022

Resumen de noticias

En el tercer trimestre de 2022, las acciones con motivaciones políticas siguieron siendo el trasfondo mediático de los ataques DDoS. La mayor parte de las noticias fueron, como antes, sobre el conflicto entre Rusia y Ucrania, pero otros eventos de alto perfil del trimestre también afectaron al panorama de los ataques DDoS.

El grupo prorruso Killnet, activo desde enero de 2022, se atribuyó la autoría de más ciberataques. Según los hacktivistas, más de 200 sitios web estonios han sido atacados, entre ellos el sistema de pago ESTO AS. En la vecina Lituania, los sitios web y los servicios electrónicos de la empresa energética Ignitis Group se vieron afectados. Ambas agresiones fueron descritas por las víctimas como las mayores de los últimos 10-15 años.

El mismo grupo Killnet también reivindicó el ataque al sitio web y los servicios del Servicio de impuestos internos de Estados Unidos. En su canal de Telegram, los atacantes declararon que estaban “probando un nuevo método de DDoS”. Durante el ataque, dijeron, la administración del sitio web intentó cambiar su proveedor de protección DDoS, pero cambió de opinión. Killnet también interrumpió por un par de horas el funcionamiento del sitio web del Congreso de los Estados Unidos.

Al otro lado del Pacífico, en Japón, 20 sitios web de cuatro departamentos gubernamentales diferentes sufrieron ataques DDoS. Los hacktivistas de Killnet también reivindicaron su participación en este incidente. El defensor logró reparar la mayor parte de los daños en 24 horas, aunque al día siguiente seguía siendo difícil acceder al portal administrativo e-Gov.

Una agrupación prorrusa menos conocida, Noname057(16), se atribuyó los ataques al sitio web del Parlamento finlandés y al archivo de publicaciones del Gobierno finlandés, que logró desactivar por cierto periodo. Según el canal de Telegram del grupo, el motivo de los ataques fue “el gran deseo de las autoridades del país de ingresar en la OTAN”.

A su vez, algunos recursos rusos sufrieron ataques DDoS lanzados por hacktivistas pro-ucranianos. Los sistemas de pago Unistream, Korona Pay y Mir, así como el Sistema nacional de tarjetas de pago de Rusia, que garantiza el funcionamiento de Mir y el Sistema de pagos rápidos, fueron objeto de ataques. Además, los activistas derribaron el sitio web, el centro de llamadas y el proveedor de SMS de Gazprombank. El banco Otkritie reportó fallas en su banca en línea y su aplicación móvil, y SberBank informó de 450 ataques DDoS repelidos en los dos primeros meses del tercer trimestre. Según la organización, esto equivale al número de ataques repelidos en los últimos cinco años.

Los operadores de gestión electrónica de documentos, en particular SKB Kontur y Taxcom, también fueron objeto de ataques. Sus sitios web eran inaccesibles o lentos, lo que provocó que algunos productores lácteos tuvieran dificultades para hacer entregas. Los sitios web de los partidos políticos Rusia Unida, Joven Guardia de Rusia Unida y Rusia Justa – Por la Verdad también fueron objeto de ataques DDoS.

Los medios de comunicación no se salvaron: los ataques a RIA Novosti y Sputnik duraron casi un día, mientras que el sitio web del portal Argumenty i Fakty estuvo inaccesible durante algún tiempo. Y los expertos de StormWall informaron que 70 publicaciones regionales de 14 ciudades rusas (Bryansk, Kaluga, Chelyabinsk, Pskov, Omsk, Tyumen, Sochi y otras) se vieron afectadas por el tráfico basura.

Una oleada de ataques DDoS afectó a muchas empresas de alta tecnología y de la industria del entretenimiento. Los hacktivistas atacaron unas 20 plataformas rusas de videoconferencias. En particular, se vieron afectadas TrueConf, Videomost, Webinar.ru e iMind. Asimismo, los sitios web de Kinomax, Mori Cinema, Luxor, Almaz Cinema y otros fueron objeto de ataques. Los hacktivistas también intentaron derribar el sitio web de los coches Drom, el de la tienda de drones MyDrone y el del proveedor de seguridad Avangard.

Ya en el primer trimestre se difundieron sitios web y aplicaciones con los que usuarios poco versados en técnicas, pero simpatizantes de Ucrania podían sumarse a ataques DDoS contra recursos rusos. El grupo de APT de habla rusa Turla aprovechó el entusiasmo. En julio, los investigadores de Google informaron sobre un malware para Android que los atacantes estaban distribuyendo bajo la apariencia de una utilidad de ataque DDoS contra sitios web rusos. Según los expertos, este es el primer malware para Android en el arsenal de Turla.

Además del conflicto entre Rusia y Ucrania, también llegaron desde otros puntos álgidos del planeta noticias de ataques DDoS por motivos políticos. La visita de la presidenta del Congreso de Estados Unidos, Nancy Pelosi, a Taiwán provocó no solo una fuerte reacción pública, sino también una serie de ciberataques, tanto antes de que la política llegara a la isla como en las primeras horas tras finalizar la visita. En particular, el sitio web del presidente de la isla y la red del Ministerio de defensa nacional de Taiwán sufrieron problemas de funcionamiento. También se vieron afectados los recursos del Ministerio de asuntos exteriores y el gran aeropuerto Taoyuan International.

Israel también fue objeto de ataques DDoS, que afectaron a los sitios web del Ministerio de sanidad y del Ayuntamiento de Tel Aviv. En consecuencia, se restringió el acceso a los recursos del exterior del país. Al-Tahira (alias ALtahrea), un grupo contrario a la OTAN y sus aliados, reclamó la autoría de los ciberataques.

El espacio postsoviético también fue turbulento. Con el telón de fondo de la escalada del conflicto entre Armenia y Azerbaiyán, un ataque DDoS afectó el sitio web oficial de la OTSC. La organización dijo que, amparándose en el DDoS, los atacantes “intentaron realizar cambios en algunos de los mensajes informativos” del sitio web de la organización. Y el 20 de septiembre, el segmento de Internet de Kazajstán fue objeto de un ataque masivo de DDoS desde el extranjero. Alrededor de la misma hora, los medios de comunicación locales, Top Press, New Times y Skif News, se vieron afectados por el DDoS.

También hubo acontecimientos en el tercer trimestre que sin duda revisten carácter político. El operador medioambiental ruso, por ejemplo, informó de ataques DDoS a la Bolsa de recursos materiales secundarios inmediatamente después de anunciar el lanzamiento del sitio. Aunque puede haber sido parte de una campaña hacktivista, los nuevos recursos electrónicos con frecuencia se enfrentan a ataques DDoS en vísperas de su apertura y en momentos de calma. El mayor tracker de torrents en lengua rusa, RuTracker, y el portal de entretenimiento Live62 también informaron de ataques en el tercer trimestre. Ambos recursos se han enfrentado a demandas por infracción de derechos de autor y RuTracker está bloqueado en Rusia por ser pirata.

Además, varias empresas especializadas en la protección contra ataques DDoS informaron de ataques de gran potencia en el tercer trimestre.

Akamai informó sobre dos grandes ataques contra el mismo cliente de Europa del Este. En ambos casos, lo que destacaba era el número de paquetes por segundo enviados por los atacantes. El primer ataque tuvo lugar el 21 de julio y alcanzó un máximo de 659,6 millones de paquetes por segundo, según Akamai, un récord para Europa en ese momento. Pero no se trata de un caso aislado: este cliente fue atacado más de 70 veces en julio. El récord estuvo vigente hasta que el 12 de septiembre ocurrió otro ataque, que alcanzó los 704,8 millones de paquetes por segundo.

Siguiendo la tendencia del segundo trimestre, Google reportó un ataque DDoS a través del protocolo HTTPS que alcanzó un máximo de 46 millones de peticiones por segundo, un 77% más que el ataque HTTPS que batió el récord en el informe anterior. Más de 5000 direcciones IP de 132 países participaron en el ataque, y cerca del 30% del tráfico procedía de Brasil, India, Rusia e Indonesia, según los expertos. La distribución geográfica y las características de la red de bots indican el uso de la familia Mēris.

Lumen informó que previno un ataque de más de 1 terabyte por segundo contra los servidores de sus clientes. En el momento del ataque, el servicio de juegos estaba funcionando en los servidores atacados. Durante la semana anterior al incidente, los atacantes habían probado diferentes métodos de DDoS y explorado las defensas de la víctima enviando comandos a los bots desde tres servidores C2 diferentes.

Los servicios de juegos son regularmente objeto de ataques DDoS. Una serie sostenida de ataques en el tercer trimestre afectó a los servidores de Gaijin Entertainment, desarrollador de War Thunder, Enlisted y Crossout. Los ciberataques comenzaron el 24 de septiembre y los usuarios seguían quejándose de las interrupciones en el momento de escribir este artículo. Para reducir el efecto negativo de los ataques DDoS, el desarrollador ha prometido ampliar las promociones y las suscripciones premium, así como dar a los jugadores bonificaciones durante la semana.

Los centros de datos norteamericanos de Final Fantasy 14 fueron atacados a principios de agosto. Los jugadores tuvieron problemas de conexión, autorización e intercambio de datos. Los juegos multijugador de Blizzard, Call of Duty, World of Warcraft y Overwatch, así como Hearthstone y Diablo: Immortal, también volvieron a sufrir ataques DDoS.

El ciberpartido oficial de eSports de la ESL entre NaVi y Heroic se detuvo durante más de una hora debido a un ataque DDoS dirigido a jugadores individuales. El partido continuó después de que el organizador resolviera la amenaza.

Por su parte, los desarrolladores del juego Tanki Online han anunciado que los ataques DDoS, que venían asolando a los jugadores desde el verano, por fin han sido neutralizados. Tras mejorar la seguridad y estabilizar los servidores, los organizadores entregaron premios a los participantes para agradecerles por la paciencia.

Esta no es la única buena noticia en relación con los ataques DDoS a los servicios de juegos: en Suecia, la policía detuvo al presunto autor de los ataques DDoS contra Esportal, una plataforma para competiciones de CS:GO. El detenido podría enfrentarse a entre seis meses y seis años de prisión.

También se han tomado medidas para combatir los DDoS a nivel nacional. Por ejemplo, Israel ha anunciado el lanzamiento del proyecto Cyber-Dome, cuyo objetivo es proteger los recursos digitales nacionales. Según la Dirección Cibernética local, la aparición de un conjunto único de seguridad en el país debería mejorar la ciberseguridad y mitigar el impacto de los ataques a gran escala.

En Bangladesh, el equipo gubernamental de respuesta a incidentes informáticos exigió que todas las organizaciones de alto perfil, incluidas las responsables de la infraestructura informática del país, desarrollaran y aplicaran medidas contra los ataques DDoS. Esto a consecuencia de los informes sobre un aumento de este tipo de ataques.

Al mismo tiempo, el consenso legal global de que cualquier ataque DDoS es un ciberdelito se vio amenazado en el tercer trimestre, y desde un ángulo inesperado. La Asociación húngara de comunicaciones por cable (MKSZ) solicitó que se modifique la legislación para permitir formalmente a sus miembros, empresas legales del sector de las telecomunicaciones, llevar a cabo ataques DDoS como medio para combatir la piratería de IPTV. Las medidas tradicionales, como el bloqueo de direcciones IP y nombres de dominio, han sido calificadas por MKSZ de lentas e ineficaces, mientras que los ciberataques con protección legal son la medida destinada a conseguir que los abonados abandonen los servicios piratas.

No solo las empresas de telecomunicaciones húngaras han pensado en contraatacar a los atacantes. Después de que el grupo de ransomware LockBit hackeara la empresa de ciberseguridad Entrust y comenzara a publicar datos sensibles, personas no identificadas atacaron un sitio web donde los atacantes filtran información sobre las víctimas. En los paquetes recibidos de los atacantes se incluía un mensaje inequívoco: DELETE_ENTRUSTCOM_[BAD_WORD].

Tendencias del trimestre

El tercer trimestre de 2022 transcurrió casi sin sorpresas, lo que es un tanto sorprendente, porque desde finales de 2021 siempre las hubo. Sin embargo, esto no significa que el trimestre haya sido aburrido. Veamos las estadísticas.

Número comparativo de ataques DDoS, tercer trimestre de 2021, y segundo y tercer trimestres de 2022. El tercer trimestre de 2021 se considera el 100% (descargar)

Lo primero que merece la pena destacar es el aumento tangible de los ataques DDoS de todo tipo en relación con el período del informe anterior. Sin embargo, dentro del trimestre, el patrón es una simple referencia: meses de verano más o menos tranquilos seguidos de un pico de actividad de DDoS. En septiembre, el equipo de Kaspersky DDoS Protection repelió el 51% de los ataques del trimestre, aproximadamente la misma cifra que en los dos meses anteriores. Esta situación es normal, se observa todos los años y todos los años escribimos sobre ella en nuestros informes. Por lo general, en el panorama general del año, el aumento del tercer trimestre es más bien una recuperación de la caída del segundo, pero la cuestión no cambia: en septiembre, el número de ataques DDoS aumenta drásticamente. Esto se debe al aumento general de la actividad y a la aceleración de la vida tras los lentos meses de verano: la gente sale de vacaciones, los estudiantes y los escolares empiezan a estudiar… todo crece, incluido el mercado de los DDoS.

Proporción de ataques inteligentes, tercer trimestre de 2021, y segundo y tercer trimestres de 2022 (descargar)

Lo que es inusual es el continuo crecimiento de la proporción de ataques inteligentes, que ya ha superado la mitad, y fue de más del 53%: un récord histórico. Además, el número de ataques DDoS contra HTTP(S) este trimestre superó por primera vez el número de ataques contra TCP, que siempre ha sido más fácil de organizar y ha sido el tipo de DDoS más popular hasta ahora.

Proporción de ataques HTTP(S)- y TCP, segundo trimestre de 2021 – tercer trimestre de 2022. Se considera que el 100% es el número de ataques TCP en el periodo correspondiente (descargar)

Lo más interesante es que, en términos absolutos, el número de ataques a HTTP(S) se ha mantenido bastante estable durante el último año. La proporción de ataques a TCP está disminuyendo. Y refleja bien la tendencia general: la popularidad de los ataques DDoS “tontos” está disminuyendo, y la proporción de ataques inteligentes está aumentando en consecuencia. Era de esperar que ocurriera tarde o temprano: las distintas herramientas, tanto del lado de los atacantes como de los defensores, están evolucionando y su disponibilidad es cada vez mayor. Organizar un ataque L7 es cada vez más fácil y la eficacia de los ataques L4 está disminuyendo. Por ello, los profesionales los utilizan cada vez menos en su forma pura (aunque los vectores L4 en los ataques mixtos se siguen utilizando) y pasan cada vez más al dominio de los aficionados. Las cifras anteriores lo ilustran bien.

Merece la pena mirar los datos del primer trimestre de 2022: los ataques DDoS contra HTTP(S) son la mitad de aquellos contra TCP. En febrero y marzo, vimos un aumento significativo de los ataques de activistas no profesionales en relación con la situación geopolítica, como se informó en nuestro artículo. Los hacktivistas son apasionados, pero no persistentes, por lo que pronto se aburrieron del juego de los DDoS y la proporción de estos ataques comenzó a disminuir gradualmente. En el tercer trimestre, casi había desaparecido. Por otro lado, el número de ataques profesionales de alta calidad aumentó en el primer trimestre y se ha mantenido en un nivel elevado. Tampoco cambian los objetivos: siguen siendo sobre todo los sectores financiero y público. Ambos hechos siguen reforzando la idea de que, desde la primavera y hasta al menos finales de septiembre, los profesionales están cumpliendo un pedido contra estos sectores, lo que se refleja en nuestras estadísticas.

En cuanto a la duración de los ataques DDoS, esta vez no hubo récords: mientras que en el segundo trimestre se produjo el ataque DDoS más largo de la historia, el tercer trimestre fue más tranquilo, con ataques de un promedio de unas ocho horas, y el más largo duró algo menos de cuatro días. Esto parece bastante modesto en comparación con el trimestre pasado, pero siguen siendo cifras enormes: el año pasado, en el tercer trimestre, la duración de los ataques DDoS se medía en minutos, no en horas. En este sentido, la situación sigue siendo difícil.

Duración media de los ataques DDoS, tercer trimestre de 2021, y segundo y tercer trimestres de 2022. El tercer trimestre de 2021 se considera el 100% (descargar)

Estadísticas de ataques DDoS

Metodología

Kaspersky tiene muchos años de experiencia en la lucha contra las amenazas informáticas, como los ataques DDoS de diversos tipos y de diferentes grados de complejidad. Los expertos de la compañía realizan un seguimiento constante de las actividades de las botnets con la ayuda del sistema DDoS Intelligence.

El sistema DDoS Intelligence es parte de la solución Kaspersky DDoS Protection e intercepta y analiza los comandos enviados a los bots desde los servidores de comando y control. Al mismo tiempo, para iniciar la protección, no es necesario esperar a que se infecten los dispositivos del usuario, ni que ocurra la ejecución real de los comandos de los atacantes.

Este informe contiene las estadísticas de DDoS Intelligence del tercer trimestre de 2022.

En este informe consideramos como ataque DDoS aislado aquel cuya pausa entre períodos de actividad no supera las 24 horas. Por ejemplo, si el mismo recurso fue atacado por la misma botnet con 24 horas o más de diferencia, se considera que son dos ataques. También se consideran ataques diferentes los lanzados contra un solo recurso, pero ejecutados por bots de diferentes botnets.

Determinamos la ubicación geográfica de las víctimas de los ataques DDoS; los servidores desde donde se enviaron las instrucciones se determinan por sus direcciones IP. El número de blancos únicos de ataques DDoS en este informe se calcula según el número de direcciones IP únicas de la estadística trimestral.

Las estadísticas de DDoS Intelligence se limitan a las botnets detectadas y analizadas por Kaspersky. También hay que tener en cuenta que las botnets son solo uno de los instrumentos con los que se realizan ataques DDoS, y los datos que se presentan en esta sección no abarcan todos y cada uno de los ataques ocurridos durante el período indicado.

Resultados del trimestre

En el tercer trimestre de 2022:

• Kaspersky DDoS Intelligence detectó 57 116 ataques DDoS.
• El 39,61% de los objetivos se encuentran en EE.UU., donde se produjo el 39,60% de los atentados.
• El viernes fue el día más agitado de la semana, con un 15,36% de ataques, mientras que el jueves fue el más tranquilo, con un 12,99%.
• El mes de julio fue el más contrastado, con 1494 y 1492 ataques el 1° y el 5, y 135 el 24.
• Los ataques que duran menos de 4 horas representan el 60,65% de la duración total de los ataques y el 94,29% del número total de ataques.
• El flood UDP representó el 51,84% del total de ataques y el flood SYN el 26,96%.
• El mayor número de bots que atacaron los secuestradores SSH de Kaspersky Lab se produjo en Estados Unidos (17,60%).

Geografía de los ataques DDoS

En el tercer trimestre de 2022, los cuatro países cuyos recursos fueron atacados con mayor frecuencia no variaron respecto al período anterior. Estados Unidos (39,60%) se mantiene en el primer puesto, aunque perdió 6,35 puntos porcentuales. La cuota de China continental (13,98%) aumentó casi en la misma medida, en 6,31 puntos porcentuales, y se mantiene en el segundo puesto. Alemania (5,07%) sigue en tercer lugar y Francia (4,81%) en cuarto.

Hong Kong (4,62%) fue el décimo territorio con más ataques DDoS el trimestre pasado, pero este trimestre su cuota se ha duplicado con creces y ahora ocupa el quinto lugar. Brasil (4,19%) sube al sexto puesto, mientras que Canadá (4,10%) y el Reino Unido (3,02%), que ocupaban el quinto y sexto lugar el trimestre pasado, bajan al séptimo y octavo. Cerrando el TOP 10 están Singapur (2,13%) y los Países Bajos (2,06%).

Distribución de los ataques DDoS por país y territorio, segundo y tercer trimestres de 2022 (descargar)

La distribución de los objetivos únicos de los ataques DDoS por país y territorio es casi la misma que la clasificación de los ataques. En primer lugar está Estados Unidos (39,61%), seguido de China continental (12,41%), que ha aumentado su cuota en 4,5 puntos porcentuales durante el trimestre. Alemania sigue en tercer lugar (5,28%) y Francia en cuarto (4,79%).

Al igual que en la distribución de los ataques, Brasil (4,37%) y Hong Kong (4,36%) ocupan el quinto y sexto lugar en cuanto a objetivos únicos, pero en orden inverso. En el país sudamericano hubo un poco más blancos de ataques DDoS, mientras que Hong Kong registró un aumento de 2,36 puntos porcentuales con respecto al trimestre anterior. Canadá (3,21%), el Reino Unido (2,96%) y Singapur (2,11%) ocuparon los puestos séptimo a noveno, pero el décimo lugar fue para Polonia (2,00%), que superó a los Países Bajos (1,86%), que abandonaron el TOP 10.

Distribución de objetivos únicos por país y territorio, segundo trimestre de 2022 y tercer trimestre de 2022 (descargar)

Dinámica del número de ataques DDoS

El número de ataques DDoS volvió a descender en el tercer trimestre de 2022: en el trimestre pasado se redujo un 13,72% respecto al anterior, en el actual bajó otro 27,29%, hasta los 57 116. El mes de agosto fue el más activo, ya que Kaspersky DDoS Intelligence detectó una media de 824 ataques diarios ese mes. Por el contrario, julio fue tranquilo, ya que el 45,84% de los ataques del mes se produjeron en los primeros siete días, manteniendo el ritmo de junio (un promedio de 1301 al día), pero a partir de la segunda semana, la media de ataques bajó a 448 al día. Así, el mes de julio solo registró una media de 641 ataques, ligeramente por delante de un septiembre aún más tranquilo, con una media de 628,5 ataques DDoS al día. Sin embargo, en septiembre los atentados se distribuyeron con más uniformidad a lo largo del mes.

Todos los picos del trimestre se produjeron en julio: el día más agresivo fue el 1° de julio, con 1494 ataques, mientras que el más tranquilo fue el 24 de julio, con 135 ataques en total. En agosto, solo los días 8 y 12 se registraron más de mil ataques, 1087 y 1079 respectivamente, mientras que el día más tranquilo fue el 30, con 373 ataques. El mes de septiembre no arrojó cifras ni muy altas ni muy bajas.

Dinámica de los ataques DDoS, tercer trimestre de 2022 (descargar)

El domingo (13,96%) perdió 1,85 p.p. en el tercer trimestre en comparación con el período anterior y dejó de ser el día más ocupado de la semana. La cuota de los sábados disminuyó, pero sigue siendo superior al 15%. El primer puesto por la cantidad de ataques DDoS fue para el viernes, que mostró un marcado aumento del 13,33% al 15,36%. El jueves fue el único día cuya cuota cayó por debajo del 13%, hasta el 12,99%.

Distribución de los ataques DDoS por día de la semana, tercer trimestre de 2022 (descargar)

El jueves fue también el único día de la semana cuya cuota cayó.

Duración y tipos de ataques DDoS

En el tercer trimestre de 2022, el 19,05% de la duración total de los ataques perteneció a ataques largos de 20 horas o más. Esta cifra casi se ha triplicado después de haber disminuido en el periodo anterior y casi ha alcanzado el nivel de principios de año. En consecuencia, la proporción de ataques prolongados en términos de cantidad también aumentó: del 0,29% al 0,94%.

Los ataques de corta duración, de hasta cuatro horas, mostraron un ligero descenso hasta el 94,29%. Sin embargo, su proporción en la duración total de los ataques DDoS se redujo bastante, del 74,12% al 60,65%. Los ataques que duran entre 5 y 9 horas se mantienen en segundo lugar (3,16%), y los ataques que duran entre 10 y 19 horas están en tercer lugar (1,60%).

El ataque más largo del tercer trimestre duró 451 horas (unos 18 días y 19 horas). El segundo puesto es ya mucho más modesto, con 241 horas (10 días y 1 hora). La duración media de los ataques experimentó un ligero aumento, hasta situarse en torno a las 2 horas y 2 minutos, lo que no es de extrañar si se tiene en cuenta el aumento de la proporción de ataques largos y la disminución de los cortos.

Distribución de los ataques DDoS por duración, segundo trimestre y tercer trimestre de 2022 (descargar)

En el tercer trimestre de 2022, la clasificación de los tipos de ataques DDoS no varió con respecto al trimestre anterior. El porcentaje de flood UDP disminuyó del 62,53% al 51,84%, pero este tipo de DDoS siguió siendo el más común. Por el contrario, el SYN-flood, el segundo ataque más común aumentó su cuota hasta el 26,96%. TCP-flood (15,73%) trastocó la caída por el ascenso, sumando más de un 4% y manteniéndose en el tercer puesto. El GRE-flood representó el 3,70% y el HTTP-flood el 1,77% de todos los ataques.

Distribución de los ataques DDoS por tipo, tercer trimestre de 2022 (descargar)

Distribución geográfica de las botnets

La mayor parte de los servidores que controlan botnets sigue estando en Estados Unidos (43,10%), pero su cuota se redujo en 3 p.p. Los Países Bajos (9,34%), que ocupaban el segundo lugar el trimestre pasado, perdieron más de 5 p.p. y volvieron a intercambiar puestos con Alemania (10,19%). Rusia se mantiene en cuarto lugar (5,94%).

Más abajo están los países de Asia: Singapur (4,46%) en quinto lugar y Vietnam (2,97%), cuya cuota siguió creciendo en el tercer trimestre, aunque con menos fuerza que en el segundo. Les sigue un nuevo participante cuya cuota se ha multiplicado por más de seis: Bulgaria (2,55%).

Francia pasa del quinto al octavo puesto (2,34%) y Gran Bretaña (1,91%) al noveno. Canadá y Croacia, que terminaron al final del TOP 10 del trimestre pasado, dejaron la clasificación, al situarse por debajo de Hong Kong (1,49%) en cuanto a servidores de mando y control.

Distribución de servidores de mando y control de botnets por país y territorio, tercer trimestre de 2022 (descargar)

Ataques a las trampas de IoT

En el tercer trimestre, China continental dejó de ser el líder por el número de bots que atacan a los secuestradores SSH de Kaspersky Lab, y su cuota cayó al 10,80%. Y en primer lugar, con un 17,60%, se encuentran los bots de Estados Unidos. India (5,39%), Corea del Sur (5,20%) y Brasil (5,01%) ocupan el tercer, cuarto y quinto lugar, con diferencias mínimas. Alemania (4,13%) bajó directamente al séptimo lugar desde la tercera posición que ocupaba el trimestre pasado, pero los bots ubicados en ese país fueron de los más activos en el tercer trimestre: causaron el 11,22% de los ataques. Solo Estados Unidos tiene una tasa más alta, del 27,85%. Los robots de Singapur (5,95%) y la India (5,17%) también realizaron más del 5% de los ataques, ocupando el tercer y cuarto lugares, respectivamente.

TOP 10 de países y territorios por número de dispositivos desde los que se atacaron las trampas SSH de Kaspersky Lab, tercer trimestre de 2022 (descargar)

En lo que respecta al número de trampas Telnet de Kaspersky, China continental sigue liderando el mundo tanto en número de ataques como en número de dispositivos atacantes. El primer índice, sin embargo, se redujo del 58,89% al 38,18%, mientras que el segundo aumentó un poco, del 39,41% al 41,91%. El segundo país con mayor número de ataques fue Estados Unidos (11,30%), con Rusia en tercer lugar (9,56%). En cuanto a la proporción de bots, estos países están más abajo en la clasificación: ocupan el sexto (4,32%) y el cuarto (4,61%) lugares, respectivamente. Corea del Sur (8,44%) e India (6,71%) se encuentran entre los tres primeros puestos por número de bots. El quinto puesto, con un 4,39%, fue para Taiwán.

TOP 10 de países y territorios por número de dispositivos desde los que se atacaron las trampas Telnet de Kaspersky Lab, tercer trimestre de 2022 (descargar)

Conclusión:

La situación en el tercer trimestre de 2022 indica una estabilización del mercado de DDoS tras la agitación del primer semestre, aunque sigue siendo difícil. Sin embargo, el panorama cambia cada trimestre y es difícil de predecir: puede pasar cualquier cosa. No obstante, no esperamos que se produzcan saltos o caídas significativas en el cuarto trimestre. Si nuestras conclusiones son correctas y el mercado ha vuelto a su curso habitual y predecible, esperamos que el próximo trimestre sea más o menos igual que éste, ajustado por el ligero aumento que suele producirse hacia el final del año. En cualquier caso, este pronóstico podría cumplirse en términos de número y calidad de los ataques. En cuanto a la duración, sólo podemos hacer conjeturas: el mercado de los DDoS está todavía muy lejos de la normalidad y la duración de los ataques da muchos saltos. Esperamos que el cuarto trimestre también muestre una imagen relativamente estable en este sentido y no traiga consigo ningún nuevo récord.