Ataques DDoS en el cuarto trimestre de 2019

Resumen de noticias

El pasado trimestre, los grupos de ataques DDoS continuaron usando protocolos no estándares para fines de amplificación. Después de abusar de WS-Discovery, que mencionamos en el informe anterior, los ciberdelincuentes recurrieron al Servicio de administración remota de Apple (ARMS), que forma parte de la aplicación Apple Remote Desktop (ARD), que sirve para la administración remota. Los primeros ataques con ARMS se registraron en junio de 2019, pero a principios de octubre el protocolo entró a formar parte del arsenal de plataformas que ofrecen DDoS como servicio, con lo que este tipo de ataque se ha generalizado. Según el portal binaryedge.io, a principios del trimestre casi 40 mil sistemas macOS con ARMS habilitado estaban disponibles en línea.

El cuarto trimestre también fue memorable por el creciente número de botnets peer-to-peer (P2P). Estas, a diferencia de las botnets clásicas, no dependen de servidores de administración, por lo que son más difíciles de neutralizar. En el cuarto trimestre de 2019, los investigadores de 360 Netlab describieron dos nuevas botnets de este tipo. La primera, llamada Roboto, ataca a servidores Linux a través de una vulnerabilidad conocida en la aplicación de administración remota Webmin. Los expertos señalan que la botnet aún no ha lanzado ataques DDoS, a pesar de que cuenta con dicha funcionalidad. La segunda red P2P, Mozi, apunta a dispositivos del IoT y se distribuye usando el protocolo DHT, que se utiliza en redes distribuidas, como BitTorrent, y que le permite formar rápidamente una red peer-to-peer. Los autores de Mozi presuntamente tomaron prestado parte del código del malware Gafgyt, para crear una botnet “clásica”.

Los desarrolladores de Gafgyt también actualizaron su obra. Los investigadores de Palo Alto Networks descubrieron una nueva versión del malware que atacaba a los enrutadores Huawei HG532, Realtek RTL81XX y Zyxel P660HN-T1A. La nueva versión del bot ha aprendido a eliminar a sus competidores de los dispositivos infectados.

Mientras que algunos ciberdelincuentes están actualizando su arsenal, otros están utilizando métodos y herramientas de eficiencia comprobada. Así, en octubre y noviembre de 2019, los investigadores observaron una ola de ataques mediante el reflejo del tráfico TCP. Este método consiste en enviar solicitudes a servicios legítimos en nombre de la víctima; como resultado, esta se enfrenta a un gran número de mensajes de respuesta, mientras que las direcciones IP de los atacantes se mantienen en secreto. En los últimos dos años, la relevancia de estos ataques ha ido en aumento. En octubre, el sitio de apuestas Eurobet cayó víctima de los ciberdelincuentes, seguido por otras organizaciones de apuestas deportivas. A finales del mes, los ataques de inundación de reflejo del tráfico abatieron a compañías financieras y de telecomunicaciones en Turquía. Entre las organizaciones afectadas estaban Amazon y SoftLayer (filial de IBM).

En el cuarto trimestre continuaron los ataques contra proveedores de servicios de Internet en Sudáfrica. A finales de octubre, los atacantes bloquearon con tráfico basura a la compañía Echo Service Provider, que presta servicios a los proveedores locales de Afrihost, Axxess y Webafrica. Los clientes de estas organizaciones experimentaron interrupciones al conectarse a los segmentos extranjeros de Internet. Aproximadamente un mes después, el ataque se repitió y a la lista de sus víctimas se sumaron los proveedores RSAWEB y Cool Ideas.

Entre los ataques DDoS a organizaciones comerciales, también vale la pena destacar la campaña lanzada en octubre contra instituciones financieras en Sudáfrica, Singapur y los países escandinavos. Los atacantes enviaron cartas a las víctimas, amenazándolas con desactivar sus sistemas y exigiendo un rescate; para confirmar la seriedad de sus intenciones, llevaron a cabo un breve ataque DDoS. Para causar mayor impresión, se presentaban como Fancy Bear, un grupo de APT bastante famoso y sugerían a las víctimas buscar información en la web sobre sus hazañas pasadas. Después de que los medios publicaran el material sobre los ataques, los extorsionadores pasaron a denominarse Cozy Bear.

Es curioso que, al contrario de las expectativas, los medios no informaron de ningún ataque DDoS a gran escala relacionado con las ventas y el bombo publicitario previo a las vacaciones. Pero sí dieron cobertura a eventos políticos. Así, el 11 y 12 de noviembre, un mes antes de las elecciones parlamentarias en el Reino Unido, los atacantes intentaron deshabilitar los recursos del Partido Laborista.

Los ataques DDoS golpearon en diciembre a los medios de comunicación de Kirguisia que publicaron una investigación sobre los gastos de la cónyuge de uno de los exfuncionarios. Los que se oponían a este material desactivaron temporalmente un total de siete medios de comunicación. Más tarde, se sumó a la lista de víctimas otro portal de noticias, pero quizá por otros motivos.

Se podría tildar de ideológico el ataque al servidor de Minecraft en el Vaticanoque fue bombardeado con tráfico basura inmediatamente después de su lanzamiento. El objetivo del nuevo servidor era crear un “entorno menos tóxico” para los jugadores, pero el proyecto atrajo no solo a los jugadores pacíficos. El Vaticano ya está trabajando para proteger el servidor. La compañía Ubisoft también empezó a ocuparse de la lucha contra los ataques DDoS. Su desarrolladores tomaron una serie de medidas para proteger los servidores del juego Rainbow Six Siege, que había sido blanco de ataques. Como resultado, la cantidad de incidentes, según los representantes de Ubisoft, disminuyó en un 93%.

Las agencias policiales también se destacaron en la lucha contra DDoS. A principios de noviembre, las autoridades chinas informaron del arresto de un grupo que administraba una botnet de más de 200 mil sitios infectados. La operación tuvo lugar en 20 ciudades y 41 personas fueron detenidas. En la segunda mitad del mismo mes, en los EE. UU. se sentenció a 13 meses de prisión a Sergey Usatyuk, quien, junto con un residente desconocido de Canadá, arrendaba instalaciones para lanzar ataques DDoS. Los delincuentes estuvieron activos de 2015 a 2017. En los primeros 13 meses, prestaron servicios a 386 mil clientes y lanzaron 3,8 millones de ataques DDoS.

Tendencias trimestrales y anuales

Como lo habíamos pronosticado, en el cuarto trimestre de 2019 vimos un aumento en el número de ataques en relación con el período cubierto por el informe anterior. Si bien el número total de incidentes no mostró un aumento demasiado grande, los ataques inteligentes crecieron en una cuarta parte, lo que es una proporción bastante grande. Además, no solo ha aumentado el número de ataques, sino también su duración promedio. Esto era de esperarse, ya que el cuarto trimestre es una temporada de vacaciones, de compras, de la “batalla por el comercio minorista” y todos los año notamos un aumento en los ataques de octubre a diciembre.

Si comparamos los indicadores del cuarto trimestre con los del mismo período del año pasado, podemos ver un aumento de casi el doble en 2019.En efecto, el final de 2018 fue muy tranquilo, y solo ahora comenzamos a observar un nuevo aumento en el mercado de ataques después de una caída significativa, tal como escribimos en el informe del año pasado. En ese entonces, pronosticamos que el número de ataques seguiría aumentando, y no nos equivocamos. Esto se observa claramente al comparar los datos completos de los años 2018 y 2019.

Comparación del número y la duración de los ataques DDoS en el tercer y cuarto trimestre de 2019, así como en el cuarto trimestre de 2018. Los valores del cuarto trimestre de 2019 se toman como el 100% (descargar)

En general, en comparación con 2018, en 2019 observamos un claro aumento en todos los indicadores. El mayor crecimiento se da en los ataques inteligentes, al igual que su duración promedio. El año pasado, suponíamos que aumentarían los ataques DDoS, pero no esperábamos que fuese en tal magnitud.

La duración máxima de los ataques también ha aumentado, aunque no tanto. Al calcular los indicadores correspondientes, excluimos de las estadísticas un ataque inusualmente largo en el tercer trimestre de 2019: se trataba de un caso único, que desdibujaría en gran medida las estadísticas anuales, pero que carecía de representatividad.

Comparación del número y la duración de los ataques DDoS en 2018 y 2019. Los valores de 2019 se toman como el 100% (descargar)

Aunque en el cuarto trimestre vimos un aumento en el número y la duración de los ataques DDoS en relación con el período cubierto por el informe anterior, nos inclinamos a explicarlo por las características del trimestre y no por el desarrollo del mercado. Al parecer, el mercado DDoS se ha vuelto a estabilizar: no vemos que se den las condiciones para una caída o un mayor crecimiento. No ha habido arrestos de alto perfil ni cierres de recursos especializados durante bastante tiempo, y el mercado de criptomonedas no muestra un crecimiento explosivo. Recientemente no se han encontrado vulnerabilidades serias que hagan más fáciles o efectivos los ataques. Tomando como referencia las tendencias de años anteriores, predecimos un ligero descenso en el primer trimestre de 2020, pero al mismo tiempo nos atrevemos a suponer que, en términos absolutos, seguirá siendo superior al mismo período de 2019. El año pasado fue un año interesante en el mundo de los ataques DDoS. Esperemos que el actual resulte aburrido.

Estadísticas

Metodología

Kaspersky Lab tiene años de experiencia en la lucha contra las amenazas cibernéticas, entre ellas los ataques DDoS de diversos tipos y grados de complejidad. Los expertos de nuestra empresa realizan un seguimiento constante de las actividades de las botnets con la ayuda del sistema DDoS Intelligence.

El sistema DDoS Intelligence es parte de la solución Kaspersky DDoS Protección, cuya función es interceptar y analizar los comandos que llegan a los bots desde los servidores de administración y control. Al mismo tiempo, ejecuta la protección sin esperar a que algún dispositivo del usuario se infecte, o a que se ejecuten los comandos de los delincuentes.

Este informe contiene las estadísticas de DDoS Intelligence del cuarto trimestre de 2019.

En este informe consideraremos como un ataque DDoS aislado (es decir, un solo ataque) aquel cuya pausa entre periodos de actividad no supere las 24 horas. Por ejemplo, si un solo recurso sufrió ataques de la misma botnet y la pausa entre ellos fue de 24 horas o mayor, los consideraremos como dos ataques. También se consideran ataques diferentes los lanzados contra un solo recurso, pero ejecutados por bots de diferentes botnets.

La ubicación geográfica de las víctimas de los ataques DDoS y los servidores desde donde se enviaron las instrucciones se determinan por sus direcciones IP. El número de blancos únicos de ataques DDoS en este informe se calcula según el número de direcciones IP únicas de la estadística trimestral.

La estadística de DDoS Intelligence se limita a las botnets detectadas y analizadas por Kaspersky Lab. También hay que tener en cuenta que las botnets son solo uno de los instrumentos con los que se realizan ataques DDoS, y que los datos que se presentan en este informe no abarcan todos los ataques ocurridos durante el periodo indicado.

Resultados del trimestre

• China ocupó el primer lugar por el número de ataques, aunque su participación disminuyó ligeramente (58,46% en comparación con el 62,97% del tercer trimestre).
• Dos novatos ingresaron al TOP 10: Japón (directamente a ocupar el tercer lugar con un 4,86%) y Vietnam (0,68%), mientras que Sudáfrica y los Países Bajos lo abandonaron.
• El TOP 3 de países en cuanto a la cantidad de objetivos, tradicionalmente coincide con los líderes por la cantidad de ataques: China (53,07%), Estados Unidos (22,01%) y Japón (6,14%).
• El último trimestre se caracterizó por un bajo número de ataques: en los días más activos hubo un poco más de 250, y en los más tranquilos, solo 8 ataques.
• La actividad de las botnets DDoS se distribuyó de manera bastante uniforme, tanto a lo largo del trimestre como en los días de la semana, con una diferencia de 2,5 p.p. entre los días más peligrosos y los más seguros.
• Los tres ataques más largos duraron más de 20 días (494, 492 y 486 horas), casi el doble que el líder del último trimestre.
• Entre los tipos de ataques, SYN-flood sigue siendo el líder (84,6%); el porcentaje de ataques a través de TCP continuó creciendo y excedió la proporción de UDP-flood; la ICMP-flood mostró un aumento notable.
• La proporción de botnets de Windows y Linux se ha mantenido casi sin cambios: estos últimos siguen siendo responsables de la gran mayoría (97,4%) de los ataques.
• El número absoluto de servidores de comando se ha reducido a menos de la mitad. En EE. UU., el número absoluto cambió un poco menos, lo que generó un fuerte aumento en su porcentaje en el panorama general (58,33% en lugar del 47,55%). Los Países Bajos cayeron del segundo puesto al final de la lista en este trimestre.

Geografía de los ataques

En el último trimestre, China siguió acaparando el liderazgo por número de ataques, aunque su participación continuó disminuyendo (esta vez, la disminución de 4,5 p.p., hizo que su índice bajara al 58,46%). La posición de EE.UU. no ha cambiado: el país todavía ocupa el segundo lugar, ya que el 17,49% de los ataques ocurrieron en su territorio (en el último trimestre, la proporción fue casi la misma: 17,37%). Pero el tercer lugar no se destaca por su estabilidad: Hong Kong, que anteriormente lo ocupaba, cayó dos lugares y se convirtió en quinto (3,73% en lugar del 5,44%), perdiendo ante Rumania (cuarto lugar con el 4,56% y un aumento de casi 3,5 p.p.) y Japón, que por primera vez en el año entró al TOP 10 para ocupar de inmediato uno de los tres primeros puestos (4,86% en comparación con el 0,2% y el 18º lugar en el último trimestre).

Otro recién llegado a la clasificación es Vietnam. En el tercer trimestre, no había logrado entrar al TOP 10 (ya que ocupó el 11º lugar), pero al final del año la proporción de ataques que sufrió aumentó en 0,13 puntos porcentuales, lo que le permitió superar esta barrera. Sudáfrica salió volando del TOP 10 casi tan rápido como había entrado, pasando del 4º al 15º lugar. La proporción de ataques contra blancos en los Países Bajos disminuyó de una forma menos brusca, pero también significativamente, lo que llevó a este país al puesto 14.

El resto del TOP 10 no sufrió cambios importantes: solo hubo un intercambio de puestos. Rumania subió del sexto lugar al cuarto con el 4,56%; Corea del Sur, del octavo al séptimo (0,94%) y Canadá, del décimo al octavo (0,83%). Por otro lado, Gran Bretaña (1,01%) y Singapur (0,72%) cayeron ligeramente en la clasificación: del quinto al sexto, y del séptimo al noveno, respectivamente.

Distribución de ataques DDoS por país, tercer y cuarto trimestre de 2019 (descargar)

La distribución geográfica de los blancos únicos suele ser similar a la distribución general de los ataques. Los primeros tres son los mismos en ambas clasificaciones. La proporción de blancos en China también disminuyó en comparación con el tercer trimestre y fue del 53,07%; una quinta parte de los blancos (22,01%) todavía se encuentra en EE.UU., y su proporción en Japón aumentó 20 veces y fue del 6,14%.

Hong Kong y Rumania también ocuparon los últimos lugares entre los cinco primeros: con el 4,14% y el 1,95%, respectivamente. Gran Bretaña (1,53%) conserva el sexto lugar en ambas categorías. Le siguen Canadá (0,93%) y Vietnam (0,84%). Los últimos de la lista son Australia (0,82%), que subió del puesto 14 que ocupaba el trimestre anterior, y Singapur (0,78%). De esta manera, los “recién llegados” de este trimestre (Japón, Australia y Vietnam) remplazaron a los líderes en términos de la cantidad de objetivos únicos en Sudáfrica, los Países Bajos y Francia, que ocupan los lugares 14, 12 y 11 en este trimestre, respectivamente.

Distribución de blancos únicos de ataques DDoS por país, tercer y cuarto trimestre de 2019 (descargar)

Dinámica del número de ataques DDoS

El cuarto trimestre fue más tranquilo que el tercero: incluso en los días más tormentosos (24 de noviembre y 11 de diciembre), el número de ataques apenas excedió los 250 (recordemos que el tercer trimestre del año anterior, que también fue más o menos tranquilo, el máximo fue de 457 ataques por día, es decir, casi el doble) El número total de días en que hubo más de 200 ataques tampoco fue grande. A excepción de los ya mencionados, fueron relativamente agitados el 25 de noviembre y el 6 y 7 de octubre. Al mismo tiempo, el día “más tranquilo” batió el récord de los últimos tres años: el 13 de octubre solo se registraron 8 ataques (anteriormente el día más tranquilo fue el 25 de mayo de 2018, con 13 ataques).

Es curioso que este año no se hayan registrado los picos característicos del cuarto trimestre, el Viernes Negro y la temporada navideña: ambos períodos fueron bastante tranquilos y los ataques del trimestre se distribuyeron de manera bastante uniforme.

Dinámica del número de ataques DDoS en el cuarto trimestre de 2019 (descargar)

La distribución de los ataques por días de la semana también fue mucho más uniforme: la diferencia entre el día más peligroso y el más tranquilo de la semana fue de solo 2,5 p.p. (en el período cubierto por el informe anterior, se aproximaba a los 7 p.p.) En el cuarto trimestre, los organizadores de los ataques estuvieron más activos los martes (15,46%) y prefirieron descansar los jueves (12,98%). Las diferencias más significativas en comparación con el trimestre anterior fueron el ex “líder” y “antilíder”, lunes y domingo: el porcentaje de ataques en el primer día de la semana cayó en 3,5 puntos porcentuales, y en el último, creció en casi 2,5 puntos porcentuales.

Distribución de ataques DDoS por días de la semana, tercer y cuarto trimestre de 2019 (descargar)

Duración y tipos de ataques DDoS

Si bien el número de ataques ha disminuido, su duración ha aumentado en gran medida respecto al trimestre anterior. Así, los tres ataques más largos en tres meses no se detuvieron durante más de 20 días (494, 492 y 486 horas), mientras que en el último trimestre, ninguno duró ni siquiera 12 días. No obstante, el récord de duración le sigue perteneciendo al ataque llevado a cabo en el segundo trimestre de 2019 (506 horas, es decir, más de 21 días).

Al mismo tiempo, la duración promedio de los ataques se mantuvo casi igual, y la proporción de los ataques más largos (de 140 horas) disminuyó en un tercio y fue de solo 0,08%. Por otro lado, los ataques más cortos (de hasta 4 horas) también se redujeron en términos relativos: habiendo disminuido en 2,5 p. p., su participación fue del 81,86%.

Pero los ataques de 100 a 139 horas aumentaron ligeramente (0,14%), así como los ataques que duraron de 10 a 19 y de 5 a 9 horas (5,33% y 10,19%, respectivamente). Los dos grupos medios disminuyeron ligeramente: el porcentaje de ataques en 20-49 horas disminuyó hasta el 2,05%, y los de 50-99 horas hasta el 0,36%.

Distribución de ataques DDoS por duración en horas, tercer y cuarto trimestre de 2019 (descargar)

La proporción de SYN-flood en este trimestre fue del 84,6%, y los ataques UDP perdieron el segundo lugar frente a los TCP, pero con un margen apenas notable: el primero representó el 5,8% de todos los ataques y el segundo, el 5,9%. Por lo tanto, la popularidad de los ataques TCP sigue en alza (recordemos que en el último trimestre superaron en número a los de HTTP-flood). La distribución de los últimos lugares no cambió, aunque los índices de ambos tipos en el total de ataques aumentaron ligeramente: los ataques HTTP ganaron 0,5 p.p. (2,2%), y los de ICMP-flood ganaron 1,1 p.p. (1, 6%).

Distribución de ataques DDoS por tipo, cuarto trimestre de 2019 (descargar)

Las botnets de Linux no mantuvieron la tendencia al alza: este trimestre su participación disminuyó ligeramente y ascendió al 97,4% (en lugar del 97,75% el pasado año). En consecuencia, la proporción de botnets Windows también creció en 0,35 p.p. y fue del 2,6%.

Proporción de los ataques de botnets Windows y Linux, tercer y cuarto trimestres de 2019 (descargar)

Distribución geográfica de botnets

En el cuarto trimestre del año pasado, la gran mayoría de las botnets (58,33%) se registraron en EE.UU. (en el trimestre pasado, su participación fue menor, del 47,55%). Al mismo tiempo, el número absoluto de servidores de comando en el país se redujo a casi la mitad.

Gran Bretaña (14,29%) subió al segundo lugar, y China mantuvo el tercer lugar (9,52%, que es aproximadamente 3 p.p. más que en el trimestre anterior). El cuarto y quinto lugar en este trimestre fueron para Rusia (3,57%) e Irán (2,38%), que subió del puesto 11. La participación de los demás países en la distribución de botnets no alcanza el 2%.

La caída más significativa en el número de servidores de comando se observa en los Países Bajos: de 45 su número se redujo a solo 1. En Alemania y Vietnam, que estaban entre los diez primeros en el último trimestre, en este trimestre no se registró ninguna botnet.

Distribución de botnets de servidores de comandos por país, cuarto trimestre de 2019 (descargar)

Conclusiones

En el cuarto trimestre de 2019, resaltan tanto la estabilidad en algunos aspectos como los cambios bruscos en otros. Así, en la distribución geográfica, Japón, el “recién llegado”, irrumpió para ocupar uno de los primeros tres puestos, y dos de los tres “recién llegados” del último trimestre, al contrario de lo habitual, se afianzaron en el TOP 10. Por otro lado, la distribución geográfica de objetivos únicos suele coincidir con la distribución del número total de ataques.

Otra diferencia notable entre el tercer y el cuarto trimestre es la cantidad y la cronología de los ataques. Así, la distribución por meses al final del año es mucho más uniforme, al igual que la distribución por días de la semana. Para sorpresa de los expertos, los picos tradicionales no ocurrieron ni en Viernes Negro ni en la temporada de las fiestas de fin de año. La duración del ataque más largo casi se duplicó y se acercó peligrosamente al máximo registrado en el segundo trimestre.

Resulta llamativo que en el último trimestre del año la cantidad de ataques y de servidores de comando fuera mucho menor, mientras que el número de ataques muy largos (de más de 400 horas) supera los índices históricos. Quizás la tendencia se dé en el aumento del número de ataques complejos y cuidadosamente organizados, aunque en detrimento del número total de ataques.