Ataques DDoS en el cuarto trimestre de 2015

Acontecimientos del trimestre

Hemos escogido los acontecimientos del cuarto trimestre de 2015 que, desde nuestro punto de vista, ilustran las principales tendencias de desarrollo en el campo de los ataques DDoS y los instrumentos usados para llevarlos a cabo:

1. La aparición de nuevos vectores para la realización de ataques DDoS “reflejados”;
2. El creciente número de botnets conformados por dispositivos vulnerables del Internet de las cosas;
3. Los ataques a nivel de aplicación denominados “caballo de batalla” entre los escenarios de ataques DDoS.

Ataques que utilizan aplicaciones web comprometidas que funcionan en WordPress

Los recursos web que se ejecutan en el CMS (sistema de gestión de contenidos) WordPress gozan de popularidad entre los ciberdelincuentes que se dedican a lanzar ataques DDoS. La razón es que WordPress utiliza la función Pingback, que envía una notificación al autor de una publicación cuando se publican enlaces a ésta en otros sitios que funcionan bajo este CMS. Cuando en un sitio que tiene la función Pingback habilitada se publica una entrada con enlaces a otro sitio web, al último se le envía una solicitud XML-RPC especial, que éste acepta y procesa. El procesamiento puede provocar que el sitio de destino envíe una solicitud al sitio de origen para comprobar si el contenido existe.

Esta tecnología permite lanzar ataques a un sitio web (víctima): el bot envía al sitio de WordPress que tiene habilitada la función Pingback una solicitud especialmente diseñada con la dirección del sitio víctima como remitente. Después, el sitio con WordPress procesa la solicitud del bot y envía la respuesta a la dirección de la víctima. Mediante el envío de solicitudes pingback con la dirección de las víctimas a numerosos recursos de WordPress con Pingback habilitado, los atacantes buscan crear una carga sustancial en el recurso víctima. Y por esta razón, los recursos web administrados por la CMS WordPress con la función Pingback habilitada representan interés para los atacantes.

En el cuarto trimestre del 2015, los medios de 69 países fueron víctimas de ataques DDoS #KLReports

Tweet

En el cuarto trimestre, los ciberdelincuentes no se limitaron a los sitios que admiten Pingback, sino que llevaron a cabo ataques masivos contra los recursos que ejecutan WordPress. Es probable que esto se haya debido a la aparición de vulnerabilidades de “día cero” en esta CMS o en uno de sus complementos populares. Sea como fuere, hemos registrado casos de introducción en el cuerpo de sitios web de un código JavaScript que realizaba conexiones al sitio web víctima en nombre del navegador. Al mismo tiempo, los atacantes utilizaron una conexión HTTPS para dificultar el filtrado de tráfico.

La potencia de uno de estos ataques DDoS, según los datos de los expertos de Kaspersky Lab, ascendió a 400 Mbit/s y duró 10 horas. Durante el ataque los agresores utilizaron aplicaciones web comprometidas bajo WordPress, y cifraron la conexión para complicar el procedimiento de filtrado de tráfico.

Botnets que utilizan el Internet de las cosas

En octubre de 2015, los expertos registraron un gran número de solicitudes HTTP (hasta 20.000 solicitudes por segundo) cuyo origen eran cámaras de vigilancia. Los investigadores identificaron alrededor de 900 cámaras en todo el mundo que formaban parte de una botnet y se utilizaron para lanzar ataques DDoS. Los expertos señalan que en un futuro próximo tendrá lugar la aparición de nuevas botnets que utilizarán dispositivos vulnerables del Internet de las cosas.

Tres nuevos vectores para la realización de ataques DDoS “reflejados”

Los ataques DDoS “reflejados” son aquellos que se aprovechan de los errores en la configuración de un tercero para reforzar el ataque. En el cuarto trimestre detectamos tres nuevos vectores de realización de este tipo de ataques. Los atacantes envían tráfico a los sitios atacados mediante servidores NS NetBIOS, servicios RPC de controladores de dominio conectados a través de un puerto dinámico y servidores WD Sentinel.

Ataques a los servicios de correo

En el cuarto trimestre los servicios de correo gozaron de especial popularidad entre los delincuentes que lanzan ataques DDoS.

Así, se detectaron actividades de un grupo cibercriminal llamado Armada Collectives, que utiliza ataques DDoS para extorsionar a sus víctimas. Es de suponer que este grupo criminal estuvo implicado en el ataque contra el sistema de correo electrónico cifrado Protonmail. Para cesar los ataques DDoS, los delincuentes exigían a la víctima un rescate de 6000 dólares.

En el 4º trimestre del 2015, la mayoría de los ataques DDoS se dirigió a China, EEUU y Corea del Sur #KLReports

Tweet

Además del servicio de correo cifrado Protonmail antes mencionado, lanzaron ataques contra los servicios de correo electrónico FastMail y el Correo de Rusia.

Estadística de ataques DDos lanzados por medio de botnets

Metodología

“Kaspersky Lab” tiene años de experiencia en la lucha contra las amenazas cibernéticas, entre ellas los ataques DDoS de diversos tipos y grados de dificultad. Los expertos de la compañía realizan un seguimiento constante de las actividades de las botnets con la ayuda del sistema de Inteligencia DDoS .

El sistema de DDoS Intelligence es una parte de la solución Kaspersky DDoS Prevention. diseñada para interceptar y analizar comandos recibidos desde el comando servidores bot y control, y no requiere que se infecte el dispositivo de usuario ni que se ejecuten los comandos.

El ataque DDoS más largo en el cuarto trimestre del 2015 duró 371 horas (o 15,5 días) #KLReport

Tweet

Este informe contiene las estadísticas de DDoS Intelligence del cuarto trimestre de 2015.

En este informe consideraremos como ataque DDoS aislado aquel cuya pausa entre periodos de actividad no supere las 24 horas. Por ejemplo, si un solo recurso sufrió ataques de la misma botnet y la pausa entre ellos fue de 24 horas o mayor, los consideraremos como dos ataques. También se consideran ataques diferentes los lanzados contra un solo recurso, pero ejecutados por bots de diferentes botnets.

Para determinar la ubicación geográfica de las víctimas de los ataques DDoS y los servidores desde donde se enviaron las instrucciones usamos sus direcciones IP. El número de blancos únicos de ataques DDoS en este informe se calcula por el número de direcciones IP únicas presentes en la estadística trimestral.

Es importante mencionar que la estadística de DDoS Intelligence se limita a las botnets detectadas y analizadas por Kaspersky Lab. También hay que tener en cuenta que las botnets son sólo uno de los instrumentos con los que se realizan los ataques DDoS y los datos que se presentan en este informe no abarcan todos los ataques ocurridos en el periodo indicado.

Resultados del trimestre

• En el cuarto trimestre de 2015 se lanzaron ataques DDoS a blancos ubicados en 69 países del mundo.
• El 94,9% de los ataques mencionados afectaron a 10 países.
• Por el número de ataques y de blancos, China, EE.UU. y Corea del Sur siguen siendo los países más populares para los ataques DDoS.
• El ataque DDoS más prolongado del cuarto trimestre de 2015 duró 371 horas (15,5 días).
• Los métodos más populares de ataque siguen siendo SYN-DDoS, TCP-DDoS y HTTP-DDoS.
• La popularidad de los bots para Linux continúa creciendo: en el cuarto trimestre fueron el blanco del 54,8% de los ataques DDoS.

Territorios de los ataques

A finales de 2015, la geografía de ataques DDoS se redujo a 69 países. El 94,9% de todos los ataques fueron dirigidos a blancos ubicados en 10 países.

En el cuarto trimestre, en comparación con el tercer trimestre, aumentó drásticamente el porcentaje de blancos de ataques DDoS, ubicados en China (del 34,5% al 50,3%) y Corea (17,7% a 23,2%).

Distribución de los blancos únicos de ataques DDoS por país, segundo y tercer trimestre de 2015

La proporción de blanco de ataques ubicados en los Estados Unidos se redujo en 8 puntos porcentuales, lo que provocó que Corea suba a la segunda posición, mientras que Estados Unidos bajó a la tercera.

En el cuarto trimestre del 2015, las amenazas más comunes fueron los TCP DDoS y los HTTP DDoS #KLReport

Tweet

Abandonaron el TOP 10 Croacia (0,3%), que perdió 2,5 puntos porcentuales, y Francia, cuya participación se redujo del 1,1% al 0,7%. Sus lugares fueron ocupados por Hong Kong, que conservó el porcentaje del trimestre anterior, y Taiwán, cuya participación aumentó en 0,5 puntos porcentuales.

Las estadísticas sobre el número de ataques demuestra que el 94,0% de todos los ataques afectó a los mismos diez países:

Distribución de ataques DDoS por países, tercer y cuarto trimestre de 2015

Los países que ocupan los tres primeros lugares en el cuarto trimestre siguen siendo los mismos, sólo cambiaron mutuamente de lugar los EE.UU. y Corea – la participación de Corea creció en 4,3 puntos porcentuales, mientras que la de EE.UU. disminuyó en 11,5 puntos porcentuales. La tasa de crecimiento más significativa del TOP 10 le pertenece a China: su participación se incrementó en 18,2 puntos porcentuales.

Dinámica del número de ataques DDoS

En el cuarto trimestre de 2015 la distribución de ataques DDoS por día era más o menos uniforme, con la excepción de un pico que tuvo lugar a finales de octubre y el aumento de la actividad en la primera quincena de noviembre.

El mayor número de ataques – 1442 – se observó el 2 de noviembre. El número mínimo de ataques – 163 – tuvo lugar el 1 de octubre.

Dinámica del número de ataques DDoS*, cuarto trimestre de 2015

* Debido a que los ataques DDoS pueden prolongarse de forma ininterrumpida por varios días, en la línea de tiempo un ataque puede contarse varias veces, una por cada día.

En el cuarto trimestre, la mayor parte de los ataques DDoS ocurrieron los lunes y los martes. Y a los lunes les correspondieron 5,7 puntos porcentuales más de ataques que en el tercer trimestre. El índice de los martes cambió ligeramente (-0,3 puntos porcentuales).

Distribución de ataques DDoS por días de la semana, cuarto trimestre de 2015.

Tipos y duración de los ataques DDoS

En el cuarto trimestre de 2015 los atacantes utilizaron bots de una sola familia para los ataques que realizaron contra el 97,5% de los objetivos (en el tercer trimestre la cifra fue ligeramente mayor y representó el 99,3%). Sólo el 2,4% de los blancos fueron atacados usando bots de dos familias diferentes (usados por uno o varios atacantes). Para lanzar ataques contra el 0,1% de los blancos se usaron bots de tres familias, con mayor frecuencia Sotdas, Xor y BillGates.

En el 4º trimestre, la proporción de ataques DDoS de botnets basadas en Linux fue de un 54,8% #KLReport

Tweet

El TOP de técnicas de ataque DDoS utilizadas por los delincuentes no ha cambiado. Las más populares, SYN-DDoS (57,0%) y TCP-DDoS (21,8%) ganaron 5,4 puntos porcentuales y 1,9 puntos porcentuales respectivamente.

Distribución de ataques DDoS por tipos

En el cuarto trimestre los ataques breves (de menos de un día) siguen a la cabeza en la distribución de los ataques por duración, por un amplio margen.

Distribución de ataques DDoS por duración, horas

La duración máxima de los ataques aumentó de nuevo este trimestre. Si el récord del tercer trimestre fue del ataque que duró 320 horas (13,3 días), en el cuarto trimestre se registró un ataque que duró 371 horas (15,5 días).

Servidores de administración y tipos de botnets

En el cuarto trimestre de 2015 Corea sigue manteniendo el primer lugar por la cantidad de servidores de administración de botnets ubicados en su territorio. Su participación creció de nuevo, esta vez en 2,4 puntos porcentuales. La participación de Estados Unidos se redujo ligeramente (del 12,4% al 11,5%), pero la de China se incrementó en 1,4 puntos porcentuales.

El orden de los tres líderes no ha cambiado. Los países en el cuarto y quinto lugar cambiaron lugares: el porcentaje de Rusia aumentó del 4,6% al 5,5%, mientras que el del Reino Unido cayó del 4,8% al 2,6%.

Distribución de los servidores de administración de las botnets por países, cuarto trimestre de 2015

En el cuarto trimestre de 2015 en lo relativo a la proporción de las actividades de los bots desarrollados para los sistemas operativos Windows y Linux, siguió aumentando el número de botnets Linux, del 45,6% al 54,8%.

Proporción de los ataques lanzados desde botnets para Windows y para Linux

Conclusión

Los suceso de este trimestre demuestran que los criminales cibernéticos que organizan ataques DDoS no sólo utilizan los botnets clásicos, conformados por estaciones de trabajo y computadoras personales, sino también todos los recursos disponibles que tengan vulnerabilidades. Es decir, las aplicaciones web, servidores y dispositivos del Internet de las cosas vulnerables. Junto con los nuevos vectores que representan los ataques DDoS “reflejados”, podemos suponer que en un futuro próximo veremos un nuevo aumento de la potencia de los ataques DDoS y la aparición de redes de bots compuestas por dispositivos vulnerables de nuevos tipos.