Informes sobre DDoS

Los ataques DDoS en el segundo trimestre de 2015: Informe de Kaspersky Lab

La experiencia acumulada durante años por Kaspersky Lab en la lucha contra los ataques DDoS de cualquier tipo, complejidad y potencia, en combinación con la observación continua de las actividades de las botnets mediante el sistema DDoS Intelligence (parte de la solución Kaspersky DDoS Protection) hace que nuestra compañía esté a la vanguardia en la protección contra DDoS.

Acontecimientos del trimestre

Hemos escogido, de entre los acontecimientos relacionados con ataques DDoS del segundo trimestre de 2015 y los instrumentos usados para realizarlos, aquellos que ilustran las principales tendencias de desarrollo de esta amenaza. Los delincuentes están:

  • Inventando y usando nuevas técnicas para intensificar la potencia de los ataques sin aumentar el tamaño de las botnets;
  • creando botnets con equipos conectados a Internet y usándolos para realizar ataques DDoS;
  • desarrollando módulos DDoS para sistemas complejos dedicados a lanzar ataques selectivos.

El módulo DDoS del arsenal de Animal Farm

En marzo los expertos de Kaspersky Lab publicaron los resultados de sus investigaciones sobre los ataques APT del grupo denominado Animal Farm. Los delincuentes informáticos usaron una serie de componentes maliciosos, cada uno de los cuales ejecutaba determinada tarea. Uno de estos componentes era el troyano NBot, destinado a organizar botnets y que cuenta con funciones de organización de ataques DDoS. El elevado número de escenarios de lanzamiento de ataques distribuidos que tiene NBot es un indicio de que los delincuentes construyeron la botnet para lanzar ataques DDoS de gran envergadura.

Una forma más de aumentar la potencia de los ataques DDoS

Los escenarios que aprovechan defectos en la configuración de diferentes servicios de red para intensificar el ataque ya han afianzado sus posiciones en las técnicas usadas por los dueños de las botnets. En el segundo trimestre de 2015 los investigadores descubrieron otro de los métodos usados para intensificar la potencia de los ataques DDoS: los defectos de configuración en la implementación de software del protocolo multicast Domain Name System (mDNS). En determinadas condiciones, el tamaño de la respuesta de un servicio que funciona con el protocolo mDNS puede ser mucho mayor que el de la solicitud correspondiente. Esto significa que los dueños de las botnets pueden enviar solicitudes configuradas de una manera específica a estos servicios y éstos los remitirán a su víctima, pero con un volumen mucho mayor.

“El Gran Cañon”

El “Gran Cañón” (Great Cannon) fue la tecnología que se usó en los ataques DDoS lanzados contra GitHub. El 6 de marzo los propietarios del recurso GreatFire.org notaron que sus servidores estaban siendo blanco de ataques DDoS. Diez días más tarde, la página oficial de GreatFire.org ubicada en el portal GitHub también sufrió ataques. Los propietarios de GitHub constataron un potente ataque DDoS proveniente de los servidores del sistema de búsqueda Baidu.

La administración del sistema de búsqueda negó rotundamente que sus servidores estuviesen comprometidos en el ataque. Esto hizo que los investigadores supusieran un escenario de ataque que podría haber aprovechado los recursos del Gran Cortafuegos Chino. Se supone que el cortafuegos se usó para lanzar un ataque del tipo MitM (man-in-the-middle) y que remitía a los visitantes chinos a la página web atacada.

Este incidente muestra una vez más que no sólo una botnet puede ser la fuente de los ataques DDoS, sino también una enorme multitud de inocentes usuarios.

Una botnet formada por routers

En el segundo trimestre se detectó una botnet formada por routers domésticos y para pequeñas empresas que los delincuentes usaban para llevar a cabo ataques DDoS.

Infectar routers domésticos no es una técnica nueva y los delincuentes cibernéticos la explotan con frecuencia. Hasta ahora, el fabricante es el responsable de garantizar la seguridad de los routers domésticos. Como muestra la práctica, existe una gran cantidad de vulnerabilidades y defectos de configuración que permiten a los delincuentes cibernéticos tomar el control del router. En este incidente los maleantes usaron los routers para organizar ataques DDoS.

Parece que crear una botnet con routers es una idea bastante seductora para los delincuentes informáticos. La sencillez con que se pueden usar medios automáticos para explotar vulnerabilidades en estos dispositivos les hace la tarea más fácil a los delincuentes, y como son dispositivos que están encendidos todo el tiempo (pocos son los que los apagan) garantiza que una gran cantidad de bots permanecerán online.

Estadística de ataques DDos lanzados por medio de botnets

Metodología

En este informe presentamos la estadística recolectada por DDoS Intelligence (una parte de la solución Kaspersky DDoS Protection) en el periodo que va desde el 1 de abril al 31 de junio (segundo trimestre) de 2015 y que compararemos con los datos obtenidos el trimestre anterior.

El sistema DDoS Intelligence intercepta y analiza las instrucciones que los centros de administración y control envían a los bots, pero sin necesidad de infectar ningún dispositivo del usuario ni de ejecutar las instrucciones de los delincuentes.

En este informe consideraremos como ataque DDoS aislado aquel cuya pausa entre periodos de actividad no supere las 24 horas. Por ejemplo, si un solo recurso sufrió ataques de la misma botnet y la pausa entre ellos fue de 24 horas, los consideraremos dos ataques aparte. También se consideran ataques diferentes los lanzados contra un solo recurso, pero ejecutados por bots de diferentes botnets.

Determinaremos la ubicación geográfica de las víctimas de los ataques DDoS y los servidores desde donde se enviaron las instrucciones se determinarán por sus direcciones IP. El número de blancos únicos de ataques DDoS en este informe se calculará por el número de direcciones IP únicas en la estadística trimestral.

Es importante mencionar que la estadística de DDoS Intelligence se limita a las botnets detectadas y analizadas por Kaspersky Lab. También hay que comprender que las botnets son sólo uno de los instrumentos con los que se realizan los ataques DDoS y los datos que se presentan en este informe no abarcan todos los ataques ocurridos en el periodo indicado.

Resultados del trimestre

  • En el segundo trimestre de 2015 los ataques DDoS lanzados mediante botnets amenazaron a blancos en 79 países del mundo.
  • El 77% de los ataques con botnets se lanzaron contra recursos ubicados en 10 países.
  • La mayor parte de los ataques DDoS apuntaron a blancos en China y EE.UU., mientras que Corea del Sur subió al tercer puesto de la estadística.
  • El ataque DDoS más largo del segundo trimestre de 2015 se prolongó durante 205 horas (8,5 días).
  • Los escenarios de ataques DDoS más propagados fueron SYN-DDoS y TCP-DDoS. Los ataques HTTP-DDoS bajaron al tercer puesto.

Territorios de los ataques

En el segundo trimestre, el alcance geográfico de los blancos atacados se amplió un poco en comparación con el trimestre anterior: los ataques tuvieron blancos en 79 países del mundo (en el primer trimestre de 2015 fueron 76 países). El 71,9% de los recursos atacados estaban ubicados en 10 países.

Distribución de blancos únicos de ataques DDoS, primer y segundo trimestre de 2015

En esta clasificación la lista de los integrantes del TOP 10 casi no ha cambiado (Croacia ingresó y los Países Bajos la abandonaron). Los primeros dos puestos siguen perteneciendo a China (29,9%) y EE.UU. (17,2%) respectivamente, pero Corea del Sur (9,8%) desplazó a Canadá del tercer puesto, tras subir desde el sexto lugar.

En lo que se refiere a la cantidad de ataques registrados, el 77,6% afectó a los mismos 10 países:

Distribución de ataques DDoS por países, primer y segundo trimestre de 2015

En esta clasificación también lideran China (35,3%) y EE.UU. (17,4%).

En los gráficos anteriores se pueden observar cambios en los tres primeros puestos en comparación con el trimestre anterior. El porcentaje de China bajó en ambas estadísticas, mientras que los índices de EE.UU. y Corea del Sur aumentaron.

Debido a que los precios del hosting en EE.UU. y China son bajísimos, la mayor parte de los recursos web mundiales se alojan en estos países, lo que explica el constante liderazgo de estos países por la cantidad de ataques y de blancos.

En el segundo trimestre hemos registrado un rápido aumento de las actividades de varias familias de bots que lanzaron ataques sobre todo contra Corea del Sur. Como resultado, este país subió al tercer puesto en ambas estadísticas.

También cabe destacar el descenso de los índices de Rusia y Canadá, que se hace particularmente evidente por la disminución de la cantidad de ataques lanzados contra estos países.

Dinámica del número de ataques DDoS

En la primera semana de mayo se notó un aumento súbito de los ataques DDoS. La menor intensidad de los ataques tuvo lugar a finales de junio.

El pico del número de ataques fue el 7 de mayo, con un total de 1960, y el día más tranquilo (el 25 de junio) se detectaron sólo 73 ataques.

Dinámica del número de ataques DDoS, segundo trimestre de 2015

* Debido a que los ataques DDoS pueden prolongarse de forma ininterrumpida por varios días, en la línea de tiempo un ataque puede contarse varias veces, una por cada día.

El día más activo de la semana por la cantidad de ataques lanzados en el segundo trimestre de 2015 fue el domingo, con el 16,6% del total de ataques. La menor cantidad de ataques se registró el martes.

Distribución de ataques DDoS por días de la semana

Nuestra compañía detectó un salto brusco de las actividades de una de las botnets el domingo 3 de mayo. Es probable que aquel fin de semana los delincuentes hayan puesto a funcionar su botnet en régimen de prueba.

Tipos y duración de los ataques DDoS

La efectividad de los ataques DDoS se basa en su duración y el tipo de escenario que usa, porque estos son los parámetros que determinan la magnitud del daño que causan a la víctima.

En el segundo trimestre de 2015 el 98,2% de los blancos fue atacado por bots pertenecientes a una sola familia (93% en el segundo trimestre). Sólo en el 1,7% de los casos los delincuentes usaron bots de dos familias diferentes (o usaron los servicios de varios ejecutantes); en el 0,1% de los casos se usaron tres o más bots (en el primer trimestre esta cifras fueron del 6,2% y 0,6% respectivamente).

En el segundo trimestre de 2015 el método más popular de ataque sigue siendo SYN-DDoS (50,3%), mientras que TCP-DDoS (21,2%) ha vuelto a ocupar el segundo puesto de la estadística, desplazando a HTTP-DDoS (13,8%).

Distribución de ataques DDoS por tipos

La aplastante mayoría de los ataques en el segundo trimestre de 2015 se prolongó por menos de 24 horas, pero hubo ataques que duraron una semana o más.

Distribución de ataques DDoS por duración

El ataque DDoS más largo del segundo trimestre de 2015 se prolongó durante 205 horas (8,5 días).

Servidores de administración y tipos de botnets

En el segundo trimestre de 2015 Corea del Sur (34%) dio un salto hacia adelante por la cantidad de servidores de administración ubicados en su territorio, dejando atrás a EE.UU. (21%), China e Inglaterra (7%). Este salto fue acompañado por un aumento brusco del número de blancos en el territorio de Corea del Sur.

Distribución de los servidores de administración de las botnets por países, segundo trimestre de 2015

En el segundo trimestre de 2015 subió de forma súbita el número de ataques lanzados desde bots para Windows y cuyas actividades superaron considerablemente la de los bots para Linux.

Proporción de los ataques con botnets para Windows y Linux

Nuestra compañía observa que con cierta regularidad se modifica la proporción de las actividades entre las botnets para Linux y Windows, porque cada tipo de botnet tiene sus ventajas y desventajas para los delincuentes.

Las botnets basadas en el sistema operativo Linux dan a los delincuentes la posibilidad de manipular los protocolos de red y los servidores infectados tienen un canal de conexión a Internet de alta velocidad (es decir, los ataques serán más potentes que los lanzados desde las botnets para Windows). Sin embargo, para crear y explotar botnets para Linux no sólo se requiere un conocimiento profundo de este sistema operativo, sino también que un bot adecuado esté presente en el mercado criminal o sea de acceso libre.

Los bots para Windows tienen una presencia amplia tanto en el mercado negro como en el acceso libre, y se usan mecanismos de eficiencia comprobada para propagarse. Pero la protección contra el malware en los ordenadores personales también está bien implementada (a diferencia de los servidores Linux infectados, donde por lo general no hay ningún tipo de defensa) y los bots tienen un largo periodo de vida.

Como consecuencia, es más fácil y barato usar bots para Windows, pero estas botnets por lo general tienen una vida corta. Cuando las botnets para Windows son lo suficientemente numerosas, su actividad en conjunto supera a la de los potentes servidores Linux infectados.

Ataques complejos

Los solicitantes de ataques DDoS contra grandes organizaciones suelen estar dispuestos a gastar dinero para alcanzar sus objetivos, lo que hace que este tipo de ataques esté bien organizado y se caracterice por su complejidad técnica.

Durante el proceso de neutralización de uno de estos ataques, los expertos de Kaspersky Lab responsables del sistema Kaspersky DDoS Protection descubrieron cuatro métodos usados por los atacantes:

  1. el potente NTP amplification;
  2. SSDP amplification, que se está usando desde hace relativamente poco tiempo, pero viene ganando popularidad;
  3. SYN-flood;
  4. HTTP Flood.

Todos estos métodos se aplicaban al mismo tiempo y tenían como blanco varios componentes de la infraestructura:

  • Los ataques NTP amplification y SSDP amplification hacen que el tráfico parasitario haga rebalsar los canales de transmisión de datos.
  • SYN-flood es un ataque contra la infraestructura que crea una gran recarga en los cortafuegos y provoca que se agoten los recursos del sistema operativo.
  • HTTP Flood influye de la forma más efectiva en el servidor web al crear una ola de solicitudes cuyas respuestas requieren muchos recursos.

Si cualquiera de los componentes del ataque alcanza su objetivo, esto significará que los atacantes han tenido éxito. En este caso la organización blanco de los ataques puede sufrir significativas pérdidas financieras y de reputación. Los delincuentes sólo necesitaron 20 minutos para convencerse de lo bien que estaba defendido el blanco, después de lo cual cesaron el ataque.

Este fue el ataque más potente con el que se toparon los expertos de KDP en el segundo trimestre: su intensidad máxima fue de 92 Gbit/s. Los ataques de tal magnitud no sólo son una amenaza para determinados recursos, sino también para los centros de procesamiento de datos donde están alojados, y también para infraestructura de los proveedores de Internet, ya que los canales de los proveedores de nivel superior y los centros de procesamiento de datos (que están antes de canal de Internet de los recursos) pueden convertirse en el eslabón débil.

Conclusión

En el segundo trimestre de 2015 más del 77% de los ataques con botnets se lanzaron contra recursos ubicados en 10 países del mundo. Los países que ocupan los dos primeros lugares de la estadística siguen siendo China y EE.UU. Nuestro sistema de monitorización detectó un brusco aumento de las actividades de varias familias de bots cuyos blancos estaban ubicados sobre todo en Corea del Sur, lo que explica por qué este país saltó a ocupar el tercer puesto.

Si hablamos de las tecnologías usadas para realizar los ataques, los delincuentes que se ocupan de crear botnets DDoS, aparte de desarrollar botnets estándar, formadas por ordenadores personales y servidores, invierten también en crear botnets formadas por dispositivos de red, sobre todo routers y módems DSL. Es evidente que la difusión de dispositivos IoT y la situación actual de su defensa proporciona un impulso adicional al desarrollo de este tipo de botnets.

Sigue creciendo la insistencia de los delincuentes cibernéticos que realizan ataques DDoS. En el segundo trimestre hubo ataques que duraron hasta 8,5 días. E incluso un ataque breve puede causar graves daños a los negocios, tanto por pérdidas financieras directas, como por riesgos de reputación.

Además, es frecuente que los ataques DDoS sirvan de camuflaje para ataques selectivos que pueden resultar en fugas de datos importantes o robo de dinero. El módulo DDoS descubierto por los expertos de Kaspersky Lab y que es parte del arsenal del grupo Animal Farm confirma una vez más que para los delincuentes cibernéticos los ataques DDoS son un instrumento muy efectivo.

Las más diversas organizaciones se convierten en blanco de ataques DDoS. Entre las organizaciones que protege Kaspersky DDoS Protection hay instituciones gubernamentales, grandes compañías financieras, bancos, medios de información masiva, compañías de negocios grandes y medianas y hasta instituciones educativas.

Para contar con una protección fiable contra este tipo de amenazas, es necesario planificar con anticipación la táctica y estrategia de defensa, tomar a tiempo todas las medidas necesarias y suscribirse a un servicio de filtrado de tráfico “basura”, porque una vez iniciado el ataque, resulta mucho más difícil evitar pérdidas.

Los ataques DDoS en el segundo trimestre de 2015: Informe de Kaspersky Lab

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada