Metodología
Los ataques DDoS (Distributed Denial-of-Service) son uno de los métodos más usados por los delincuentes informáticos. Su objetivo es llevar a un sistema informático (por ejemplo un sitio web) a tal estado, que los usuarios legítimos no puedan obtener acceso al mismo. Uno de los escenarios populares de DDoS es el ataque mediante botnets.
Kaspersky Lab cuenta con una experiencia reconocida de varios años en el campo de la lucha contra las amenazas informáticas, entre ellas los ataques DDoS de diferentes tipos y niveles de complejidad. En particular, los expertos de la compañía hacen un seguimiento de las actividades de las botnets mediante el sistema DDoS Intelligence, que les permite mejorar constantemente las tecnologías de protección contra los ataques DDoS Intelligence. El sistema DDoS Intelligence está basado en el análisis de las instrucciones que los servidores de administración envían a la red de bots y no exige que el bot esté presente en el equipo del usuario ni que se ejecuten las instrucciones enviadas por el servidor.
Existen diferentes aproximaciones al análisis de las actividades de los ataques DDoS, uno de los cuales es el análisis de los ataques lanzados contra recursos en concreto (como regla, los clientes de las compañías que responden por su protección contra los ataques DDoS). El análisis de las actividades de las botnets aplicado en este informe permite no limitarse a clientes en particular, sino más bien ver el problema desde otra faceta.
En este informe presentaremos la estadística de DDoS Intelligence recolectada en el periodo que va desde el 1 de enero al 31 de marzo (primer trimestre) de 2015, que compararemos con los datos obtenidos el trimestre anterior (del 1 de octubre al 31 de diciembre de 2014).
Consideraremos como ataque DDoS aislado si la pausa entre sus periodos de actividad no supera las 24 horas. Por ejemplo, si un solo recurso sufrió ataques de la misma botnet y la pausa entre ellos fue de 24 hora, los consideraremos dos ataques. También se consideran ataques diferentes los lanzados contra un solo recurso, pero ejecutados por bots de diferentes botnets.
La ubicación geográfica de las víctimas de los ataques DDoS y los servidores desde donde se enviaban las instrucciones se determinan por sus direcciones IP. El número de blancos únicos de ataques DDoS en este informe se calculará por el número de direcciones IP únicas en la estadística trimestral.
Es importante mencionar que la estadística de DDoS Intelligence se limita a las botnets detectadas y analizadas por Kaspersky Lab. También hay que comprender que las botnets son sólo uno de los instrumentos con los que se realizan los ataques DDoS y los datos presentados en este informe no abarcan todos los ataques ocurridos en el periodo indicado.
Resultados del trimestre
- En el primer trimestre de 2015 se detectaron 23 095 ataques DDoS mediante botnets, un 11% menos que en el trimestre anterior (25 929 ataques).
- El número de víctimas únicas de ataques DDoS en el periodo fue de 12 281, un 8% menos que el trimestre anterior (13 312 blancos)
- China, EE.UU. y Canadá encabezaron la estadística de países que sufrieron la mayor cantidad de ataques DDoS
- El ataque DDoS más prolongado detectado en el primer trimestre de 2015 duró 140 horas (cerca de seis días) y el recurso más atacado soportó 21 ataques en tres meses
- SYN-DDoS y HTTP-DDoS fueron los escenarios de ataques DDoS mediante botnets más propagados en el primer trimestre
Territorios de los ataques
En el periodo que nos ocupa se detectaron 23 095 ataques DDoS contra recursos ubicados en 76 países. En comparación con el trimestre anterior, la cantidad de ataques (25 929) se redujo en un 11% pero la cantidad de países donde se encontraban los blancos de los ataques (eran 66), aumentó.
La mayor cantidad de ataques DDoS, al igual que en el cuarto trimestre de 2014, se lanzó contra recursos ubicados en China, EE.UU. y Canadá. En el TOP 10 de los países más atacados hay pequeños cambios, pero sus integrantes siguen siendo los mismos.
Fig. 1. TOP 10 de países por cantidad de ataques en el cuarto trimestre de 2014 y el primero de 2015
En el grafico se puede observar que mientras el número de ataques lanzados contra recursos ubicados en China y EE.UU. tuvo una baja notable, la cantidad de ataques contra servidores canadienses subió. También creció la cantidad de ataques contra recursos ubicados en Rusia, Corea del Sur y Francia.
Según la cantidad de víctimas de ataques DDoS en cada uno de los países, el TOP 10 luce igual al anterior. En total, en el primer trimestre de 2015 las botnets atacaron 12 281 víctimas, un 8% menos que el trimestre anterior (13 312 blancos).
Fig. 2. TOP 10 de países por cantidad de víctimas de ataques DDoS en el cuarto trimestre de 2014 y el primero de 2015
En Rusia, Corea del Sur y Francia aumentó la cantidad de recursos atacados en comparación con el trimestre anterior, al igual que el número de ataques lanzados en estos países. Pero en Canadá, a pesar del aumento del número de ataques, la cantidad de víctimas ha disminuido, lo que es un indicio de que los ataques contra los mismos recursos han sido más activos en este país.
Las primeras posiciones ocupadas por China y EE.UU. en ambas estadísticas (tanto por el número de ataques como de víctimas) están relacionadas con el hecho de que el hosting en estos países es relativamente barato y muchas compañías escogen proveedores de hosting en estos países.
El máximo número de ataques lanzados contra un mismo recurso alcanzó los 21 en el primer trimestre:
Número de ataques | Recurso |
21 | Sitio en ruso (grupo de inversiones) |
16 | Sitio en Vietnam (servicios de organización de bodas) |
15 | Proveedor de hosting en EE.UU. |
Fig. 3. TOP 3 por número de ataques contra el mismo recurso, primer trimestre de 2015
A pesar de que en el periodo de análisis de este informe la mayor cantidad de ataques recayeron sobre China, EE.UU. y Canadá, los primeros dos puestos de la estadística del número de ataques los ocuparon un recurso ruso y otro vietnamita, y sólo en el tercer puesto tenemos a un proveedor de hosting de EE.UU.
Dinámica del número de ataques DDoS
En el primer trimestre la cantidad de ataques DDoS tuvo fuertes fluctuaciones en el tiempo*: la mayor actividad de las botnets se registró a finales de enero y la menor, a mediados de febrero.
Fig. 4. Dinámica del número de ataques DDoS, primer trimestre de 2015
* Debido a que los ataques DDoS pueden prolongarse de forma ininterrumpida por varios días, en la línea de tiempo un ataque puede contarse varias veces, una por cada día. Como resultado, el total de ataques por fechas resultó un poco mayor (30 064) que si contáramos cada ataque prolongado aparte (23 095).
Como vemos en el gráfico de abajo, en diciembre del año pasado se observó un notable aumento de la cantidad de ataques DDoS lanzados mediante botnets, seguido en enero y febrero por un descenso estable, pero en marzo empezó de nuevo a subir. El pico de diciembre se puede relacionar con las fiestas de fin de año y las vacaciones, cuando los delincuentes trataron de afectar el funcionamiento de los sitios y servicios que gozan de demanda entre los usuarios.
Fig. 5. Número de ataques por mes, cuarto trimestre de 2014, primer trimestre de 2015
Entre los días de la semana, el día en que se hicieron más ataques mediante botnets fue el jueves, y no el lunes como en el pasado trimestre. El domingo sigue siendo el día menos popular entre los delincuentes.
Fig. 6. Los días de la semana más populares para lanzar ataques DDoS, cuarto trimestre de 2014 y primero de 2015
Tipos y duración de los ataques DDoS
Entre las características más importantes de los ataques DDoS están dos: su duración y su escenario, porque son los que determinan el daño que infligen a la víctima. La aplastante mayoría de los ataques del periodo que nos ocupa tuvo una duración de menos de 24 horas. A pesar de que en el pasado trimestre encontramos ataques de hasta dos semanas de duración, en el primer trimestre no los hubo tan largos.
Duración, horas | Número de blancos, cuarto trimestre de 2014 | Número de blancos, primer trimestre de 2015 |
Más de 150 | 5 | 0 |
100-149 | 8 | 3 |
50-99 | 299 | 121 |
20-49 | 735 | 433 |
10-19 | 1679 | 703 |
5-9 | 2161 | 1426 |
Menos de 4 | 8425 | 9594 |
Fig. 7. Duración de los ataques DDoS en el cuarto trimestre de 2014 y el primer trimestre de 2015
El tipo de ataques DDoS se determina por el formato de solicitudes “basura” que se envían al recurso de la víctima. En el primer trimestre de 2015, al igual que en el cuarto de 2014, el método de ataques DDoS más popular fue SYN-DDoS. Los ataques tipo TCP-DDoS le cedieron el segundo puesto a los de HTTP.
Fig. 8. Tipos de ataques DDoS más populares , cuarto trimestre de 2014 y primero de 2015
Servidores de administración y tipos de botnets
Los centros de administración que los delincuentes usan para administrar las botnets pueden estar ubicados en diferentes países. Como regla, no guardan ninguna relación ni con la ubicación de los delincuentes ni con los territorios de propagación de los bots controlados por este servidor de administración. Según la cantidad de servidores de administración activos en el primer trimestre, lideran la lista EE.UU., China e Inglaterra.
Fig. 9. Distribución de los servidores de administración de las botnets por países, primer trimestre de 2015
El primer trimestre de 2015, al igual que el trimestre anterior, los más activos por la cantidad de ataques lanzados fueron los bots destinados a infectar servidores con sistema operativo Linux, que superaron a los bots creados para los equipos con sistema operativo Windows. Al mismo tiempo la cantidad de ataques mediante botnets para Windows quedó prácticamente sin cambios, mientras que la cantidad de ataques lanzados desde botnets Linux bajó.
Fig. 10. Número de ataques desde botnets para Windows y Linux, cuarto trimestre de 2014 y primer trimestre de 2015
A pesar de que las botnets para el sistema operativo Linux son considerablemente menos, la cantidad de ataques lanzados desde ellas y la potencia de los mismos, superan a los de los ataques de botnets para la plataforma Windows. Esto está condicionado porque al infectarse un servidor Linux, los delincuentes reciben amplias posibilidades de manipulación con los protocolos de red y la velocidad del canal de Internet de los servidores infectados por lo general supera la velocidad de las conexiones a Internet de los equipos de los usuarios, lo que da la posibilidad de lanzar ataques más potentes.
Además, el promedio de vida de las botnets basadas en el sistema operativo Linux es considerablemente mayor que el de las basadas en Windows. Esto está relacionado con que es difícil detectar y neutralizar estas botnets, ya que es raro que los servidores con Linux cuenten con medios de protección especiales, a diferencia de los dispositivos y servidores con el sistema operativo Windows.
También merece la pena destacar que el 93,2% de los blancos en el primer trimestre fueron atacados sólo por una familia de bots. En el 6,2% de los casos en el ataque participaron dos familias al mismo tiempo y sólo en el 0,6%, tres o más: los delincuentes o bien utilizaban al mismo tiempo varias diferentes familias de bots para los ataques, o los clientes del ataque habían hecho pedidos a varios ejecutantes al mismo tiempo.
Conclusión
La cantidad de ataques DDoS mediante botnets, al igual que la cantidad de víctimas de estos ataques, en el primer trimestre bajó en comparación con el periodo anterior. Al mismo tiempo, la cantidad de países abarcados por esta amenaza, por el contrario, aumentó. Ya es tradición que la mayor parte de los ataques se lance contra recursos de EE.UU. y China, ya que en estos países el hosting es barato y en ellos están ubicados muchos recursos. Pero en el TOP 10 también hay víctimas de Europa y los países del Pacífico. Esta estadística es un indicio de que los ataques DDoS mediante botnets tienen vigencia para los recursos más diversos, independientemente de su pertenencia geográfica. Además, esta amenaza sigue expandiendo sus fronteras.
Los delincuentes informáticos que usan botnets para organizar ataques DDoS siguen siendo bastante insistentes: el ataque DDoS más prolongado detectado en el primer trimestre de 2015 duró 140 horas (cerca de seis días) y el recurso más atacado soportó 21 ataques en tres meses. Sin embargo, como muestran las investigaciones, incluso un breve ataque puede afectar el funcionamiento de un recurso desprotegido. Uno de estos ataques le puede costar a la víctima 444.000 dólares, sin considerar los riesgos de reputación provocados por el descontento de los usuarios que no recibieron el servicio que esperaban.
Las compañías de seguridad en Internet hacen su aporte a la lucha contra los ataques DDoS y las botnets en particular, encontrando y agregando a las bases de firmas nuevos programas maliciosos, protegiendo los servidores contra hackeo y los ordenadores contra la infección, poniendo límites a las actividades de los servidores de administración, etc. A pesar de todo, los ataques DDoS siguen siendo uno de los instrumentos populares de los delincuentes informáticos y las compañías deben tomar medidas oportunas para defenderse. El servicio de filtración del tráfico “basura” permite al recurso online seguir estando disponible para los usuarios legítimos incluso durante un ataque largo y potente.
Enlaces útiles:
IT Security Risks survey 2014: DDoS
Kaspersky DDoS Protection webpage
Kaspersky DDoS Protection whitepaper
Glosario
Bot – programa malicioso que ejecuta diversas acciones al recibir instrucciones de un delincuente.
Familia de bots – conjunto de bots que tienen un código fuente similar, es decir, son diferentes versiones de un mismo bot. Sus servidores de administración pueden ser diferentes.
Botnet – conjunto de dispositivos infectados por el mismo bot y que tienen el mismo servidor de administración. Los delincuentes informáticos difunden con anticipación en Internet programas maliciosos especiales que convierten a los servidores, ordenadores o dispositivos móviles en “zombies” a control remoto (i.e. bots).
Servidor C&C (de administración) – es un servidor mediante el cual los delincuentes envían instrucciones a sus bots y donde reciben sus respuestas. En el caso de los ataques DDoS, los bots, al recibir una orden de los delincuentes, envían solicitudes al recurso de la víctima de forma directa o mediante terceros servidores, es decir, realizan un “ataque distribuído”.
SYN-DDoS – es el conjunto de escenarios de ataques DDoS que explotan las peculiaridades de la realización del protocolo TCP (Transmission Control Protocol, protocolo de control de transmisión). El establecimiento de una conexión TCP transcurre en tres etapas, que recuerdan el proceso de dar un apretón de manos: El cliente envía un paquete con la bandera SYN. El servidor, al recibir el paquete SYN, responde con un paquete con encabezados SYN y ACK. Después, el cliente envía un paquete ACK, con lo que confirma la conexión. Durante el proceso de SYN-flood el atacante envía un paquete con la bandera SYN, pero no exige un paquete de respuesta con las banderas SYN+ACK para establecer la conexión, lo que obliga al servidor de la víctima a gastar recursos en el procesamiento de estas solicitudes y el envío de paquetes de respuesta.
TCP-DDoS – es el conjunto de escenarios de ataques que de la misma manera que SYN-flood, explotan las peculiaridades de la realización del protocolo TCP, pero al mismo tiempo establecen conexión con el servidor de la víctima. En los ataques de tipo TCP-flood, después de la realización del procedimiento del “apretón de manos”, la parte atacante envía datos “basura” de gran tamaño y de una forma muy lenta por la conexión establecida. Esto recarga el servidor y no le permite dar recursos a las conexiones legítimas.
ICMP-DDoS – conjunto de escenarios de ataques por el protocolo ICMP (Internet Control Message Protocol), que se usa para transmitir mensajes de error y otras situaciones de excepción que surjan durante la transmisión de datos. En caso de ataque, el delincuente envía una gran cantidad de solicitudes ICMP al servidor de la víctima, para provocar que gaste recursos en el procesamiento de solicitudes “basura”, en vez de procesar las legítimas.
UDP-DDoS – conjunto de escenarios de ataque que usan el protocolo UDP, que no exige el establecimiento de conexiones (User Datagram Protocol, protocolo de datagramas del usuario). El atacante envía al servidor de la víctima numerosos paquetes UDP, cada uno de los cuales requiere procesamiento por parte del servidor y su hardware de comunicación, lo que causa recargas en los recursos de procesamiento de la víctima.
HTTP-DDoS – todos los escenarios de ataques DDoS cuyo objeto son las aplicaciones web. Durante el proceso de realización de los ataques el delincuente puede realizar tanto solicitudes GET/POST simples a la página principal de la aplicación web, como solicitudes atípicas (buscar cierta información en la base de datos de la aplicación web, ejecutar determinados scripts en el servidor web, etc.). Además, en el cuerpo de la solicitud se pueden poner encabezados o ficheros cookie para evadir los filtros que determinan a un usuario legítimo por la presencia de cookies. También, el atacante puede abrir el navegador en el equipo infectado para simular la actividad de un visitante común del sitio web y no dejar que los sistemas de protección instalados detecten los bots en el flujo general de visitantes.
Estadísticas de los ataques DDoS mediante botnets en el primer trimestre de 2015