Investigación

¿Cuánto cuesta organizar un ataque DDoS?

El tipo de ataque de denegación de servicio distribuido (DDoS) es una de las herramientas más populares en el arsenal de los cibercriminales. El motivo para lanzar гт ataque DDoS puede ser cualquier cosa, desde el ciberacoso hasta la extorsión. Se conocen casos cuando los grupos criminales amenazan a sus víctimas con lanzar ataques DDoS si no les pagan 5 bitcoins (es decir, más de 5 000 dólares). Con frecuencia los ataques DDoS se utilizan para distraer la atención del personal de TI mientras se comete otro delito cibernético, como el robo de identidad o la implementación de malware.

Cualquiera puede convertirse en víctima de ataques DDoS, ya que organizarlos es un proceso bastante simple y barato, y su eficacia, en ausencia de una protección fiable, es alta. Basándonos en el análisis de datos procedentes de fuentes públicas (por ejemplo, de las ofertas de organizar ataques DDoS en los foros de Internet o de Tor), hemos averiguado el precio de los servicios de ataques DDoS en el mercado negro en este momento y determinado qué ofrecen a sus clientes los delincuentes que se encargan de organizar ataques DDoS.

DDoS como servicio

El proceso de pedidos de ataques DDoS por lo general se realiza mediante servicios web bien implementados, que hacen innecesario el contacto directo del organizador del ataque con el cliente. La aplastante mayoría de los autores de las ofertas que encontramos dejan enlaces a este tipo de sitios web en vez de sus datos de contacto. Con su ayuda, un cliente potencial puede hacer un pago, recibir un informe sobre el trabajo realizado y usar servicios adicionales. De hecho, su funcionalidad no es muy diferente a la de los servicios que ofrecen servicios legítimos.

¿Cuánto cuesta organizar un ataque DDoS?

Uno de los muchos ejemplos de servicio web para ordenar ataques DDoS, que parece más la página web de una nueva empresa informática que la de una organización de ciberdelincuentes

Estos servicios Web son aplicaciones web completas que permiten a los clientes registrados gestionar el balance y administrar el plan de presupuesto para llevar a cabo ataques DDoS. En algunos casos, los desarrolladores tienen previstos sistemas de bonos y de crédito que se pueden ganar por cada ataque realizado con el uso de este servicio. En otras palabras, los ciberdelincuentes desarrollan programas de fidelidad y de prestación de servicios al cliente.

¿Cuánto cuesta organizar un ataque DDoS?

Oferta en un foro público ruso: servicio de organización de ataques DDoS desde 50 dólares por 24 horas

Algunos de los servicios que hemos encontrado contenían información publicada sobre el número de usuarios registrados, así como datos sobre el número de ataques por día. Los registros en muchos servicios web de organización de ataques DDoS se miden en decenas de miles de cuentas. Sin embargo, esta información puede no ser exacta y los propietarios de los servicios la proporcionan con el fin de aumentar artificialmente la popularidad de un recurso.

¿Cuánto cuesta organizar un ataque DDoS?

Estadística de uno de los servicios, que muestra su popularidad entre los clientes de DDoS (479 270 ataques vendidos)

¿Cuánto cuesta organizar un ataque DDoS?

Estadística de uno de los servicios, que muestra la popularidad de algunos escenarios de ataques DDoS

¿Cuánto cuesta organizar un ataque DDoS?

Información sobre la popularidad del servicio de ataques DDoS entre los delincuentes

Precios de los ataques DDoS

Las características de los ataques DDoS que los atacantes destacan en la descripción de sus servicios, afectan tanto a la ventaja de los servicios DDoS frente a sus competidores, como a la preferencia del cliente del ataque a favor de un servicio:

  1. El objeto del ataque y sus características. El delincuente que se compromete a lanzar un ataque contra recursos del gobierno, puede rodearse de clientes que tienen interés en este servicio. En consecuencia el villano puede pedir más por este servicio que por un ataque a una tienda en línea. La existencia de cualquier medio de protección contra ataques DDoS en el lado de la víctima también puede jugar un papel importante en la fijación de precios por los servicios: si utiliza sistemas para filtrar el tráfico para proteger sus recursos, los delincuentes se ven obligados a idear métodos para evadirlos, para que los ataques sean más eficaces, lo que conlleva un aumento de precio.

  2. Las fuentes del ataque y sus características. Este factor puede determinar el precio que los atacantes pedirán para organizar los ataques: mientras más barato sea para el maleante mantener la botnet (magnitud determinada por el precio promedio que implica infectar un dispositivo para incluirlo en la misma), más probable es que pueda reducir el precio de sus servicios. Por ejemplo, una red de 1 000 cámaras de vigilancia puede ser más barata en términos de organización que una de 100 servidores: las cámaras y otros dispositivos del Internet de las cosas están por el momento menos protegidos y sus propietarios, de hecho, prefieren ignorar el problema.

  3. Escenarios de ataque. La necesidad de organizar ataques DDoS “atípicos” (por ejemplo, el cliente puede requerir que el propietario de una botnet alterne diversos métodos de ataques DDoS por un corto período o use varios métodos al mismo tiempo) puede aumentar su precio.

  4. Precio promedio de los servicios ataques DDoS en un país determinado. La presencia de competidores hace que los cibercriminales aumenten o disminuyan los precios por sus servicios. Además, los villanos tratan de tener en cuenta la solvencia de su audiencia para establecer su política (por ejemplo, las ofertas de organizar ataques DDoS a clientes de Estados Unidos serán más caras que las ofertas similares en Rusia).

Los organizadores de los servicios de DDoS que encontramos, al mismo tiempo que exponen las características de sus botnets, ofrecen a sus clientes una lista de tarifas según las cuales el comprador paga el alquiler de la capacidad de la botnet por segundo. Por ejemplo, 300 segundos de ataque DDoS utilizando botnets cuyo total de ancho de banda es de 125 gigabytes por segundo, le costará al cliente 5 euros. Al mismo tiempo, todas las demás características (potencia y escenarios) eran las mismas para todas las tarifas.

¿Cuánto cuesta organizar un ataque DDoS?

Lista de precios de uno de los grandes servicios de organización de ataques DDoS

A su vez, 10 800 segundos de ataque DDoS costarán al cliente 60 dólares, o alrededor de 20 dólares por hora de ataque cuyas características (el escenario del ataque y la potencia de procesamiento) los villanos no siempre indican en su recurso para clientes con experiencia. Al parecer, no todos los atacantes encuentran apropiado revelar el funcionamiento interno de botnet (y es muy posible que no todos los propietarios de botnets, debido a su incompetencia, puedan entender sus características técnicas). En particular, los villanos no revelan el tipo de bots que conforman la botnet.

Por el precio especificado prometen a sus clientes implementar un escenario bastante trivial:

  • SYN-flood;
  • UDP-flood;
  • NTP-amplification;
  • Multi-vector amplification (varios escenarios de amplificación al mismo tiempo).

¿Cuánto cuesta organizar un ataque DDoS?

Lista de precios de un servicio que permite, con unos pocos clics, ordenar ataques DDoS contra cualquier recurso y obtener un informe detallado sobre el servicio prestado

Algunos servicios ofrecen seleccionar un escenario de ataque específico, lo que permite a los ciberdelincuentes combinar diferentes escenarios y llevar a cabo el ataque tomando en cuenta las características individuales de la víctima. Por ejemplo, si la víctima puede neutralizar un ataque SYN-flood, el villano puede cambiar el escenario de ataque en el panel de control y observar la reacción de la víctima.

¿Cuánto cuesta organizar un ataque DDoS?

Planes de tarifas de uno de los servicios en inglés, que divide su lista de tarifas en función de la cantidad de segundos de ataque DDoS contratados

Entre las ofertas que analizamos también había algunas en las que los atacantes ofrecían diferentes precios por sus servicios, que dependían del tipo de víctima.

¿Cuánto cuesta organizar un ataque DDoS?

Información encontrada en un sitio ruso dedicado enteramente al servicio de ataques DDoS

Por ejemplo, los atacantes ofrecen un precio de 400 dólares al día por sitio y servidor que cuente con protección contra ataques DDoS, que es 4 veces más que el precio por sitio sin protección.

Además, no todos los delincuentes involucrados en la organización de ataques DDoS se atreve a lanzar ataques contra recursos gubernamentales: estos se encuentran bajo la supervisión de los órganos de seguridad y los organizadores no quieren que sus botnets se vean expuestas. Sin embargo, encontramos propuestas en las que los ataques DDoS de recursos estatales estaban incluidos en la tarifa de precios como un servicio aparte.

¿Cuánto cuesta organizar un ataque DDoS?

“El precio puede cambiar, si el recurso tiene carácter político”, informa un recurso dedicado a la organización de ataques DDoS

Es interesante que algunos criminales no tengan reparos en ofrecer, junto con sus servicios de ataques DDoS, protección contra ataques DDoS.

¿Cuánto cuesta organizar un ataque DDoS?

Entre los servicios de organización de ataques DDoS también están presentes también los servicios de protección contra ataques DDoS

Ejemplo de formación de precios

Como ejemplo, analicemos un escenario de ataque DDoS “con amplificación” (DNS amplification). Este ataque consiste en que el delincuente envía una solicitud especial (de digamos, unos 100 bytes) a un servidor DNS vulnerable y éste responde al “remitente” (es decir, a la víctima) con un volumen mayor de datos. Una botnet puede constar de decenas o incluso cientos de servidores, o los recursos de un proveedor público de servicios de nube. Si agregamos los servicios públicos de pruebas de carga, con cuya ayuda se pueden realizar ataques del tipo “SaaS Amplification”, tenemos un “mazo” bastante pesado:

¿Cuánto cuesta organizar un ataque DDoS?

DDoS = Nube + DNS Amplification + SaaS Amplification

El coste de este servicio dependerá del valor de los recursos de su proveedor. Como ejemplo podemos tomar Amazon EC2. El precio de un servidor virtual dedicado de configuración mínimo (para ataques DDoS lo importante no es tanto la configuración de la estación de trabajo infectada, sino el ancho de banda de sus conexión) es aproximadamente 0,0065 dólares por hora. En consecuencia, 50 servidores virtuales para organizar un ataque DDoS de baja potencia contra una tienda en línea tendrán les costará a los delincuentes 0,325 dólares por hora. Teniendo en cuenta los costes adicionales de los criminales (por ejemplo, el coste de adquisición de la tarjeta SIM para registrar la cuenta y vincular una tarjeta de crédito), 1 hora de ataque DDoS utilizando el servicio en la nube le costará unos 4 dólares a los delincuentes.

¿Cuánto cuesta organizar un ataque DDoS?

¿Cuánto cuesta organizar un ataque DDoS?

Lista de precios de las instancias de los proveedores de servicios de nube populares

Por lo tanto, el “precio de costo” de un ataque, usando un botnet de nube de 1000 estaciones de trabajo puede costarle al que lo haga cerca de 7 dólares por hora de ataque. Teniendo en cuenta las tablas de tarifas de los servicios que encontramos, el cliente paga un precio promedio de 25 dólares por hora. Y esto a su vez significa que el ciberdelincuente que organiza el ataque DDoS obtiene una ganancia de alrededor de 18 dólares por hora de ataque.

Conclusión

Los clientes de los servicios analizados son muy conscientes de los beneficios de los ataques DDoS y su eficacia. El coste de un ataque de cinco minutos contra una gran tienda en línea es de unos 5 dólares. La víctima también puede perder mucho más, al perder los clientes que no puedan hacer un pedido. Se puede imaginar cuántos clientes perderá una tienda en línea si el ataque dura todo un día.

Al mismo tiempo, los delincuentes continúan buscando activamente formas nuevas y más baratas de organizar botnets. En este sentido, “el Internet de las cosas” les hace mucho más fáciles las cosas. En la actualidad, una de las tendencias de desarrollo es organizar la infección de dispositivos del Internet de las cosas (cámaras, aparatos “inteligentes” del hogar, etc.) para su posterior uso en ataques DDoS. Y mientras haya dispositivos del Internet de las cosas vulnerables, los delincuentes tendrán la posibilidad de utilizarlos para otros fines.

Además, se debe entender que los ataques DDoS y especialmente la extorsión mediante DDoS se ha convertido en un negocio que genera grandes ganancias: la rentabilidad de un solo ataque puede superar el 95%. El hecho de que los propietarios de los sitios en línea a menudo están dispuestos a pagar un rescate sin siquiera comprobar si los atacantes pueden realmente hacer un ataque (truco que otros estafadores ya han empezado a utilizar), añade aún más leña al fuego. Todo esto da motivos para prever que el precio promedio de los ataques DDoS en el futuro próximo sólo irá disminuyendo, y que se harán más frecuentes.

¿Cuánto cuesta organizar un ataque DDoS?

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada