Los ataques DDoS asistidos por botnet y los de amplificación, a la orden del día en el primer trimestre

Quizá te interese... GDPR, el último empujón Estrategias para lograr una experiencia de cliente satisfactoria  Dominando la complejidad operativa de las aplicaciones IoT Acelera tu negocio con DevOps

El informe de Kaspersky Lab sobre ataques DDoS, correspondiente al primer trimestre de 2018, concluye que las botnets DDoS atacaron recursos online en 79 países, con China, EE.UU. y Corea del Sur, a la cabeza en lo que a número de servidores disponibles para los ciberatacantes y, lógicamente, por el número de sitios y servicios alojados en ellos. Esta terna continuó inalterable, pero Hong Kong y Japón sustituyeron a los Países Bajos y Vietnam entre los 10 países objetivos principales.

El cambio en la lista de los 10 países que albergan la mayoría de los servidores C&C fue más significativo, con Italia, Hong Kong, Alemania y Reino Unido reemplazando a Canadá, Turquía, Lituania y Dinamarca. Esto es posible que se deba a que el número de servidores C&C activos de los robots Darkai (un clon de Mirai) y AESDDoS han aumentado espectacularmente, y a que los antiguos botnets de Xor y Yoyo hayan reanudado su actividad. Aunque la mayoría de estas botnets utilizan Linux, la proporción de botnets basadas en Linux cayó ligeramente en el primer trimestre de este año en comparación con el último trimestre de 2017, con un 66% frente al 71%.

Además, después de una breve pausa, parece que los ataques prolongados vuelven a hacer acto de presencia. El ataque más duradero de DDoS del pasado trimestre se prolongó durante 297 horas (más de 12 días), La última vez que habíamos visto un ataque tan sostenido fue a finales de 2015.

El final del trimestre sobre el que se informa estuvo marcado por las avalanchas de Memcached, sin precedente en lo relacionado con su potencia, que en algunos casos eran superiores a 1TB. Sin embargo, los analistas de Kaspersky Lab confían en que su popularidad sea bastante breve, pues los ataques de avalancha de Memcached no sólo afectan a los objetivos sino también a las empresas que, de manera involuntaria, se ven involucradas en la realización de los ataques.

Por ejemplo, en febrero de este año una empresa se puso en contacto con el soporte técnico de Kaspersky DDoS Protection, indicando que sus canales de comunicación estaban sobrecargados, lo que llevó a sospechar que estaban siendo víctimas de un ataque DDoS. Resultó que uno de los servidores de la compañía, donde se encontraba el vulnerable servicio Memcached, se estaba utilizando por ciberdelincuentes para atacar otro servicio, y estaba generando tales volúmenes de tráfico saliente que los propios recursos web de la empresa se colapsaron. Es por ello que estos ataques están condenados a ser breves, pues los involuntarios cómplices de los ataques de Memcached pronto notan la mayor carga y, rápidamente, proceden a parchear las vulnerabilidades para evitar pérdidas, reduciendo así la cantidad de servidores disponibles para los atacantes.

En general, subraya el informe, la popularidad de los ataques de amplificación, que anteriormente estaban en declive, tomó de nuevo impulso en el primer trimestre. Por ejemplo, Kaspersky Lab registró un tipo raro de ataque, independientemente de su efectividad, en el que el servicio LDAP se utilizó como amplificador. Junto con Memcached, NTP y DNS, este servicio tiene una de las mayores tasas de amplificación. Sin embargo, a diferencia de Memcached, el tráfico basura LDAP apenas es capaz de obstruir el canal de salida por completo, lo que dificulta que el propietario de un servidor vulnerable identifique y solucione la situación. A pesar de la cantidad relativamente pequeña de servidores LDAP disponibles, es posible que este tipo de ataque se convierta en un éxito en la red oscura en los próximos meses.