En el primer trimestre de 2018, las botnets DDoS atacaron recursos online en 79 países, según publica Kaspersky Lab en su informe del primer trimestre de 2018 sobre ataques DDoS asistidos por botnet. Entre los que experimentaron mayor cantidad de ataques se encontraban de nuevo China, EE.UU. y Corea del Sur, que continuaron a la cabeza en lo que a número de servidores disponibles para los ciberatacantes y, lógicamente, por el número de sitios y servicios alojados en ellos. Hong Kong y Japón sustituyeron a los Países Bajos y Vietnam entre los 10 países objetivos principales.
El cambio en la lista de los 10 países que albergan la mayoría de los servidores C&C fue más significativo, con Italia, Hong Kong, Alemania y Reino Unido reemplazando a Canadá, Turquía, Lituania y Dinamarca. Esto es posible que se deba a que el número de servidores C&C activos de los robots Darkai (un clon de Mirai) y AESDDoS han aumentado espectacularmente, y a que los antiguos botnets de Xor y Yoyo hayan reanudado su actividad. Aunque la mayoría de estas botnets utilizan Linux, la proporción de botnets basadas en Linux cayó ligeramente en el primer trimestre de este año en comparación con el último trimestre de 2017, con un 66% frente al 71%.
Además, después de una breve pausa, parece que los ataques prolongados vuelven a hacer acto de presencia. El ataque más duradero de DDoS del pasado trimestre se prolongó durante 297 horas (más de 12 días), La última vez que habíamos visto un ataque tan sostenido fue a finales de 2015.
El final del trimestre sobre el que se informa estuvo marcado por las avalanchas de Memcached, sin precedente en lo relacionado con su potencia, que en algunos casos eran superiores a 1TB. Sin embargo, los analistas de Kaspersky Lab confían en que su popularidad sea bastante breve, pues los ataques de avalancha de Memcached no sólo afectan a los objetivos sino también a las empresas que, de manera involuntaria, se ven involucradas en la realización de los ataques.
Por ejemplo, en febrero de este año una empresa se puso en contacto con el soporte técnico de Kaspersky DDoS Protection, indicando que sus canales de comunicación estaban sobrecargados, lo que llevó a sospechar que estaban siendo víctimas de un ataque DDoS. Resultó que uno de los servidores de la compañía, donde se encontraba el vulnerable servicio Memcached, se estaba utilizando por ciberdelincuentes para atacar otro servicio, y estaba generando tales volúmenes de tráfico saliente que los propios recursos web de la empresa se colapsaron. Es por ello que estos ataques están condenados a ser breves, pues los involuntarios cómplices de los ataques de Memcached pronto notan la mayor carga y, rápidamente, proceden a parchear las vulnerabilidades para evitar pérdidas, reduciendo así la cantidad de servidores disponibles para los atacantes.
En general, la popularidad de los ataques de amplificación, que anteriormente estaban en declive, tomó de nuevo impulso en el primer trimestre. Por ejemplo, Kaspersky Lab registró un tipo raro de ataque, independientemente de su efectividad, en el que el servicio LDAP se utilizó como amplificador. Junto con Memcached, NTP y DNS, este servicio tiene una de las mayores tasas de amplificación. Sin embargo, a diferencia de Memcached, el tráfico basura LDAP apenas es capaz de obstruir el canal de salida por completo, lo que dificulta que el propietario de un servidor vulnerable identifique y solucione la situación. A pesar de la cantidad relativamente pequeña de servidores LDAP disponibles, es posible que este tipo de ataque se convierta en un éxito en la red oscura en los próximos meses.
“Aprovecharse de las vulnerabilidades es una de las herramientas favoritas para los ciberdelincuentes cuyo negocio es la creación de botnets DDoS. Sin embargo, como han demostrado los primeros meses del año, los afectados no solo son las víctimas de los ataques DDoS, sino también las empresas con infraestructura que incluye objetos vulnerables. Los acontecimientos del primer trimestre reafirman una verdad muy simple: la plataforma que cualquier compañía usa para implementar seguridad online multicapa debe incluir regularmente parches de vulnerabilidades y protección permanente contra ataques DDoS”, comenta Alexey