Kaspersky música

DDoS: el 3Q aumentaron los casos con Memcached

Este último trimestre observamos un nuevo ataque DDoS que confirmó nuestra hipótesis anterior con respecto a los ataques a través del protocolo Memcached.

Como supusimos , los atacantes intentaron usar otro protocolo bastante exótico para amplificar los ataques DDoS.

Los expertos de Akamai Technologies registraron recientemente un ataque contra uno de sus clientes que se llevó a cabo mediante la falsificación de la dirección IP de retorno a través del protocolo de multidifusión WS-Discovery.

Según otros investigadores de seguridad, los ciberdelincuentes comenzaron a usar este método solo recientemente, pero ya han logradoUna capacidad de ataque de hasta 350 Gbps.

El protocolo WSD tiene un alcance limitado y generalmente no está destinado a conectar máquinas a Internet; más bien los dispositivos lo usan para descubrirse automáticamente en las LAN.

Sin embargo, es bastante común que WSD se use no del todo para su propósito previsto en una variedad de equipos, desde cámaras IP hasta impresoras de red (aproximadamente 630,000 de estos dispositivos están actualmente conectados a Internet).

Dado el reciente aumento en el número de ataques basados ​​en WSD, se aconseja a los propietarios de dichos dispositivos que bloqueen el puerto UDP del servidor 3702, que utiliza este protocolo, y que tomen una serie de pasos adicionales para proteger sus enrutadores.

Nuestros colegas de Trend Micro detectaron otra nueva herramienta en manos de DDoSers en forma de una nueva carga útil distribuida a través de una puerta trasera en la herramienta de análisis y búsqueda de datos Elasticsearch.

El malware es peligroso porque emplea un enfoque de infección en varias etapas, evita con éxito la detección y puede usarse para crear botnets para lanzar ataques DDoS a gran escala.

Trend Micro recomienda a todos los usuarios de Elasticsearch que actualicen a la última versión, ya que la puerta trasera ya ha sido parcheada.

Dicho esto, es mucho más probable que los ciberdelincuentes recurran a técnicas comprobadas que a probar otras nuevas.

Por ejemplo, cuando el año pasado el FBI eliminó varios sitios de bajo costo para contratar DDoS, surgieron nuevos en su lugar, y hoy la amenaza es más grave que nunca. Según algunos informes, el número de ataques realizados con su asistencia aumentó en un 400% con respecto al trimestre anterior.

Es muy probable que el ataque contra World of Warcraft Classic , lanzado a principios de septiembre en varias oleadas, se haya organizado a través de dicho servicio.

Antes de cada episodio, cierto usuario de Twitter advirtió sobre el inminente ataque. Más tarde, Blizzard anunció el arresto de la mente maestra, aunque no está claro si era el propietario de la cuenta de Twitter correspondiente.

Pero si es así, es difícil escapar de la conclusión de que, lejos de ser miembro de un grupo de piratas informáticos spin-off, era un cliente de un servicio DDoS de alquiler.

Usando otro método probado (una botnet similar a Mirai, o uno de sus clones), se lanzó un ataque de nivel de aplicación de 13 días en julio contra un servicio de transmisión con una capacidad de hasta 292,000 solicitudes por segundo.

El ataque involucró a unos 400,000 dispositivos, principalmente enrutadores domésticos.

Pero mientras que los motivos detrás de estos dos ataques solo se pueden adivinar, otros dos ataques que tuvieron lugar este verano y otoño fueron casi seguramente de índole política.

Por lo tanto, el 31 de agosto fue el objetivo del Foro LIHKG, uno de los principales sitios web utilizados por los manifestantes en Hong Kong para coordinar sus acciones.

Según los propietarios del sitio, recibió 1.500 millones de solicitudes en 16 horas, lo que lo desconectó temporalmente y provocó un mal funcionamiento de la aplicación móvil.

Poco después de eso, se realizó un ataque en Wikipedia. Comenzó en la noche del 6 de septiembre e hizo que la enciclopedia en línea más grande del mundo no estuviera disponible temporalmente para los usuarios en varios países de Europa, África y Medio Oriente.

Wikipedia se ve afectado con bastante frecuencia, pero este ataque fue excepcional en términos de capacidad (las cifras exactas no están disponibles, pero las fuentes no oficiales dicen más de 1 Tbps) y la duración (tres días).

Los organizadores del ataque siguen en libertad, pero varias otras investigaciones durante el último trimestre llegaron a su conclusión lógica. Por ejemplo, a principios de julio, un tribunal federal de los Estados Unidos condenó a cierto Austin Thompson de Utah a 27 meses de prisión y una multa de $ 95,000 por un ataque contra Daybreak Game Company (anteriormente Sony Online Entertainment).

Y el 6 de septiembre, otro cibercriminal, Kenneth Currin Schuchman, del estado de Washington, admitió su participación en la creación de la botnet Satori IoT.

Sobre el tema de los esfuerzos de aplicación de la ley, debe mencionarse otra noticia que destaca la importancia de la prevención en la lucha contra los ataques DDoS. Desde hace varios trimestres, la sección sobre actividad global de botnets en nuestro informe ha presentado países que hace solo un par de años eran competidores poco probables para hacer las clasificaciones.

Además, las cuotas de otros países que anteriormente eran amados por los ciberdelincuentes han estado disminuyendo. Esta tendenciaTambién fue señalado por TechNode, respaldado por datos de Nexusguard y el Banco Mundial.

Nuestros colegas señalan dos factores para explicar la situación. Primero, los países que alguna vez se denominaron colectivamente el Tercer Mundo han visto un aumento en el nivel de vida.

Cada vez más residentes están adquiriendo teléfonos inteligentes y enrutadores de banda ancha, es decir, dispositivos de los que están hechas la mayoría de las botnets.

En segundo lugar, en las regiones donde los cibercriminales han estado ejerciendo su comercio durante mucho tiempo, la conciencia de seguridad cibernética está en aumento y se están tomando medidas más efectivas para proteger los dispositivos, incluso a nivel de proveedor, lo que significa que los atacantes tienen que buscar pastos nuevo.

Esto es lo que está cambiando la cara de nuestras listas de regiones por número de ataques cibernéticos.

Tendencias trimestrales

El tercer trimestre típicamente ve una pausa en la actividad DDoS durante los meses de verano, seguido de un pico en septiembre asociado con el inicio del año académico. Este año no fue la excepción.

Según los datos de Kaspersky DDoS Protection, la cantidad de ataques inteligentes (es decir, los más sofisticados técnicamente y que requieren más ingenio) disminuyó significativamente en el tercer trimestre con respecto al trimestre anterior. Sin embargo, al comparar este indicador con el mismo período del año pasado, vemos más del doble de crecimiento. La predicción hecha en informes anteriores claramente se está haciendo realidad: el mercado DDoS también se está estabilizando para los ataques inteligentes. Con esto en mente, será extremadamente interesante ver los resultados del cuarto trimestre.

Esta estabilización del mercado, donde se ha observado un crecimiento durante todo el año, también se evidencia por el hecho de que la duración promedio de los ataques inteligentes prácticamente no ha cambiado desde el segundo trimestre, pero casi se duplica con respecto al tercer trimestre de 2018. Al mismo tiempo, la duración promedio de Todos los ataques disminuyeron ligeramente debido al aumento general en el número de sesiones DDoS de corta duración.

El salto gigante en la duración máxima de los ataques en el gráfico proviene de un ataque inteligente muy largo que observamos este trimestre.

Que esto es solo una anomalía curiosa es claramente visible desde las columnas de longitud media.

 

Cambios en la cantidad y distribución estadística de los ataques DDoS en el tercer trimestre de 2019 en comparación con el segundo trimestre de 2019 y el tercer trimestre de 2018 (descarga)

Vale la pena mencionar por separado el cambio en la proporción de ataques DDoS inteligentes en la corriente general de las ciber ofensivas.

                                       

Cambios en la proporción de ataques DDoS inteligentes en el tercer trimestre de 2019 en comparación con el segundo trimestre de 2019 y el tercer trimestre de 2018 (descarga)

La proporción de ataques inteligentes al número total de ofensivas casi se redujo a la mitad en comparación con el trimestre anterior, pero aumentó en 7 pp en comparación con el tercer trimestre de 2018;

La disminución en la proporción de ataques inteligentes contra el final de H1 se debe a las peculiaridades de las estadísticas de septiembre.

Como el año pasado, la llegada de septiembre fue de la mano de un aumento significativo en el número de ataques DDoS.

Además, este mes representó el 53% de todos los ataques del tercer trimestre, y fue solo a partir de septiembre que se observó un crecimiento en general.

Además, el 60% de la actividad DDoS a principios del otoño se dirigió a recursos relacionados con la educación: libros electrónicos de calificaciones, sitios web de universidades y similares.

En el contexto de tales ataques, la mayoría de los cuales son cortos y están mal organizados, la proporción de ataques inteligentes en el tercer trimestre se redujo en 22 pp.

Observamos una imagen similar el año pasado, ya que se debe a que los estudiantes regresan a la escuela y la universidad.

La mayoría de estos ataques son actos de vandalismo cibernético llevados a cabo por aficionados, muy probablemente sin expectativas de ganancias financieras.

Tenga en cuenta que el número total de ataques en septiembre de 2019 frente a septiembre de 2018 aumentó en 35 pp, mientras que el número total de ataques en el tercer trimestre de 2019 en comparación con el tercer trimestre de 2018 aumentó en 32 pp.

Es decir, estas cifras son más o menos las mismas, mientras que la diferencia en el Los indicadores de crecimiento para el número de ataques inteligentes son mucho mayores: mientras que el número total de ataques inteligentes aumentó en 58 pp, el número de ataques inteligentes en septiembre aumentó en solo 27 pp, y la participación de ataques inteligentes en el mes incluso disminuyó en 3 pp. confirma una vez más el grado en que septiembre sesga el panorama estadístico general.

                                     

Cambios en la cantidad y distribución estadística de los ataques DDoS en septiembre de 2019 en comparación con septiembre de 2018 (descarga)

                                     

Cambios en la proporción de ataques DDoS inteligentes en septiembre de 2019 en comparación con septiembre de 2018 (descarga)

Como tal, en el tercer trimestre de 2019, por primera vez en el último año, no solo no observamos un aumento claro en el número de ataques inteligentes, sino que vimos su número total caer. Es muy posible que el pronóstico positivo del último trimestre, que el mercado DDoS se saturara y dejara de crecer, se hizo realidad.

Sin embargo, según la experiencia de años anteriores, en el cuarto trimestre esperamos ver un crecimiento en todos los indicadores clave (número total de ataques y ataques inteligentes; duración de los ataques), ya que el final del año es una temporada de vacaciones, lo que significa más comercial y por lo tanto actividad criminal. Sin embargo, si las conclusiones sobre la estabilización del mercado son correctas, este crecimiento no será tan considerable.

Nos parece poco probable que los indicadores disminuyan o incluso se mantengan en el nivel del tercer trimestre; en cualquier caso, los requisitos previos para tal participación de eventos aún no son visibles.

El aluvión de ataques contra el sector educativo disminuirá en invierno, pero se dejará completamente en paz solo en verano cuando no haya escuela.

Metodología

Kaspersky Lab tiene una larga historia de lucha contra las amenazas cibernéticas, incluidos los ataques DDoS de todo tipo y complejidad.

Los expertos de la compañía monitorean las botnets usando el sistema Kaspersky DDoS Intelligence.

El sistema DDoS Intelligence, parte de la solución Kaspersky DDoS Protection , intercepta y analiza los comandos enviados a los bots desde los servidores de C&C.

El sistema es proactivo, no reactivo, lo que significa que no espera a que un dispositivo de usuario se infecte o se ejecute un comando.

Este informe contiene estadísticas de DDoS Intelligence para el tercer trimestre de 2019.

En el contexto de este informe, el incidente se cuenta como un solo ataque DDoS solo si el intervalo entre los períodos de actividad de la botnet no supera las 24 horas.

Por ejemplo, si el mismo recurso web fue atacado por la misma botnet con un intervalo de 24 horas o más, entonces esto se considera como dos ataques.

Las solicitudes de bot que se originan en diferentes botnets pero que se dirigen a un recurso también cuentan como ataques separados.

Las ubicaciones geográficas de las víctimas de ataques DDoS y los servidores C&C utilizados para enviar comandos están determinadas por sus respectivas direcciones IP. El número de objetivos únicos de ataques DDoS en este informe se cuenta por el número de direcciones IP únicas en las estadísticas trimestrales.

Las estadísticas de DDoS Intelligence se limitan a las botnets detectadas y analizadas por Kaspersky Lab. Tenga en cuenta que las botnets son solo una de las herramientas utilizadas para los ataques DDoS, y que esta sección no cubre todos los ataques DDoS que ocurrieron durante el período de revisión.

Resumen trimestral

  • China sigue liderando en número de ataques, con una participación prácticamente sin cambios en comparación con el segundo trimestre (62.97% contra 63.80%).
  • El invitado inesperado en el Top 10 por distribución territorial de ataques fue Sudáfrica, que ocupó el cuarto lugar (2,40%), nunca antes había aparecido en nuestra clasificación.
  • Los 10 principales en términos de distribución territorial por número de objetivos son similares a los 10 principales por número de ataques: los 3 principales fueron nuevamente China (57,20%), EE. UU. (22,16%) y Hong Kong (4,29%).
  • En el último trimestre, la actividad máxima de la botnet DDOS se observó en julio; el día más peligroso fue el lunes (17.53% de los ataques), y el más tranquilo fue el domingo (10.69%).
  • El ataque más largo duró más de 11 días (279 horas), que es casi la mitad de corto que en Q2.
  • El tipo de ataque más común sigue siendo la inundación SYN (79.7%), con la inundación UDP en segundo lugar (9.4%). El menos popular es la inundación ICMP (0.5%).
  • Los recursos compartidos de las botnets de Windows y Linux casi no han cambiado con respecto al segundo trimestre; Las botnets de Linux aún representan la gran mayoría (97.75%) de la actividad.
  • El líder por número de servidores de C&C de botnet es una vez más los EE. UU. (47.55%), seguido de los Países Bajos en el segundo lugar (22.06%) y China en el tercero (6.37%).

Geografía de ataque

Al igual que en trimestres anteriores, el líder por número de ataques sigue siendo China, cuya participación cayó en 0.83 pp a 62.97%. Del mismo modo, EE. UU. Permanece en segundo lugar: su participación disminuyó ligeramente a 17.37% (contra el 17.57% del último trimestre). Hong Kong se estableció firmemente en la posición de bronce. A diferencia de China y Estados Unidos, su participación creció, aunque solo en 0.83 pp a 5.44%.

La tendencia observada en los últimos trimestres continuó, con un intruso que subió de los rangos más bajos al Top 10.

Esta vez fue Sudáfrica (2.4%), elevándose desde la posición 19 del último trimestre.

Tomó el cuarto lugar de los Países Bajos (0,69%), que cayó al noveno.

Además, el Top 10 dio la bienvenida a Corea del Sur después de una larga ausencia, pero no en el Top 3 como antes, sino en el octavo lugar con solo el 0.71%.

También es digno de mención Rumania, que ganó 0,93 pp y se unió al Top 10 en la sexta posición con un 1,12%. Rumania, Sudáfrica y Corea del Sur expulsaron colectivamente a Taiwán, Australia y Vietnam.

                                     

Distribución de ataques DDoS por país, Q2 y Q3 2019 (descarga)

La distribución geográfica de objetivos únicos este trimestre tiene mucho en común con la distribución de la cantidad de ataques, lo cual es bastante típico de las estadísticas de este tipo.

El Top 3 aquí también pertenece a China (57.20%), los EE. UU. (22.16%) y Hong Kong (4.29%), con acciones cercanas a las de la clasificación por número de ataques. Pero hay variaciones en ambos Top 10 a continuación.

Esto se debe en parte a la pequeña proporción de cada país individual (a excepción de los 3 principales), lo que significa que incluso las fluctuaciones menores causan cambios importantes.

Por ejemplo, Sudáfrica (1.83%) entró en el Top 10 por número de objetivos únicos, aunque no en cuarto lugar, sino quinto, dando paso al Reino Unido (2.71%). En la lista de líderes por número de ataques, la situación es la opuesta: el Reino Unido está quinto detrás de Sudáfrica.

Rumania también volvió a la calificación con una participación del 0,71%, mientras que Corea del Sur fue empujada por la borda.

La calificación de este trimestre tampoco tuvo lugar para Taiwán e Irlanda.

Francia se mantuvo en el último lugar, su participación disminuyó en 0.23 pp contra el trimestre anterior a 0.67%.

                                   

Distribución de objetivos de ataque DDoS únicos por país, Q3 y Q4 2019 (descarga)

Dinámica del número de ataques DDoS

El tercer trimestre fue relativamente tranquilo, con picos y valles claros solo en julio.

El día más agitado de este mes fue el 22, con 457 ataques. También registramos una gran cantidad de ataques (369) el 8 de julio. El día más tranquilo fue el 11 de agosto (65 ataques).

                               

Dinámica de la cantidad de ataques DDoS en el tercer trimestre de 2019 (descarga)

La distribución Q3 del número de ataques por día de la semana fue similar a la Q2. El día más seguro en términos de DDoS fue el domingo (10,69% de los ataques), aunque su participación aumentó ligeramente respecto del último trimestre. Como anteriormente, la mayoría estadística de los ataques DDoS ocurrieron los lunes (17.53%).

La única diferencia significativa con respecto al último trimestre es que el segundo día más tranquilo (después del domingo) de julio a septiembre no fue el viernes, sino el jueves (13,16%).

                                 

Distribución de ataques DDoS por día de la semana, Q2 y Q3 2019 (descarga)

Duración y tipos de ataques DDoS

El ataque más largo del último trimestre (tradicionalmente contra un ISP chino) duró 11,6 días (279 horas), que es 1,8 veces más corto que en el segundo trimestre (509 horas). Para ser justos, sin embargo, debe tenerse en cuenta que el ataque más largo de Q2 es el poseedor del récord de todos los tiempos desde que comenzaron nuestras observaciones.

Mientras tanto, no se observaron cambios globales en las estadísticas resumidas: la proporción de ataques que duraron más de 140 horas se redujo en 0.01 pp a 0.12%. Por el contrario, la proporción de ataques de 20-139 horas aumentó ligeramente, mientras que la proporción de ataques de 5-9 horas disminuyó en 1,5 pp; La proporción total de los ataques más cortos (que no duró más de cuatro horas) aumentó un poco menos de 2 pp a 84,42%.

                               

Distribución de ataques DDoS por duración (horas), Q2 y Q3 2019 (descarga)

El tipo de ataque principal sigue siendo la inundación SYN. Su participación cambió de manera inapreciable, de 84% a 79.7%.

El segundo lugar nuevamente fue para los ataques UDP (9.4%), mientras que los ataques basados ​​en HTTP y TCP intercambiaron lugares: mientras que antes de las inundaciones HTTP ocupaban el tercer lugar por frecuencia, ahora se encuentra en el cuarto lugar con una participación del 1.7%, mientras que la participación de TCP Las inundaciones subieron a 8.7%, más del doble respecto al trimestre anterior (3.1%). Como antes, las inundaciones de ICMP ocuparon el último lugar en el tercer trimestre.

                                     

Distribución de ataques DDoS por tipo, Q3 2019 (descarga)

La proporción de botnets de Linux continúa creciendo: la cifra del tercer trimestre fue del 97.75%, mientras que la proporción de botnets de Windows, respectivamente, se redujo en 1.75 pp a 2.25%. Esto no se debe al crecimiento de la actividad de las botnets de Linux, sino a la disminución de la actividad de las redes zombies orientadas a Windows.

                               

Proporción de ataques de botnet de Windows / Linux, Q2 y Q3 2019 (descarga) (descarga)

Geografía de distribución de botnets

Al igual que en el segundo trimestre, los EE. UU. Encabezan la tabla de clasificación en número de servidores de C&C ubicados en el país, y su participación aumenta del 44.14% al 47.55%.

En segundo lugar está Holanda: su participación también aumentó: del 12,16% al 22,06%.

Un crecimiento tan sólido no puede dejar de tener un gran impacto en la mayoría de los otros principales.

China, por ejemplo, cuya participación aumentó solo 1.42 pp a 6.37%, subió del quinto al tercer lugar, llevando al Reino Unido al cuarto (4.90%).

Rusia también subió la calificación a la quinta posición con una participación del 3,92%, mientras que Grecia y Corea del Sur cayeron.

El recién llegado en el Top 10, en el lugar inferior con 1.47%, fue Rumania, que este trimestre también apareció en las tablas de clasificación por número de ataques DDOS y sus objetivos.

                                     

Distribución de servidores C&C de botnet por país, tercer trimestre de 2019 (descarga) (descarga)

Conclusión

Estadísticamente, el tercer trimestre de 2019 difiere poco del segundo trimestre. En términos de distribución geográfica de ataques y objetivos, vimos una continuación de la tendencia ahora familiar de que aparezcan invitados inesperados, solo para abandonar el próximo trimestre.

En cuanto a la distribución cronológica de los ataques, Q3 fue de nuevo similar a Q2: se observó turbulencia al comienzo del trimestre, con una pausa en el medio y pequeños picos y valles al final. La distribución característica de los ataques por día de la semana también se mantuvo prácticamente sin cambios.

La duración del ataque más largo cayó en comparación con el trimestre anterior, pero la diferencia en el porcentaje de ataques largos y cortos apenas se nota.

Todo esto podría indicar que el mercado de ataque DDOS se ha estabilizado temporalmente o que nos enfrentamos a una anomalía estadística. La imagen se aclarará con el análisis de las observaciones posteriores.

 

Por Marcelo Lozano – General Publsiher IT Connect Latam