Las tendencias de ataque DDoS revelan un cambio más fuerte a IoT, móvil



Los atacantes están aprovechando el auge de los dispositivos conectados a Internet mal configurados que ejecutan el protocolo WS-Discovery, y los operadores móviles alojan armas distribuidas de denegación de servicio.

Los ataques distribuidos de denegación de servicio (DDoS) siguen siendo un vector de ataque popular, pero han sufrido cambios a medida que los cibercriminales cambian sus estrategias. Los atacantes de hoy están recurriendo a las tecnologías móviles e World wide web de las cosas (IoT) para diversificar y fortalecer sus campañas DDoS, según muestra una investigación.

Investigadores de A10 Networks, que rastrearon casi 6 millones de armas DDoS en el cuarto trimestre de 2019, publicaron hoy «Armas DDoS y vectores de ataque» para compartir las tendencias en el panorama actual de DDoS. Estos incluyen las armas que se utilizan, los lugares donde se lanzan los ataques, los servicios explotados y las técnicas que los atacantes utilizan para maximizar el daño causado.

Las armas DDoS se distribuyen por todo el mundo Sin embargo, la mayor parte de los ataques comienzan en los países con mayor conectividad a Internet. China es el origen del mayor número de ataques DDoS, con 739,223 comenzando en el país. Estados Unidos es el segundo, con 448,169, seguido por la República de Corea (440,185), India (268,864), Rusia (253,609) y Taiwán (199,656).

Los protocolos SNMP y SSDP, durante mucho tiempo las principales fuentes de ataques DDoS, continuaron ocupando los primeros lugares en el cuarto trimestre con casi 1,4 millones de armas SNMP y casi 1,2 millones de armas SSDP rastreadas. La siguiente fue una sorpresa: Los investigadores vieron un fuerte aumento en los ataques de WS-Discovery, que aumentó a casi 800,000 para convertirse en la tercera fuente más común de DDoS.

A10 Networks atribuye este cambio a la creciente popularidad de los atacantes que aprovechan los dispositivos de IoT mal configurados para amplificar sus campañas. Como parte de esta tendencia, llamada «amplificación reflejada», los atacantes se centran en el creciente número de dispositivos IoT expuestos a World-wide-web que ejecutan el protocolo WS-Discovery. WD-Discovery, un protocolo de comunicaciones multidifusión basado en UDP, se utiliza para detectar automáticamente los servicios conectados a World wide web. Los investigadores señalan que no realiza la validación de la fuente IP, por lo que es fácil para los atacantes falsificar la dirección IP de una víctima. Hacer esto dio como resultado que la víctima se inundara con datos de dispositivos IoT cercanos, dicen.

La amplificación reflejada ha sido «altamente efectiva», señalan, con más de 800,000 hosts WS-Directory disponibles para explotar y la amplificación observada alcanza 95x. Los investigadores dicen que estos ataques han alcanzado una escala masiva y representan la mayoría de los ataques DDoS. La mayor parte del inventario se ha encontrado en Vietnam, Brasil, Estados Unidos, la República de Corea y China.

A medida que más dispositivos IoT se conectan a World wide web, y el crecimiento de 5G impulsa la velocidad y la cobertura de la red, los investigadores anticipan que los atacantes continuarán buscando formas de aprovechar el IoT. Los servicios DDoS de alquiler harán que sea aún más simple para cualquier atacante lanzar un ataque destructivo.

DDoS también se está volviendo móvil, descubrieron los investigadores, señalando que la popularidad de las armas DDoS alojadas por operadores de telefonía móvil «se disparó» hacia fines de 2019. La fuente amplificada más reflejada para los ataques DDoS, notaron, era la compañía móvil brasileña Guangdong Cell Interaction Co. Claro fue una de las principales fuentes de drones infectados con malware.

También analizaron las tendencias en torno a los sistemas de números autónomos (ASN), o colecciones de rangos de direcciones IP en una sola entidad o gobierno, que alojan armas DDoS. Las principales ASN que alojan armas DDoS también incluyeron a Guangdong Cellular Conversation Co. y Chinanet, así como Korea Telecom, alineándose con países que también albergan una gran cantidad de ataques DDoS.

Contenido relacionado:

Kelly Sheridan es la Editora de particular de Darkish Reading through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Coverage & Engineering, donde cubrió asuntos financieros … Ver biografía completa

Más suggestions





Enlace a la noticia initial