Otro cambio de señales de ataque DDoS que rompe récords …


Las fuentes maliciosas de botnets explotan en nuevos ataques que superan los límites en términos de volumen y duración.

El mes pasado se produjo una serie de ataques de denegación de servicio (DDoS) que rompieron récords y se distribuyeron intensamente durante mucho tiempo a proveedores de web hosting y empresas, lo que sugiere un cambio en las herramientas y el abastecimiento de botnets entre los actores de amenazas profesionales más avanzados.

El último ataque fue revelado por los investigadores de Akamai, quienes informaron hoy otra marca alta. El 21 de junio, su equipo mitigó el mayor ataque DDoS de paquetes por segundo que habían registrado en su plataforma, uno que duplicaba el volumen del pico anterior de paquetes por segundo.

En su apogeo, el ataque buscó abrumar a su objetivo, un gran banco europeo, con 809 millones de paquetes por segundo. El ataque aumentó rápidamente, pasando de patrones de tráfico normales a su volumen máximo en dos minutos y con una duración de poco menos de 10 minutos. Los ataques DDoS basados ​​en paquetes funcionan con el mismo principio standard que los ataques más comunes de bits por segundo, ya que ambos intentan abrumar la infraestructura de la empresa objetivo, solo de maneras ligeramente diferentes. Mientras que los ataques volumétricos de bits por segundo intentan sobrecargar la tubería entrante, los ataques volumétricos de paquetes por segundo funcionan para agotar los recursos internos de la purple.

«Una forma de pensar en la diferencia en los tipos de ataques DDoS es imaginar una caja de supermercado. Un ataque de gran ancho de banda, medido en bps, es como mil personas apareciendo en línea, cada una con un carrito lleno listo para pagar » explica Tom Emmons en una publicación de site hoy. «Sin embargo, un ataque basado en PPS es más como un millón de personas que se presentan, cada una para comprar un paquete de chicles. En ambos casos, el resultado last es un servicio o pink que no puede manejar el tráfico que se le arroja».

Según su colega Roger Barranco, vicepresidente de operaciones de seguridad world-wide en Akamai, desde hace poco más de un año, los atacantes han comenzado a cambiar ligeramente hacia ataques con bits más bajos por segundo y paquetes más altos por segundo, probablemente buscando puntos débiles en DDoS empresariales medidas de mitigación, que a menudo están mejor equipadas para ataques frecuentes de ancho de banda.

«Dado que los ataques centrados en bps fueron históricamente más comunes, se construyeron más defensas para defender ese vector, lo que resultó en una menor cantidad de posturas defensivas de ataque de pps, lo que en algunos casos fue una grieta en la armadura de muchas empresas», dice. «Relacionado, el reciente ataque de 809 millones de pps que mitigamos estableció un nuevo estándar para que las empresas lo consideren al realizar una evaluación de riesgos».

La verdad es que los delincuentes han estado subiendo el calor con volúmenes cada vez más altos de ambas variedades de ataque últimamente. El anuncio de este DDoS basado en paquetes se make solo una semana después de que Akamai presentara la noticia de que recientemente también había rechazado el mayor ataque de ancho de banda. Dirigido a un sitio net de un importante proveedor de alojamiento, ese ataque a principios de junio registró 1,44 terabits por segundo. Fue seguido de cerca por un ataque de 500 gigabits por segundo contra un sitio world wide web diferente alojado por el mismo proveedor. El ataque puede no ser tan innovador para muchas organizaciones bien equipadas como ese proveedor, pero sin embargo fue masivo.

«El contexto es importante aquí. Por ejemplo, aquellos con una infraestructura masiva y recursos calificados asociados pueden no entusiasmarse demasiado con un ataque de 500 Gbps, pero les garantizo que es un porcentaje infinitesimal de empresas que tienen la tubería y el equipo en su lugar eso puede bloquear un ataque de 500 Gbps y al mismo tiempo permitir que el tráfico saludable los alcance «, dice Barranco. «Podemos estar viendo una nueva normalidad en la que un ataque con terabit furthermore ya no se considera una excepción extrema».

Al igual que el ataque basado en paquetes revelado hoy, el ataque de ancho de banda histórico duró solo unos 10 minutos. Esto es más riguroso para la mayoría de los ataques DDoS de todos los tamaños de volumen. De acuerdo a investigación de Imperva, aproximadamente el 26% de todos los ataques duran menos de 10 minutos y el 29% dura solo de una a seis horas. En mayo, alrededor del 70% de los ataques duraron menos de 24 horas. Esto es principalmente una función del hecho de que por lo general solo lleva tanto tiempo para que los malos alcancen sus objetivos de ataque DDoS.

«Como los métodos para llevar a cabo DDoS se han vuelto más avanzados, lo que lleva a una mayor accesibilidad para aquellos sin habilidades técnicas, históricamente hemos visto que la mayoría de los atacantes preferirían no perder tiempo y recursos para lograr su prueba de impacto», explica Nadav Avital, jefe de investigación de seguridad en Imperva.

Sin embargo, el equipo de Avital destacó esta semana los hallazgos de algunos ataques DDoS de aplicación excepcionalmente largos que Imperva mitigó en mayo y que tienen algunas similitudes sorprendentes con los ataques de gran volumen encontrados por Akamai. Laboratorios de investigación Imperva reportado que dos ataques inusualmente largos el mes pasado duraron entre cinco y seis días.

«Los ataques más largos, como los que se llevaron a cabo en mayo, sugieren que son el trabajo de más actores malos profesionales que usan sus propias redes de bots para llevar a cabo ataques persistentes», dice Avital.

Imperva informó que estos dos ataques muy largos fueron perpetrados por botnets que usaban hasta 10 veces la cantidad de fuentes de IP maliciosas que se encontraron en ataques promedio recientemente. Esto se hace eco de los hallazgos de Akamai sobre las fuentes maliciosas de tráfico que alimentan el ataque récord anunciado hoy, que utilizó 600 veces el número de IP de origen por minuto de lo que normalmente ve.

«En los últimos dos años, aunque la frecuencia de DDoS ha aumentado, no ha aumentado en tamaño y complejidad al mismo ritmo que se agrega IoT a Internet», explica Barranco, quien dice que después de Mirai World-wide-web of Items (IoT) el ataque fue desactivado, muchos de los DDoS más intensos comenzaron a secarse. Estos ataques recientes indican que esta calma podría estar llegando a su fin.

«Esto me lleva a creer que hay herramientas DDoS recientemente apalancadas disponibles, posiblemente para un grupo más pequeño de actores malos, pero esas herramientas siempre terminan estando generalmente disponibles para un público más amplio que, comprensiblemente, es preocupante para muchos», dice.

Barranco dice que su equipo todavía está investigando las herramientas utilizadas en ambos ataques récord, pero sospechan que no son necesariamente nuevas, simplemente se están utilizando de manera más organizada y enfocada.

«Creo que las herramientas en sí mismas pueden no haber sido novedosas, pero el uso coordinado de las herramientas y, de gran importancia, el aumento dramático en las fuentes de ataque aprovechadas por la herramienta es novedoso», dice. «El hecho de que muchos de estos ataques estén a plena potencia en un par de minutos es impresionante».

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse para este evento bajo demanda.

Ericka Chickowski se especializa en cobertura de tecnología de la información e innovación empresarial. Se ha centrado en la seguridad de la información durante la mayor parte de una década y escribe regularmente sobre la industria de la seguridad como colaboradora de Darkish Looking through. Ver biografía completa

Lectura recomendada:

Más strategies





Enlace a la noticia unique