Las botnets DDoS están arraigadas en Asia y la amplificación …


China, Vietnam y Taiwán son las principales fuentes de actividad de botnets DDoS, pero las principales inundaciones de datos utilizan una variedad de ataques de amplificación, según un informe.

Se utilizaron más de 4,7 millones de fuentes en cinco países (EE. UU., China, Corea del Sur, Rusia e India) para nivelar los ataques distribuidos de denegación de servicio (DDoS) contra las víctimas en el segundo trimestre de 2020, con el protocolo de mapa más se utiliza con frecuencia como un vector de amplificación para crear inundaciones masivas de datos, dice la empresa de servicios y seguridad A10 Networks en su informe de amenazas para el segundo trimestre.

En su informe «Estado de las armas DDoS» para el segundo trimestre de 2020, la compañía descubre que China, Vietnam y Taiwán representaron más de un tercio de todos los clientes de botnets DDoS, mientras que las inundaciones de alto volumen más comunes utilizaron ataques de amplificación a través de portmap, el Protocolo simple de administración de redes (SNMP) y el Protocolo straightforward de descubrimiento de servicios (SSDP).

En su mayor parte, aunque la infraestructura se ha vuelto algo más sofisticada, los ataques se han mantenido igual, dice Rich Groves, director de investigación y desarrollo de A10 Networks.

«Los ataques DDoS han evolucionado para usar más vectores en los últimos años, y esto no es una excepción en el futuro», dice. «En muchos casos, si el tipo de ataque funciona, como muchos reflejos, amplificaciones, inundaciones sincronizadas han funcionado durante años, no se detendrán».

El volumen máximo de los ataques más grandes continúa creciendo. En el primer trimestre de 2020, Amazon Internet Services señaló un aumento del 23% en el número de «eventos volumétricos» como inundaciones de datos, incluido un ataque de reflexión con un volumen máximo de 2,3 terabits por segundo, un ancho de banda más del 70% mayor que el ataque más grande anterior.

El ataque registrado por AWS utilizó un método de amplificación cada vez más común, pero aún no entre los cinco primeros, que abusa del protocolo de Protocolo ligero de acceso a directorios (CLDAP) sin conexión. Si bien se detectaron menos de 16,000 fuentes potenciales, o «armas» en el lenguaje de A10 Networks, de ataques de reflexión CLDAP en el segundo trimestre, los ataques tienden a golpear por encima de su clase de peso, declaró A10 Networks en su informe.

«El ataque AWS muestra que incluso esta superficie de ataque fraccional tiene el potencial de generar ataques DDoS a gran escala y la única forma de protegerse contra estos ataques es realizar un seguimiento proactivo de las armas DDoS y las posibles hazañas», afirma la compañía en el informe.

Diferentes países tenían diferentes colecciones de fuentes DDoS. China, Vietnam y Taiwán tenían los sistemas más comprometidos utilizados por los atacantes como clientes DDoS, con los tres países representando un tercio de todos los agentes de botnets, mientras que Estados Unidos, Corea del Sur y China tenían los servidores más expuestos que fueron utilizados por atacantes para realizar ataques de amplificación.

Los vectores más comunes para los ataques de amplificación DDoS incluyeron 1.8 millones de fuentes de ataques de mapa de puertos, 1.7 millones de ataques SNMP y 1.7 millones de ataques SSDP.

En su mayor parte, los clientes de botnets DDoS, o «drones», se establecieron en dispositivos de World wide web de las cosas (IoT) comprometidos, según el informe. Las vulnerabilidades más comunes utilizadas para establecer tales botnets de IoT atacan vulnerabilidades en dispositivos que exponen una conexión telnet, fallas sin parches en los enrutadores Netgear y problemas de seguridad en las grabadoras de video clip digital, según el informe.

Con más personas trabajando desde casa, estos problemas vulnerables de IoT probablemente empeorarán, dice Groves de A10 Networks. «Desafortunadamente, este comportamiento no se detendrá y solo empeorará a medida que se adopten más dispositivos IoT en el hogar, lo que parece estar sucediendo durante este período de bloqueo», dice.

Mientras que el número full de fuentes de ataques DDoS distribuidos en el segundo trimestre aparentemente disminuyó en un 54% año tras año, A10 Networks cambió su metodología para recopilar datos, enfocándose en fuentes únicas de ataques en la versión más reciente de los datos, lo que lower el número complete de fuentes a la mitad, dice un portavoz.

Si bien el informe «Estado de las armas DDoS» del trimestre precise aún no se ha publicado, A10 Networks planea publicar una publicación de blog site sobre los resultados.

Contenido relacionado:

Regístrese ahora para el Black Hat Usa totalmente digital de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio world wide web de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dim Examining, MIT&#39s Engineering Critique, Well-liked Science y Wired Information. Cinco premios para periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más thoughts





Enlace a la noticia unique