Los ataques DDoS aumentaron y se volvieron más complejos en 2020



La pandemia mundial y la fácil disponibilidad de servicios de alquiler y conjuntos de herramientas de bajo costo dieron a los adversarios más oportunidades de atacar.

El cambio a gran escala al trabajo remoto y la mayor dependencia de los servicios en línea como resultado de la pandemia world de este año brindó a los actores de amenazas nuevas oportunidades para utilizar ataques distribuidos de denegación de servicio (DDoS) para acosar y extorsionar a las organizaciones.

Los proveedores de servicios de mitigación de DDoS informaron un aumento normal en los volúmenes de ataque, la sofisticación de los ataques y la complejidad de los ataques en 2020 en comparación con años anteriores. Los adversarios persiguieron a más organizaciones en más industrias que nunca, y los motivos para lanzar ataques se volvieron tan variados como los propios ataques.

Tom Emmons, arquitecto principal de Akamai, dice que la mayor dependencia de la conectividad remota como resultado de COVID-19 aumentó los niveles de riesgo en common y brindó a los malos actores más oportunidades para monetizar los ataques DDoS.

Las barreras de entrada para los ataques DDoS también se volvieron extremadamente bajas, impulsadas por las mejoras en el conjunto de herramientas y la fácil disponibilidad de los servicios de alquiler que permitieron a los atacantes lanzar ataques más grandes y con más consecuencias, dice Emmons. La combinación de las dos tendencias condujo no solo a un aumento de los ataques sino también, lo que es más interesante, a un cambio de objetivos, dice.

La naturaleza cambiante de los ataques DDoS aumentó la necesidad de estrategias formales de mitigación en muchas organizaciones. «DDoS es un ataque relativamente easy de organizar, ya que todos los sitios world-wide-web y servicios públicos que se enfrentan a Internet son blancos fáciles», dice Mark Kedgley, director de tecnología de New Web Systems (NNT).

Los mejores enfoques de mitigación continúan siendo el uso de redes de distribución de contenido o tecnología de firewall de aplicaciones world wide web para filtrar el tráfico malicioso. «La única defensa actual es utilizar una infraestructura world wide web de proxy inverso y distribución de contenido que multiplique su presencia en la web y distribuya el acceso geográficamente mientras se lleva a cabo un proceso de mitigación para filtrar el tráfico de ataque», dice Kedgley.

Estas son las principales tendencias DDoS para 2020, según Kedgley y otros expertos.

1) La pandemia world wide generó un fuerte aumento de los ataques DDoS
Los actores de amenazas lanzaron más ataques DDoS este año que nunca. Gran parte del aumento estuvo relacionado con el cambio a gran escala al trabajo remoto como resultado de la pandemia mundial. Los adversarios percibieron más oportunidades para atacar a las organizaciones que de repente se vieron obligadas a apoyar a grandes fuerzas de trabajo distribuidas y empleados que iniciaban sesión desde redes domésticas débilmente protegidas.

«Como resultado de la pandemia, vimos una cantidad sin precedentes de sistemas en línea, con recursos corporativos ahora en entornos domésticos menos seguros, y un aumento masivo en el uso de tecnología VPN», dice Richard Hummel, líder de inteligencia de amenazas en Netscout. .

Las proyecciones actuales de Netscout pronostican más de 10 millones de ataques DDoS en 2020, la mayor cantidad en un solo año. Solo en mayo de 2020, Netscout observó unos 929.000 ataques DDoS, el mayor de la historia en un período de 31 días. Durante el apogeo del bloqueo relacionado con la pandemia entre marzo y junio, la frecuencia de los ataques DDoS aumentó un 25% en comparación con el período de tres meses anterior.

Los ataques consumieron enormes cantidades de rendimiento de crimson y ancho de banda y aumentaron los costos tanto para los proveedores de servicios de Web como para las empresas.

Otros proveedores informaron de un aumento very similar en los volúmenes de ataques DDoS. Nexusguard observó un aumento del 287% en los volúmenes de ataques en el tercer trimestre de 2020, y la comunidad de juegos y apuestas en línea fue la más afectada por los ataques.

«Más recientemente, y mientras nos dirigíamos a la temporada navideña con la demanda de compras acumulada impulsada por las restricciones de COVID, nuevamente observamos un aumento significativo tanto en el número de ataques DDoS, hasta un 65%, como en el número de clientes atacados, hasta 57% «, dice Roger Barranco, vicepresidente de operaciones de seguridad world de Akamai.

Contribuir al crecimiento de los volúmenes de ataques fue la disponibilidad relativamente fácil de servicios DDoS por alquiler que permitieron que incluso los actores de amenazas novatos lanzaran ataques de denegación de servicio. En muchos casos, es possible que los actores de amenazas de bajo nivel llevaran a cabo ataques DDoS debido a las bajas barreras de entrada y al potencial de ganancia monetaria, dice Stefano De Blasi, investigador de amenazas de Electronic Shadows. «En 2017, el costo promedio de un servicio DDoS period de alrededor de $ 25», dice De Blasi. «En nuestro análisis reciente, hay servicios similares disponibles por un promedio de poco menos de $ 7», dice.

2) Aumento del número de ataques DDoS de extorsión
En su mayor parte, los actores de amenazas continuaron utilizando los ataques DDoS con fines de distracción más que cualquier otra cosa. En muchos casos, los ataques DDoS se utilizaron como desvío para intentos de exfiltración de datos o para distribuir malware en redes mientras los defensores estaban ocupados mitigando una inundación DDoS.

Al mismo tiempo, los proveedores de servicios de mitigación de DDoS informaron de un aumento en los incidentes en los que los adversarios utilizaron grandes ataques DDoS, o amenazas de ellos, para intentar extorsionar a organizaciones en múltiples sectores.

Un ejemplo fue una campaña grande, y aún en curso, que Akamai y otros informaron por primera vez en agosto sobre actores de amenazas que se identificaron como pertenecientes a grupos previamente conocidos respaldados por el estado nacional: Extravagant Bear, Lazarus Group y Armada Collective. La campaña se dirigió a miles de organizaciones en los sectores de servicios financieros, comercio electrónico y viajes e involucró inundaciones DDoS multivectoriales, algunas de las cuales alcanzaron un máximo de alrededor de 200 Gbps.

Antes de que comenzaran los ataques, los actores de amenazas generalmente enviaban a las víctimas previstas un correo electrónico de extorsión de denegación de servicio de rescate en el que afirmaban que realizarían un pequeño ataque DoS como prueba de sus capacidades. El correo electrónico advirtió a los objetivos de ataques sustancialmente mayores si no se les pagaba un rescate en seis días. La mayoría de las organizaciones que recibieron los correos electrónicos amenazantes cruzaron la marca de los seis días sin más incidentes. Sin embargo, algunos, incluidos algunos muy destacados, experimentaron problemas operativos sustanciales como resultado de los ataques posteriores, según un Aviso del FBI en la campaña.

«Al remaining del día, los actores criminales se tratan de una sola cosa: dinero, dinero y más dinero», dice Barranco de Akamai.

Para DDoS en certain, los adversarios están muy motivados para intentar intentos de extorsión para generar ganancias, dice. El hecho de que la campaña de extorsión DDoS que comenzó en agosto aún esté en curso indica que los actores de amenazas están ganando dinero y que algunas organizaciones de víctimas están pagando el rescate, dice. «Es fácil prever que el problema continuará en 2021 a menos que se realicen arrestos», dice. «Pagar a los actores de la amenaza simplemente los envalentona e incentiva sus esfuerzos criminales».

3) Los ataques multivectoriales se hicieron más comunes
Los ataques DDoS se volvieron más rápidos y mucho más complejos este año. Los adversarios intentaron abrumar las defensas de las empresas con campañas que combinaban múltiples vectores de ataque diferentes en la pink, las aplicaciones y las capas de datos.

Un análisis de los datos de purple que realizó Netscout en 2020 encontró un aumento del 2.815% con respecto a 2017 en los ataques DDoS utilizando 15 o más vectores de ataque. Los más comunes fueron los ataques que abusaron de protocolos como CLDAP y DNS, además de TCP, Chargen, MTP, OpenVPN, SNMP, SSDP y BitTorrent. Otros vectores de ataque comúnmente utilizados incluyen HTML, TFTP, Quake, NetBIOS e IPMI.

Netscout descubrió que incluso cuando los ataques multivectoriales aumentaron drásticamente, el número de ataques DDoS de un solo vector cayó un 43% en la primera mitad de 2020. La duración promedio de los ataques DDoS también disminuyó un 51% en la primera mitad de 2020 en comparación con mismo período del año anterior, acortando la ventana para la respuesta de mitigación.

Todo esto equivale a una mayor complejidad para las organizaciones y un mayor riesgo de tiempo de inactividad del servicio, pérdida de clientes y mayores costos de tránsito y mitigación de la red, dice Hummel de Netscout. «Los ciberdelincuentes se abalanzaron sobre las vulnerabilidades provocadas por la pandemia y lanzaron una cantidad sin precedentes de ataques más cortos, rápidos y complejos diseñados para aumentar el retorno de la inversión», dice Hummel.

Según Akamai, los ataques multivectoriales se volvieron tan comunes en 2020 que alrededor del 33% de los ataques que la empresa mitigó en la primera mitad del año involucraron a tres o más vectores.

4) Los ataques DDoS se hicieron más grandes
La mayoría de los ataques DDoS en 2020 fueron de tamaño relativamente pequeño, como lo han sido en los últimos años. Alrededor del 99% de los ataques DDoS que AWS mitigó en su crimson, por ejemplo, tenían un tamaño de aproximadamente 43 Gbps. Sin embargo, al mismo tiempo, los grandes ataques aumentaron en 2020. En febrero, AWS informó bloqueando un ataque de reflexión CLDAP con un volumen máximo de 2,3 Tbps, que era aproximadamente un 44% más grande que cualquier otro ataque que la empresa había bloqueado anteriormente. Antes de ese incidente, los ataques DDoS más grandes en las redes de AWS eran de menos de 1 Tbps.

A finales de mayo y hasta junio, Akamai informó que mitigó un ataque de 1,44 Tbps que en su punto máximo implicó la asombrosa cantidad de 809 millones de paquetes por segundo. La compañía lo describió como el ataque DDoS más grande y sofisticado que había ayudado a mitigar. «Durante la primera mitad de 2020, se trató de ataques grandes y complejos contra clientes en los servicios financieros y espacios de alojamiento», dice Barranco.

La reflexión UDP fue, con mucho, el vector más comúnmente observado en los grandes ataques DDoS, según AWS. Esto incluyó ataques como la reflexión de NTP, la reflexión de DNS y los ataques de reflexión de SSDP. «Cada uno de estos vectores es identical en el sentido de que un atacante falsifica la IP de origen de la aplicación víctima e inunda los servicios UDP legítimos en World wide web», dijo AWS en su informe de panorama de amenazas para el primer trimestre de 2020. «Muchos de estos servicios lo harán sin saberlo. responder con uno o más paquetes más grandes, lo que da como resultado una mayor cantidad de tráfico hacia la aplicación víctima «.

Hummel dice que los principales factores que impulsaron el ancho de banda y el rendimiento de los ataques DDoS fueron la innovación de los atacantes y el desarrollo e implementación continuos de servidores, servicios y aplicaciones inseguros en Online world. También contribuyeron a la creciente escala de los ataques DDoS los intentos de los atacantes de hacer uso tanto de servidores comprometidos como de un grupo de reflectores ubicados topológicamente cerca de sus objetivos, siempre que sea posible, para obtener la mayor cantidad de tráfico de ataque posible en el objetivo.

5) Los ataques DDoS se dirigieron a más organizaciones en más industrias que nunca
Las organizaciones dentro de las comunidades de juegos de azar y juegos de azar en línea, una vez más, tendieron a ser los objetivos más frecuentes en los ataques DDoS. El setenta y siete por ciento de los ataques DDoS que Nexusguard observó en el tercer trimestre estaban dirigidos a las comunidades de juegos y apuestas.

Sin embargo, en 2020, los atacantes también ampliaron su rango de objetivos para incluir organizaciones en verticales como el comercio electrónico, la atención médica y los servicios educativos. Con más personas trabajando, comprando y estudiando en línea como resultado de las medidas de distanciamiento social relacionadas con la pandemia, los atacantes también dirigieron su atención a sitios net pertenecientes a empresas de servicios de entrega, minoristas y organizaciones que brindan servicios de educación a distancia.

La actividad de los atacantes refleja la tendencia más amplia de los actores de amenazas que se mueven más allá de los sectores de alto riesgo comúnmente asociados con los ataques DDoS a un conjunto mucho más amplio de industrias y verticales para apuntar a la disrupción, dice Barranco. «Hubo un cambio importante en las tendencias DDoS en el que los ataques se distribuyeron entre múltiples verticales en comparación con, por ejemplo, el año pasado, la vertical de juegos se apuntó comparativamente a un nivel mucho más alto», dice.

Según Akamai, las industrias que experimentaron el mayor aumento en los ataques DDoS incluyeron el sector de servicios financieros, que experimentó un aumento interanual del 222% el sector educativo, con un salto del 178% y el sector de World wide web y telecomunicaciones, que experimentó un incremento del 210% con respecto a 2019.

En la semana siguiente al Día de Acción de Gracias, las empresas de servicios financieros fueron más blanco de ataques DDoS que incluso las empresas de juegos en línea, dice Barranco. «A lo largo de 2020, los actores de amenazas DDoS (se ampliaron) más y más profundamente entre una amplia gama de industrias que nunca», señala.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique