2020 marcó un renacimiento en los ataques DDoS



En medio de la pandemia mundial, los ciberdelincuentes aumentaron el uso de una de las técnicas de ataque más antiguas.

Los ataques distribuidos de denegación de servicio (DDoS) han sido un elemento básico de los kits de herramientas del adversario durante más tiempo que quizás cualquier otra técnica de ataque. Sin embargo, su popularidad entre los ciberdelincuentes no muestra signos de disminuir.

De hecho, 2020 fue testigo de lo que algunos proveedores describen como un renacimiento de la venerable técnica de ataque. En medio de los grandes cambios propiciados por una pandemia international, los ciberdelincuentes desplegaron más ataques DDoS contra más organizaciones en más industrias que nunca antes. Los ataques DDoS aumentaron en volumen y el número de ataques que superaron los 50 Gbps también aumentó considerablemente.

Las organizaciones objetivo de ataques DDoS no solo tuvieron que lidiar con campañas volumétricamente más grandes, sino también con ataques que combinaban varios vectores al mismo tiempo y, en algunos casos, duraban más que nunca. Un ejemplo es un ataque que Akamai encontró el año pasado, que superó los 1,4 Tbps y 809 millones de paquetes por segundo.

Los ataques, dirigidos a un gran banco europeo y una empresa de alojamiento de Internet, combinaron hasta nueve vectores de ataque diferentes, incluidos ACK Flood, NTP Flood, SYN Flood, UDP Flood y SSDP Flood. Akamai dice que el 65% de los ataques DDoS que mitigó en 2020 involucraron múltiples vectores, uno involucrado 14.

Una de las tendencias más preocupantes para las organizaciones que los proveedores informaron observar fue un aumento en los llamados ataques DDoS de rescate (RDDoS), donde los adversarios intentaron extorsionar a las organizaciones amenazándolas con ataques DDoS masivos. Varios proveedores, incluidos Akamai, Cloudflare y Neustar, informaron un aumento en estos ataques a partir de mediados de 2020.

«Los ataques DDoS son una amenaza más frecuente que nunca», afirma Michael Kaczmarek, vicepresidente de gestión de productos de Neustar, que el jueves publicó un informe resumiendo la actividad DDoS que observó en 2020.

Mejora aguda
Los datos de Neustar muestran un aumento del 154% en el número complete de ataques DDoS entre 2019 y 2020. El proveedor observó un aumento en el uso de vectores de ataque DDoS existentes, así como un aumento en los ataques RDDoS.

La gran cantidad de ataques en 2020 fue sorprendente, dice Kaczmarek.

«Siempre esperamos que el número de ataques aumente año tras año y trimestre tras trimestre, pero no esperábamos que la cantidad aumentara en más del 150%», dice. «Esto realmente refleja el impacto de la pandemia y el desafiante precedente que la &#39nueva normalidad&#39 ha establecido para la ciberseguridad».

La cantidad de ataques DDoS que involucraron dos o más vectores aumentó del 40% en 2019 al 72% en 2020, agregó Kaczmarek. «Esto significa que tanto los atacantes como las herramientas que utilizan están mejorando», dice.

Según Neustar, si bien el uso de DDoS para intentar extorsionar rescates no es nuevo, estos ataques aumentaron en persistencia, sofisticación y focalización en 2020. Ciberextorsionistas que pretendían pertenecer a conocidos grupos estatales persiguieron a organizaciones en industrias que no se han dirigido regularmente anteriormente, como servicios financieros, gobierno y telecomunicaciones.

«Los ataques RDDoS aumentaron en el cuarto trimestre de 2020 cuando grupos que decían ser Extravagant Bear, Cozy Bear y Lazarus Group intentaron extorsionar a organizaciones de todo el mundo», dice Omer Yoachimik, gerente de producto, protección DDoS en Cloudflare, otro proveedor que observó la misma tendencia. .

Dado que muchas fuerzas laborales siguen siendo remotas, los ciberdelincuentes se están centrando en atacar la infraestructura de back again-conclusion de las organizaciones, que se utiliza para mantener a los empleados conectados y productivos mientras trabajan desde casa, dice Yoachimik.

A diferencia de algunos proveedores, Cloudflare dice que observó un Disminución del número complete de ataques DDoS. dirigido a la capa de pink durante el cuarto trimestre de 2020 en comparación con el trimestre anterior. Al mismo tiempo, sin embargo, hubo un fuerte aumento en los ataques a la capa de purple que promediaron más de 500 Mbps y 50,000 paquetes por segundo y en ataques que duraron más de 24 horas.

«Si bien el número complete de ataques DDoS L3 / L4 disminuyó, el número de ataques más grandes experimentó un aumento», dice Yoachimik. Esto podría ser una indicación de que los malos actores están lanzando menos ataques pero más grandes: ataques que se distribuyen, son más duraderos y emplean múltiples vectores de ataque.

Es difícil decir con certeza por qué los grandes ataques han comenzado a aumentar en número, dice Yoachimik. Pero señala un par de posibles razones. En Mauricio, el país con el nivel más alto de ataques DDoS, una serie de protestas contra el gobierno pueden estar vinculadas al aumento de la actividad DDoS, dice. Rumanía, que ocupa el segundo lugar en la lista de países donde se lanzan la mayoría de los ataques DDoS, tiene la Web de banda ancha ultrarrápida más barata del mundo. Esto ha hecho que sea mucho más fácil para los adversarios lanzar ataques volumétricos desde Rumania, dice.

Reflexión / amplificación RDP
En otro giro, en 2020 los adversarios también intensificaron el abuso del protocolo RDP de Microsoft para la amplificación / reflexión de ataques DDoS, descubrió un estudio de Netscout. Cuando se habilita en el puerto UDP 3389, se puede abusar del servicio RDP para amplificar los ataques en una proporción de casi 86: 1, señaló la compañía en un informe reciente.

Además de causar problemas a las organizaciones objetivo, los ataques que aprovechan el protocolo RDP también infligieron daños colaterales a las organizaciones cuyos servidores se utilizaron para lanzar los ataques, dijo Netscout. Esto incluyó la interrupción parcial e incluso complete de los servicios de acceso remoto y otras interrupciones del servicio causadas por problemas de consumo de capacidad.

«Hemos visto este vector utilizado desde (la segunda mitad) de 2019, dice Richard Hummel, gerente de inteligencia de amenazas de Netscout.» Pero el número de ataques aumentó un 17% solo en la (segunda mitad) de 2020. En overall , observamos casi 12.000 ataques utilizando este vector en 2020 «.

Un aspect que impulsa el interés en este vector de ataque es el fácil acceso a los servicios RDP expuestos a Web, dice.

«En las últimas semanas, hemos visto un aumento significativo en los ataques que aprovechan este vector, lo que nos lleva a creer que se ha armado de tal manera que las herramientas y servicios automatizados ahora pueden aprovechar este protocolo para abusar de los objetivos de los ataques DDoS». Hummel dice.

Recomienda que los operadores de red realicen un reconocimiento para identificar los servidores RDP de Home windows de los que se puede abusar en sus redes o en sus clientes intermedios. «(Ellos) deberían ser accesibles solo a través de servicios VPN para protegerlos del abuso», dice.

Si los servidores RDP que ofrecen acceso remoto a través de UDP no se pueden mover inmediatamente detrás de los concentradores VPN, se recomienda encarecidamente que RDP a través de UDP / 3389 se desactive como medida provisional, aboga.

Kaczmarek señala varias mejoras que se han realizado en el frente de la mitigación para ayudar a las organizaciones a minimizar la interrupción de los ataques DDoS. Entre ellas se encuentran las capacidades para identificar ataques antes, como los pequeños ataques de prueba que los malos actores lanzan antes que el actual, para que las medidas defensivas se puedan implementar más rápidamente. De manera similar, la disponibilidad de servicios de mitigación siempre activos y los avances en la seguridad de las aplicaciones y los firewalls de aplicaciones website han marcado la diferencia, dice.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic