Alerta de Emergencia: Incremento de ataques DDoS en los últimos meses

Los ataques de denegación de servicio distribuidos (DDoS - Distributed denial-of-service) tienen la finalidad de interrumpir la disponibilidad de una red o un servidor. Estos se realizan mediante un crecimiento exponencial del volumen de datos en la red dirigidos a un equipo que proporciona uno o más servicios.

Según un reciente informe de un grupo de expertos en Ciberseguridad se ha incrementado por tres los ataques DDoS en comparación con el año pasado durante este último trimestre. Algo que no es de extrañar, debido a que la situación de la pandemia de COVID-19 ha cambiado la forma en que muchas organizaciones realizan sus actividades, cambiando la mayor cantidad posible a trabajos remotos.

Según los expertos, al analizar el tráfico de comandos generado por los bots de los servidores de comando y control (C2) causantes del volumen de tráfico en el segundo trimestre del 2020, se detectó un incremento del 217% más que el año 2019 durante ese mismo trimestre. Cabe destacar que en años anteriores, la tendencia siempre era observar un incremento drástico durante el inicio del año (durante la mayor actividad empresarial) y decrecía durante los periodos de vacaciones o a los últimos meses del año. Estos datos podrían interpretarse, debido a que los empleados posiblemente por la situación mundial han permanecido este año más tiempo conectados realizando sus actividades laborales, causando que los ciberdelincuentes se adapten y haciendo que sea aún más común los ataques DDoS. Un ejemplo comparativo, el número de ataques del segundo trimestre del año 2019 cayó un 39% en comparación con el mismo periodo del 2018.

El periodo de duración de los ataques en comparación con el primer trimestre del año pasado no varió mucho, obteniendo un aproximado de 20 minutos. Aunque los ataques DDoS dirigidos, poseen una duración más alta en comparación con los DDoS más generalizados, manteniendo una duración de varias horas. Vale la pena destacar que durante este segundo trimestre 2020, los investigadores pudieron observar ataques dirigidos con una duración más prolongada, aumentando por 4,5 en comparación con el segundo trimestre 2019.

Comparación de duración de ataques DDoS entre el primer y segundo trimestre 2020 y segundo 2019, tomando como 100% el segundo trimestre 2019 - Kaspersky 

Crecimiento que al parecer no va a detenerse, recientemente varias empresas de servicios de telecomunicaciones y redes empresariales financieras Húngaras sufrieron de un ataque DDoS, según el análisis forense publicado el sábado, el ataque fue realizado desde varios servidores ubicados en Rusia, China y Vietnam. Cabe destacar que dicho ataque el volumen de datos detectado fue 10 veces más alto que los observados con anterioridad en otros eventos DDoS. 

Según la compañía de telecomunicaciones atacada, el ataque fue realizado en varias oleadas, dirigido hacia entidades financieras y por la gran magnitud del volumen de tráfico de datos, su servicio de telecomunicaciones también se vio afectado en varias partes de la capital Budapest por un breve periodo, hasta que lograron repeler el ataque.

Este tipo de ataque tiene también sus variables, como es el caso de algunos eventos sucedidos hace pocas semanas en varias partes del mundo, estos han consistido en una campaña de otra variable de ataques de tipo DDoS, denominados Ransom Denial of Service (RDoS), dichas campañas consisten en extorsionar a una o más organizaciones mediante el envío de una carta amenazadora (Generalmente por E-mails), en donde los atacantes solicitan dinero a cambio de no realizar un ataque DDoS que elimine la disponibilidad de un servicio en un servidor o una red entera.

La reciente amenaza a entidades financieras alrededor del mundo, ha sido atribuida al grupo Ruso de ciber espionaje APT28 conocidos también por nombres como Fancy Bear, Pawn Storm, Sofacy Group y Tsar Team, reconocidos por piratearía internacional y operaciones para influenciar mediante campañas de desinformación. Algo que no se ha determinado por investigación, sino que ellos mismos se los han imputado la campaña al presentarse en las cartas recibidas.

Característica de ataques:

- Los ataques son lanzados desde su propia Botnet.

- Capacidad de enviar un gran volumen de tráfico (entre 40 a 60 Gbps).

- El volumen de tráfico es distribuido a varios vectores de ataques de forma simultánea. 

- Suelen durar entre 15 a unas pocas horas.

- Inundación mediante protocolos:

1. SSDP
2. NTP
3. DNS
4. CLDAP
5. WSD
6. ARMS
7. SYN
8. ICMP

El más notable vector de ataque entre los mencionados es el uso del protocolo Web Service Dynamic (WSD) - UDP/3702, cabe destacar que el más reciente vector de ataque agregado es el uso del protocolo de Apple, Apple’s Remote Management Service (ARMS) - UDP 3283.

Vector de ataque WSD a través de DDoS-for-Hire

Como recomendación para protegerse de los ataques DDoS:

1. Contar con una Protección DDoS Híbrida, tanto on premises como en la nube (scrubbing center).
2. Utiliza herramientas que puedan realizar detecciones basadas en el comportamiento.
3. Contar con tecnologías que tengan la capacidad de crear firmas de mitigación en tiempo real.
4. Confecciona un plan de respuesta ante emergencias
5. Supervisa con un equipo y aplica inteligencia sobre actores maliciosos. 
6. Apégate a frameworks como OWASP y revisa tus aplicaciones
7. Protege tus API con WAF.
8. Protege tus aplicaciones vía RASP.
9. Utiliza tecnología que permita proteger contra Bots maliciosos.

Si quieres conocer más de nuestras soluciones y cómo te ayudamos a protegerte de este tipo de ataques escríbenos a contacto@arkavia.com

Referencias:

Los ataques DDOS se triplican en el segundo trimestre de 2020

Ataques DDoS en el segundo trimestre de 2020

Hungarian banks, telecoms services briefly hit by cyber attack: Magyar Telekom

Reporte de Radware: Global RDoS Campaign – Fancy Bear