Qué impulsa los ataques DDoS y por qué debería ser una preocupación

• jueves 22 septiembre, 2022

¿Qué es un ataque DDoS?  

DDoS significa ataques de denegación de servicio distribuidos. Ignoremos el Distribuido por ahora, ya que se refiere principalmente a la técnica y centrémonos primero en la Denegación de servicio. Como implica el término, el objetivo de un ataque DoS es interrumpir o denegar servicios de usuarios legítimos. Un servicio puede ser cualquier cosa, incluidos sitios web que brindan información, servicios en línea como sitios de comercio electrónico o servicios de back-end como procesamiento de pagos, la comunicación entre organizaciones y aplicaciones en la nube, la conectividad de sensores o procesos industriales controlados a distancia por Internet.

Los objetivos de los ataques incluyen la desfiguración, crear un impacto en la economía de una organización o nación al afectar la productividad, crear caos o como una cortina de humo para ocultar otro ataque. Abrumar una red con tráfico aleatorio distraerá a los defensores y les dará a los atacantes la oportunidad y el tiempo para realizar actividades maliciosas mientras pasan desapercibidos, ya que los defensores se enfocan en el problema más impactante, que es el ataque de denegación de servicio.

Dependiendo del objetivo, los ataques de denegación de servicio se pueden realizar de diferentes formas. Un ataque de denegación de servicio volumétrico, por ejemplo, tiene como objetivo saturar las conexiones al servicio o entre las organizaciones y la nube o entre las sucursales y la sede, básicamente, obstaculizando todas las comunicaciones legítimas y deteniendo todo el tráfico de datos.

Un ataque de denegación de servicio también puede estar dirigido a un servicio específico como un sitio web, una API o un servicio de nombres de dominio (DNS), en cuyo caso los recursos del servidor son el objetivo. Dichos ataques a la capa de aplicación o L7 pueden interrumpir por completo el servicio o pueden ser más insidiosos, como ataques bajos y lentos que consumen recursos e impactan en la experiencia del usuario, lo que obliga al propietario del servicio a invertir en más recursos, como CPU, memoria o ancho de banda para mantener un nivel aceptable de servicio. Si dichos ataques pasan desapercibidos durante mucho tiempo, pueden agotar la viabilidad económica de una empresa o servicio.

Otro tipo de ataques de denegación de servicio, excepcional pero lo suficientemente importante como para considerarlo una amenaza, son las vulnerabilidades en el software o el hardware que pueden provocar la caída de un proceso, la detención o el reinicio de un dispositivo, simplemente enviando paquetes con formato incorrecto. Un solo paquete puede resultar en procesos emocionantes sin razón o largos ciclos de reinicio y puede ser muy disruptivo si no se descubre a tiempo. Dado que el ataque consiste en un solo paquete, encontrar al culpable entre millones de paquetes y conexiones puede ser una tarea desalentadora y, en su mayoría, estos ataques se descubren analizando los volcados de memoria de los núcleos o procesos. La mayoría de estos exploits tienen una vida útil corta porque una vez que se descubre la vulnerabilidad, se puede parchear y actualizar los sistemas o las firmas de red puede prevenir fácilmente este ataque. Sin embargo, vienen de vez en cuando.

Realizar un ataque de Denegación de Servicio no requiere una gran habilidad o conocimiento específico, en la mayoría de los casos requiere conocimiento de la ubicación del servicio, su dirección IP por ejemplo y una infraestructura suficientemente poderosa para realizar el ataque. La infraestructura de ataque puede consistir en servidores en la nube, pero los atacantes también pueden aprovechar una gama cada vez mayor de dispositivos IoT de consumidores y prosumidores, como cámaras IP y enrutadores, y esclavizarlos para realizar ataques distribuidos a gran escala. Debido a que el tráfico de ataque se origina en todas partes del mundo y desde diferentes dispositivos, nos referimos a estos ataques como ataques de denegación de servicio distribuido.

Qué no es un ataque DDoS 

A medida que siguió, probablemente notó que no hay infiltración de redes o violación de servidores involucrados en ataques de denegación de servicio. Una organización que sufrió un ataque de denegación de servicio no estará sujeta a datos robados ni tendrá software malicioso persistente en su infraestructura como resultado. Con la excepción de DDoS como cortina de humo, una vez que se detiene el ataque DDoS, la organización puede recuperar sus servicios y continuar con sus operaciones, a diferencia del ransomware, en el que la organización normalmente queda inoperativa hasta que recupera o restaura sus sistemas internos, y incluso ellos pueden tardar días, semanas o meses en recuperar completamente todos los servicios y operaciones.

Sin embargo, la otra cara de la moneda es que los atacantes pueden realizar ataques DDoS con muy pocas preocupaciones de ser atrapados. Al aprovechar los dispositivos IoT, la suplantación de identidad y la reflexión, se vuelve muy difícil, casi imposible incluso, atribuir el tráfico a actores específicos. El umbral para realizar un ataque DDoS es, en consecuencia, mucho más bajo en comparación con la infiltración y extracción de información de redes privadas.

¿Qué tan grande es la amenaza de los ataques DoS? ¿Qué organizaciones o industrias están particularmente en riesgo? ¿Quiénes son los actores detrás de esos crímenes? ¿Qué buscan y qué los motiva?

A partir de 2020, hemos sido testigos de un aumento en la actividad DDoS impulsada por las campañas Ransom DoS que se han convertido en una parte persistente del panorama de amenazas DDoS, así como varios eventos políticos y sociológicos como elecciones, #blacklivesmatter y luchas dentro y entre naciones.

Para comprender la amenaza y evaluar el riesgo para su organización, debe comprender a los actores, quiénes son y cuáles son sus objetivos. Sepa cómo suelen realizar los ataques. Las tácticas y técnicas aprovechadas por los actores maliciosos dependerán de su objetivo y nivel de habilidad. Y finalmente, el actor requiere algo que sea valioso para usted y que pueda impactar: ​​aquí es donde se encuentran las oportunidades para los actores malintencionados y, por lo general, consisten en activos o vulnerabilidades importantes y valiosos.

Crimen organizado 

El ransomware ha visto un enorme crecimiento y evolución en las tácticas de los operadores y afiliados que se están organizando mejor. Los operadores de ransomware han evolucionado sus tácticas para triplicar la extorsión, no solo encriptando sistemas, sino filtrando datos confidenciales y amenazando con publicar los datos a cambio de un rescate. Si la víctima no cumple o se resiste, recurre a los ataques DDoS para que sus víctimas vuelvan a la mesa de negociación.

Desde agosto de 2020, hemos visto campañas de extorsión por denegación de servicio o Ransom DoS dirigidas a todas las verticales en todo el mundo. Campañas que fueron muy persistentes y donde los actores que se hacían pasar por Fancy Bear, el grupo Lazarus o el colectivo Armada enviaban mensajes de correo electrónico amenazantes a las organizaciones. Amenazar a la organización con que fueron elegidos como objetivo para su próximo ataque DDoS, refiriéndose a algunos de sus trabajos anteriores y continuando que muy pronto comenzarán un gran ataque DDoS. Para demostrar que sus amenazas deben tomarse en serio, realizarán un pequeño ataque utilizando solo una fracción de su infraestructura de ataque en un activo determinado de la organización amenazada.

Para evitar el ataque, proponen pagar un rescate de 10 a 20 bitcoins a una dirección de bitcoin específica. Si no paga antes de que comiencen los ataques, aumentará la tarifa con 5 o 10 bitcoins por cada fecha límite incumplida mientras continúa el ataque.

Entre octubre y noviembre, las cartas de rescate parecen disminuir y desaparecer. Hasta la segunda quincena de diciembre donde empezamos a escuchar de clientes que recibían nuevas cartas. Las organizaciones que fueron atacadas antes y recibieron una carta de rescate ahora estaban sujetas a una segunda carta que decía que los atacantes estaban ocupados con proyectos más rentables y ahora están de vuelta. Se refieren a la misma dirección de bitcoin y piden un rescate de entre 5 y 10 bitcoin. El rescate más bajo se explicó por el aumento en el valor de bitcoin que aumentó en diciembre a más del 100% en comparación con principios de ese año. Dijeron que nunca se darían por vencidos y que siempre regresarán hasta que les paguen.

Llegado marzo de 2021 y cuando comenzamos a dejar atrás la última campaña de Ransom DoS, solo tomaría hasta mayo cuando comenzaran a aparecer nuevas letras. Esta vez un grupo, muy probablemente sin relación con los actores de las campañas anteriores, se hacía pasar por ‘Fancy Lazarus’. Un apodo inventado específicamente para infundir aún más miedo a las víctimas mediante la combinación de Fancy Bear, el APT ruso, conocido por sus vínculos con el gobierno ruso y la promoción de los intereses políticos del gobierno ruso y el grupo que se cree que es responsable de piratear el Comité Nacional Demócrata. correos electrónicos en un intento de influir en el resultado de las elecciones presidenciales de Estados Unidos de 2016, ataques cibernéticos a los parlamentos alemán y noruego, la estación de televisión francesa TV5Monde, la Casa Blanca, la OTAN,

Y Lazarus Group, la APT de Corea del Norte que se cree que es una organización de piratería patrocinada por el estado responsable del ataque de 2014 a Sony Pictures, el banco de 2016 hiest en el banco de Bangladesh donde se salieron con la suya con 81 millones de dólares. Esta vez, el actor o grupo malicioso se dirigía principalmente a activos desprotegidos de organizaciones en diferentes verticales. Pedir un rescate de 0,5 a 5 bitcoins para evitar el ataque.

Septiembre de 2021 estuvo marcado por ataques DDoS que afectaron el servicio en los proveedores de telecomunicaciones de VoIP en el Reino Unido y Canadá. A partir del 1 de septiembre, el operador de VoIP con sede en la costa sur del Reino Unido, Voip Unlimited, reveló que se vio afectado por un ataque DDoS sostenido y a gran escala que creía que se originó en el grupo de ransomware ruso «REvil» luego de lo que describieron como una «demanda de rescate colosal». Después de 75 horas de ataques continuos, el 3 de septiembre, Voip Unlimited informó una pausa en el tráfico malicioso y confirmó unos días después que no observó más ataques. Al mismo tiempo, también a partir del 1 de septiembre, Voipfone, con sede en Londres, informó que sufrió cortes en los servicios de voz, llamadas entrantes y salientes y servicios de SMS. Más tarde se confirmó a los clientes por correo electrónico que los servicios de Voipfone habían sido «interrumpidos intermitentemente por un ataque DDoS». El 16 de septiembre, un proveedor canadiense de servicios de telefonía, VoIP.ms, anunció que se dio cuenta de problemas que impedían que los clientes accedieran a su sitio web y que estaban trabajando para encontrar una solución.

Una semana después, el problema seguía en curso y se atribuyó a ataques DDoS persistentes y agresivos que causaron interrupciones en las llamadas telefónicas y los servicios. Los mensajes públicos intercambiados en Twitter entre VoIP.ms y los actores de amenazas con el identificador @REvil92457183 proporcionaron más información. Los actores de la amenaza detrás del ataque DDoS se llamaban «REvil», pero no hay evidencia de que representen a la misma pandilla de ransomware REvil que se sabe que atacó previamente a empresas destacadas, incluido el procesador de carne más grande del mundo, JBS. Como operador de ransomware, no se ajusta a las tácticas, técnicas y procedimientos (TTP) de REvil para realizar ataques de extorsión DDoS. Sin embargo, no se puede excluir. No sería la primera vez que un grupo criminal diversifica sus actividades.

Una nota de Pastebin ahora eliminada establecía la demanda de rescate inicial en 1 bitcoin, o un poco más de US $ 42,000 (en el momento de la publicación). Sin embargo, solo dos días después de la demanda inicial, la cuenta de Twitter @REvil92457183 aumentó la demanda a 100 bitcoins, o más de 4,2 millones de dólares estadounidenses, cuando envió un mensaje: «Ok, basta de comunicación… El precio para que nos detengamos ahora es 100 Bitcoin en el Pastebin Dirección BTC. Estoy seguro de que sus clientes apreciarán su actitud de 0 f…s dado en múltiples juicios. REvil”. Los actores utilizaron Twitter para denunciar los ataques y condenar a VoIP.ms por no pagar, en un intento de hacer que sus clientes y socios presionen al proveedor de servicios para que pague el rescate y los libere de las interrupciones del servicio. Los operadores de ransomware usan tácticas de presión similares, como la filtración de nuevas víctimas y datos confidenciales obtenidos de las víctimas en sus sitios de relaciones públicas de la web oscura. Los mensajes de VoIP.ms en Twitter muestran que los ataques se dirigieron inicialmente a los servicios de nombres de dominio de VoIP.ms. VoIP.ms mitigó estos ataques al pedir a los socios y clientes que codificaran las direcciones IP del servicio en sus sistemas.

El 7 de octubre, Voip Unlimited volvió a informar sobre pérdidas intermitentes de conectividad y servicios de voz mientras sus ingenieros trabajaban para mitigar los ataques DDoS contra sus plataformas de telefonía. Los problemas se informaron por primera vez en su página web de estado del servicio en la noche del 7 de octubre. En la noche del 8 de octubre, VoIP Unlimited seguía informando interrupciones causadas por ataques DDoS en curso contra sus clientes.

hacktivista 

Muy al contrario del crimen organizado, estos actores maliciosos no están motivados por ganancias financieras sino principalmente por ideas políticas o ideológicas. Están destinados a la desfiguración, el engaño y la destrucción o interrupción de sitios web y recursos, todo con el objetivo de promover una agenda política o un cambio social. Las empresas pueden verse enredadas y en el punto de mira de los hacktivistas sin siquiera tener control sobre la situación. Estos grupos suelen ser poco sofisticados, pero dependen de su gran número de seguidores y de las redes sociales para realizar y promover campañas de ataque. Utilizan foros privados para distribuir y educar a sus seguidores sobre las herramientas de denegación de servicio. Estas herramientas son típicamente antiguas y muy simples, bien conocidas y disponibles públicamente. Sin embargo, en manos de una multitud lo suficientemente grande, estas simples herramientas de ataque se convierten en armas distribuidas muy efectivas.

Empleados descontentos y clientes enojados 

Otro grupo de atacantes típicamente menos sofisticados, que operan como lobos solitarios, son empleados descontentos y clientes enojados. La industria del juego y las apuestas es frecuentemente el blanco de clientes insatisfechos que actúan sobre emociones inflamadas y motivados por la ira al perder grandes cantidades de dinero en las apuestas. Pero también vemos a este grupo en otras verticales, como cuando un sitio web anuncia información incorrecta, una entrega incorrecta o inadecuada de bienes o servicios, etc.

Dadas sus necesidades de acceso inmediato y temporal a una herramienta adecuada, este grupo recurre principalmente a portales DDoS como servicio disponibles públicamente que brindan acceso conveniente y basado en suscripción a botnets DDoS y servidores de ataque. Con solo unos pocos clics, estos actores pueden interrumpir fácilmente los recursos en línea y dañar la reputación de las empresas.

Estados nacionales 

Los Estados nacionales, por otro lado, tienen la experiencia y los recursos para construir grandes armas de destrucción, tanto en el mundo físico como en el cibernético. Principalmente conocido por usar armas cibernéticas para causar interrupciones y caos en un intento de desestabilizar economías o regímenes. La infraestructura crítica, como las redes eléctricas, las tuberías de combustible, el suministro de agua, pero también las instituciones financieras, pueden ser el objetivo de naciones competidoras y ser víctimas de ataques a gran escala, entre los cuales los DDoS son muy efectivos ya que la atribución es muy difícil y uno de los principales objetivos de ataques de estados nacionales no es quedar atrapado en el acto o tratar de influir en la política exterior culpando a otra nación.

Competidores 

Finalmente, quiero destacar un grupo de amenazas frecuentemente olvidado que está más presente de lo que la mayoría sospecharía: los competidores. Como era de esperar, el objetivo de este grupo es obtener una ventaja competitiva destruyendo la reputación, robando propiedad intelectual o rebajando los precios de las empresas y naciones competidoras. Este grupo recurrirá a herramientas de ataque automatizado, como bots para recopilar información, algunos contratarán atacantes para interrumpir los servicios, mientras que otros intensificarán el juego y patrocinarán grupos para infiltrarse y robar información confidencial y sensible.

A raíz de los ataques de la botnet Mirai contra Krebs, OVH y Dyn DNS, se observó y detuvo a un actor con el nombre de «mejor compra» mientras intentaba esclavizar a 900.000 de los módems de Internet para consumidores de Deutsche Telecom. Bestbuy, o Daniel Kaye en la vida real, ya poseía una red de bots basada en Mirai de 400 000 bots en ese momento. Comenzó su proyecto luego de ser contratado por el CEO de Cellcom Liberia para destruir la reputación de Lonestar MTN, el mayor competidor de Cellcom en Liberia. Daniel inició sus ataques a través del servicio de estrés más renombrado del momento: ‘vDoS’. vDoS no le proporcionó el poder necesario para interrumpir una gran organización móvil como Lonestar. Dada la reciente publicación del código fuente de la botnet Mirai, recogió el código y construyó su propia botnet. En noviembre de 2016, en un intento de interrumpir los servicios de Lonestar MTN, Daniel Kaye, hacker de alquiler, interrumpió la conectividad a Internet de toda Liberia. Daniel Kaye fue detenido en enero de 2019 en el aeropuerto de Luton en Londres, Reino Unido, mientras viajaba a su hogar en Chipre después de reunirse con su contacto de Cellcom.

¿Qué herramientas y técnicas prefieren usar los atacantes para los ataques DoS?  

Los actores menos sofisticados buscarán portales DDoS-as-a-Service. Estos portales están ampliamente disponibles en la red clara y se pueden encontrar mediante una simple búsqueda en Google. Las plataformas DDoS-as-a-Service, también conocidas como booters o stressers, ejercen suficiente poder de ataque para impactar a la mayoría de las organizaciones.

Para aquellos con mayores ambiciones, como los grupos del crimen organizado o los piratas informáticos a sueldo, los servicios de estrés generalmente no brindan la escala, la flexibilidad o el retorno de la inversión. Tienden a construir sus propias herramientas de ataque que consisten en botnets e infraestructura de ataque. Las redes de bots se utilizan normalmente para generar ataques de gran cantidad de paquetes o solicitudes por segundo que agotan los recursos de los dispositivos o servidores de red. Los servidores de ataque se utilizan normalmente para realizar ataques de reflexión y amplificación. Estos servidores buscan servicios de Internet que permitan ataques de amplificación, como DNS, NTP, SSDP y Memcached, entre otros. Una vez que se compilan las listas de servidores de amplificación, el servidor de ataque aprovechará aquellos en ataques DoS volumétricos de saturación de enlace ascendente. No se equivoque, Internet está lleno de posibilidades de amplificación. No es necesario que los puntos de reflexión sean servidores grandes. Hemos observado muchos ataques que aprovechan marcas de enrutadores conocidas que exponen servicios de DNS que permiten la recursividad de forma predeterminada. En 2021, los investigadores académicos publicó  un artículo que detalla nuevas formas de aprovechar los paquetes TCP falsificados para generar ataques de amplificación DDoS devastadores con factores de amplificación que van desde 50 000 a 100 000 000.

¿Cómo puedes protegerte? ¿Qué mecanismo de defensa es el más eficaz?  

Según nuestra experiencia, una solución basada en la nube es la más efectiva para detener todos los ataques, incluso aquellos ataques volumétricos que superan la capacidad de los enlaces de Internet del sitio protegido. La solución definitiva para las empresas que requieren la latencia más baja y la mejor protección es una solución DDoS híbrida. Esta opción combina detección y prevención en las instalaciones, mientras que se desvía automáticamente a un centro de depuración en la nube cuando los volúmenes de ataque amenazan con saturar los enlaces de Internet.

El futuro del panorama de amenazas DDoS  

A medida que crecen los anchos de banda de las interconexiones, las nubes y las conexiones a Internet, los ataques son cada vez más grandes y más impactantes. Nuestros negocios y vidas (domótica, transmisión en línea, automóviles conectados) dependen cada vez más de la conectividad a Internet. La digitalización se aceleró durante la pandemia, y eso significa que hay más oportunidades de impactar a empresas y personas a través de ataques DoS. Motivado por el éxito de las campañas de ransomware anteriores, existe una buena probabilidad de ver un aumento en los intentos de DoS de rescate en el futuro cercano.

Con un crecimiento constante de eventos maliciosos bloqueados por cliente, no parece que los ataques DDoS vayan a desaparecer pronto. Con todas las vulnerabilidades reveladas en los últimos años, la oportunidad de construir grandes botnets y abusar de servicios de amplificación más capaces sigue creciendo. A medida que digitalizamos nuestros negocios y nuestras vidas mediante la migración de aplicaciones a la nube, creando dependencias totalmente entrelazadas entre las aplicaciones móviles y en línea, dependiendo cada vez más de los servicios y API web proporcionados por terceros, automóviles conectados, hogares conectados, consumo de video en línea, empezamos a depender cada vez más de la nube y la conectividad y nos hacemos más vulnerables y creamos más oportunidades para que la gente mala abuse.

Motivado por el éxito de las campañas de ransomware, existe una alta probabilidad de ver un aumento en los intentos de Ransom DoS en el futuro cercano. Mi equipo de investigadores está alineado en un futuro que traerá más y más oportunidades y ataques de denegación de servicio, por lo que estamos observando muy de cerca los movimientos, tácticas y técnicas de los actores maliciosos en el panorama de amenazas DDoS, informando y compartiendo nuestros observaciones y tratando de ayudar a las empresas a protegerse a tiempo y con precisión para que los malos puedan tener poco o ningún impacto con sus embestidas. Al igual que con la mayoría de las amenazas a la seguridad, si puede alejar la economía de la amenaza, los ataques y los atacantes se desvanecerán lentamente. Pero es en gran medida un círculo perpetuo que nos devuelve a cada logro a medida que continúa la tecnología y la digitalización del mundo.

¿Quiere obtener mayor información? Te invitamos a conocer las soluciones de Advance Networks. Hoy en día somos Partner de Radware, una marca con soluciones de última generación donde el objetivo es que trabajes se forma segura de la manera más sencilla.

Conoce más aquí.