Mini botnet logra lanzar ataque DDoS de 75 Gbps

Informe de Akamai desglosa las estad铆sticas de ataques DDoS y contra aplicaciones web, junto con analizar el resurgimiento del malware PBot, los algoritmos de generaci贸n de dominios, la relaci贸n entre los nodos de mando y control de Mirai y los objetivos de ataque.

Datos recientes muestran el aumento de los ataques DDoS y contra aplicaciones web, seg煤n se indica en el Informe sobre el estado de Internet en materia de seguridad del segundo trimestre de 2017 publicado por Akamai Technologies, Inc., (NASDAQ: AKAM). A este aumento ha contribuido el malware DDoS PBot que, una vez m谩s, constituye la base de los mayores ataques DDoS detectados por Akamai este trimestre.

En el caso de PBot, los agentes maliciosos hicieron uso de c贸digo PHP bastante antiguo para generar el mayor ataque DDoS detectado por Akamai en este periodo. Los atacantes lograron generar una mini botnet DDoS capaz de lanzar un ataque DDoS de 75 Gbps. Curiosamente, la botnet PBot se compone de 400 nodos, un n煤mero relativamente peque帽o y, aun as铆, capaz de generar un nivel significativo de tr谩fico de ataque.

A la lista de “todas las modas vuelven” hay que a帽adir el an谩lisis de utilizaci贸n de algoritmos de generaci贸n de dominios (DGA) en infraestructuras de mando y control (C2) de malware realizado por el equipo de investigaci贸n de amenazas a las empresas de Akamai. Introducidos por primera vez con el gusano Conficker en 2008, los DGA han permanecido como t茅cnica de comunicaci贸n de uso frecuente en el malware actual. El equipo detect贸 que las redes infectadas generaron un 铆ndice de consulta DNS aproximadamente 15 veces mayor que una red limpia. Esto se puede explicar como el resultado de acceso a dominios generados aleatoriamente por el malware en las redes infectadas. Puesto que la mayor铆a de los dominios generados no se hab铆an registrado, el intento de acceder a todos ellos supuso la generaci贸n de gran cantidad de ruido. El an谩lisis de la diferencia entre las caracter铆sticas de comportamiento de las redes infectadas en comparaci贸n con el de las limpias constituye un m茅todo importante para identificar la actividad de malware.

Cuando la botnet Mirai fue detectada en septiembre del a帽o pasado, Akamai era uno de sus primeros objetivos. A partir de ese momento, la plataforma de la compa帽铆a continu贸 recibiendo ataques y defendi茅ndose de ellos con 茅xito. Los investigadores de Akamai aprovecharon la excepcional visibilidad con la que contaban de dicha botnet para estudiar los diferentes aspectos de Mirai y, espec铆ficamente durante este segundo trimestre, su infraestructura de C2. El estudio realizado por Akamai es un claro indicador de que Mirai, al igual que muchas otras botnets, est谩 contribuyendo a la comoditizaci贸n de los DDoS. Si bien se detect贸 que muchos de los nodos C2 fuera de la botnet realizaban “ataques espec铆ficos” contra determinadas IP, se observaron muchos otros relacionados con lo que se podr铆a considerar ataques “a sueldo”. En este 煤ltimo caso, los nodos C2 de Mirai atacaban las IP durante poco tiempo y volv铆an a surgir para atacar objetivos distintos.

“Los atacantes indagan constantemente los puntos d茅biles en las defensas de una empresa y cuanto m谩s com煤n es una vulnerabilidad, m谩s eficaz es su ataque y los hackers dedicar谩n m谩s energ铆a y recursos a ello”, declara Martin McKeay, experto principal en seguridad de Akamai. “Eventos como la botnet Mirai, la explotaci贸n utilizada por WannaCry y Petya, el continuo aumento de ataques de SQLi y el resurgimiento del PBot demuestran que, los atacantes no solo migran a nuevas herramientas, sino que tambi茅n vuelven a utilizar algunas antiguas, cuya eficacia est谩 m谩s que probada”.

Entre otros, el informe destaca los siguientes datos:

鈼 El n煤mero de ataques DDoS en el segundo trimestre ha aumentado en un 28%, tras tres trimestres en los que hab铆a bajado.
鈼 Los atacantes DDoS son m谩s persistentes que nunca, y atacan objetivos un promedio de 32 veces al trimestre. Una empresa de videojuegos fue atacada 558 veces, aproximadamente seis veces al d铆a de media.
鈼 Egipto fue el origen del mayor n煤mero de direcciones IP 煤nicas utilizadas en los ataques DDoS frecuentes, con el 32% del total mundial. El trimestre pasado, Estados Unidos ocupaba este puesto; Egipto no estaba entre los cinco primeros.
鈼 Se utilizaron menos dispositivos para lanzar ataques DDoS en este trimestre. El n煤mero de direcciones IP implicadas en ataques DDoS volum茅tricos cay贸 el 98%, de 595.000 a 11.000.
鈼 La incidencia de ataques a aplicaciones web aument贸 un 5% con respecto al trimestre anterior y 28% respecto al a帽o anterior.
鈼 Los ataques SQLi fueron la opci贸n utilizada en m谩s de la mitad (51%) de los ataques a aplicaciones web este trimestre, un 44% m谩s que el anterior, generando casi 185 millones de alertas solo en el segundo trimestre.

Puede descargar una copia gratuita del Informe sobre el estado de Internet en materia de seguridad del segundo trimestre de 2017 aqu铆 http://akamai.me/2i9vrdz. Para descargar los distintos cuadros y gr谩ficos, incluidos los asociados, haga clic en http://akamai.me/2w6mI1v.

Metodolog铆a
El Informe de Akamai sobre el estado de Internet en materia de seguridad del segundo trimestre de 2017 incluye datos sobre ataques extra铆dos de la infraestructura global de Akamai e investigaciones de diversos equipos de la organizaci贸n. El informe proporciona un an谩lisis del actual panorama de amenazas y seguridad en la nube, as铆 como informaci贸n detallada sobre las tendencias de los ataques utilizando los datos recopilados por Akamai Intelligent Platform. Entre otros agentes, a la elaboraci贸n del Informe de Akamai sobre el estado de Internet en materia de seguridad contribuyen profesionales de la seguridad de Akamai, incluido el equipo de respuesta a incidentes e inteligencia en seguridad (SIRT), la unidad de investigaci贸n de amenazas, la seguridad de la informaci贸n, y el grupo de an谩lisis personalizado.

Ilustraci贸n: Captura del informe
Descargue el informe – no requiere registro



驴Desea suscribirse a nuestro newsletter?

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.