Botnets DDoS ponen el foco en impresoras, eSports y criptomonedas
En el segundo trimestre de 2018, botnets DDoS atacaron recursos en Internet en 74 países.
Por primera vez en la historia de los informes de inteligencia sobre DDoS, Hong Kong aparece entre los tres países más atacados, situándose en segundo lugar. Su cuota se quintuplicó, alcanzando el 17% de todos los ataques DDoS mediante botnets. China y EE.UU. se mantuvieron en primer y tercer lugar respectivamente, mientras que Corea del Sur cayó hasta el cuarto lugar. Los recursos más atacados en Hong Kong fueron los servicios de hosting y las plataformas de cloud computing. Curiosamente, en el segundo trimestre Hong Kong fue reemplazado por Vietnam en la clasificación de los 10 países con los servidores de mando y control (C&C) más activos. Mientras tanto, EE.UU. se situó a la cabeza en esta lista, con casi la mitad (45%) de todos los servidores C&C de botnet activos durante el periodo del estudio.
La actividad de botnets DDoS basados en Windows disminuyó casi siete veces, mientras que la actividad de botnets en Linux creció en un 25%. Esto dio lugar a que los bots de Linux representen el 95% de los ataques DDoS en el trimestre, lo que también provocó un fuerte aumento en los ataques deSYN flood, pasando del 57% al 80%.
Durante el periodo del informe, los cibercriminales retrocedieron al pasado y comenzaron a utilizar en sus ataques vulnerabilidades muy antiguas. Por ejemplo, los analistas informaron de ataques DDoS que implicaban una vulnerabilidad en el protocolo universal Plug and Play (UPnP) conocida desde 2001, y el equipo de Protección DDoS de Kaspersky Lab observó un ataque organizado utilizando una vulnerabilidad en el protocolo CHARGEN que ya se había descrito en 1983. A pesar del tiempo transcurrido desde entonces y del alcance limitado del protocolo, muchos servidores CHARGEN abiertos todavía pueden encontrarse en Internet. En su mayoría son impresoras y fotocopiadoras.
Sin embargo, el dominio de técnicas antiguas no ha impedido que los ciberdelincuentes crearan nuevas botnets. Por ejemplo, en Japón se utilizaron 50.000 cámaras de videovigilancia para lanzar ataques DDoS.
Uno de los métodos más populares de monetizar los ataques DDoS sigue siendo el uso de criptomonedas y divisas. Un caso típico es el de la criptomoneda Verge que vio cómo los hackers atacaban algunos pools de minería y se hicieron con 35 millones de XVG en la confusión que tuvo lugar a continuación.
Las plataformas de juego continúan siendo un objetivo importante, sobre todo durante los torneos de eSports. Según Kaspersky Lab, los ataques DDoS no solo afectan a los servidores de juego (algo que suele hacerse para exigir un rescate a cambio de no interrumpir la competición) sino también a los jugadores que se conectan desde sus propias plataformas. Un ataque DDoS organizado contra los jugadores clave de un equipo, puede tener como resultado que ese equipo pierda y sea eliminado de un torneo. Los ciberdelincuentes utilizan tácticas similares para monetizar ataques en el mercado de streamers, los canales que transmiten videojuegos. La competencia en este segmento es muy fuerte. Mediante el uso de ataques DDoS los ciberdelincuentes pueden interferir con transmisiones online y, consecuentemente, en las ganancias del streamer.
“Puede haber diferentes motivos para los ataques DDoS, protesta política o social, venganza personal, competencia. En la mayoría de los casos se utilizan para ganar dinero, razón por la cual los ciberdelincuentes generalmente atacan a esas compañías y servicios. Los ataques DDoS se pueden usar como cortinas de humo para robar dinero o exigir un rescate por suspender un ataque. Las sumas de dinero obtenidas como resultado de la extorsión o el robo pueden ascender a decenas o cientos de miles e incluso millones de dólares. En este escenario, la protección contra los ataques DDoS parece una excelente inversión”, comenta Alexey Kiselev, project manager en el equipo de Protección DDoS de Kaspersky.
