Estado de Internet del Tercer Trimestre de 2015
Akamai Technologies anuncia la disponibilidad del Informe de Seguridad – Estado de Internet del Tercer Trimestre de 2015. El informe de este trimestre ofrece un análisis y visión sobre el panorama global de amenazas de ataques a la seguridad de la nube.
“Akamai ha observado un mayor número de ataques de denegación de servicio cada trimestre, y la tendencia alcista ha permanecido en este trimestre. Aunque los ataques DDoS más recientes fueron de media más pequeños y más cortos, siguen planteando un importante riesgo de seguridad para la nube”, dijo John Summers, Vicepresidente de la Unidad de Negocio de Seguridad Cloud de Akamai. “Los ataques se ven impulsados por la fácil disponibilidad de sitios de DDoS en alquiler que identifican y abusan de servicios de Internet expuestos, como SSDP, NTP, DNS, CHARGEN, e incluso ‘Quote of the Day’”.
Un vistazo sobre la actividad de ataques DDoS
La actividad de ataques DDoS en la red de Akamai se incrementó un 23% este trimestre desde niveles ya récord hasta 1.510 ataques, un incremento del 180% sobre el tercer trimestre de 2014. Aunque ha habido bastantes más ataques, de media los ataques fueron más cortos con un ancho de banda y volumen más bajos. Ha habido menos mega ataques (mayores que 100 Gbps): se registraron 8 en el tercer trimestre en comparación con los 12 del segundo trimestre y 17 en el tercer trimestre hace un año. El mayor ancho de banda de ataque DDoS en el tercer trimestre –empleando el botnet XOR DDoS – midió 149 Gbps. Un descenso en relación con el pico de 250 Gbps de un ataque DDoS el trimestre anterior. De los ocho mega ataques, el sector de medios y entretenimiento fue el más frecuentemente atacado, con tres ataques.
Aunque el ancho de banda de los ataques se redujo, en el tercer trimestre una medida diferente de tamaño de ataques alcanzó un récord. Una empresa del sector de medios y entretenimiento fue golpeada por un ataque DDoS récord de 222 millones de paquetes por segundo (Mbps), un leve incremento sobre un ataque récord de 214 Mbps en el segundo trimestre. Este gran ataque puede compararse con un volumen pico medio de 1,57 Mpps para todos los ataques DDoS observados por Akamai en el tercer trimestre. Un ataque de este tamaño podría hacer caer un router de primer nivel, como los que utilizan los proveedores de servicios de Internet (ISPs).
El sector de los juegos online estuvo particularmente afectado por los ataques DDoS en el tercer trimestre de 2015, representando un 50% de los ataques DDoS registrados. El sector de los juegos fue seguido por el de software y tecnología, que sufrió un 25% de todos los ataques. La industria de los juegos online lleva más de un año siendo el objetivo principal de los atacantes.
Los ataques DDoS basado en reflexión resultan más populares que aquellos basados en infección. En vez de invertir tiempo y esfuerzos en la construcción y mantenimiento de botnets DDoS como lo hacían en el pasado, más atacantes DDoS han ido explotando el panorama existente de dispositivos de red expuestos y protocolos de servicios no seguros. Mientras que los ataques DDoS reflexivos solo representaron un 5,9% de todo el tráfico DDoS en el tercer trimestre de 2014, dichos vectores de ataques representaron un 33,19% del tráfico DDoS en el tercer trimestre de 2015.
“Akamai Edge Firewall”, una nueva fuente de datos sobre ataques DDoS
Por primera vez, el informe de seguridad incluye también la actividad de ataques observada en el “Akamai Edge Firewall”, el perímetro de nuestra plataforma. El conjunto de datos del “Akamai Edge Firewall” ofrece una amplia visión sobre la actividad de ataques en el perímetro de la plataforma global –con información sobre el tráfico de ataques procedente de más de 200.000 servidores dotados de tecnología Akamai. Hemos identificado que los 10 principales números de sistema autónomo (ASNs) fuente de tráfico de ataques se originaron principalmente en China y otros países asiáticos, mientras que en Estados Unidos y Europa fue más común el uso de los reflectores de manera distribuida.
Actividad de ataques a aplicaciones web
En el segundo trimestre de 2015, la vulnerabilidad Shellshock dominó los ataques a las aplicaciones web utilizando HTTPS, pero no fue el caso en el tercer trimestre. Como resultado, el porcentaje de ataques a aplicaciones web enviados sobre HTTP vs. HTTPS volvió a un nivel más normal (88% vía HTTP, 12% vía HTTPS). Es probable que el uso de ataques a aplicaciones web sobre HTTPS crezca a medida que más sitios vayan adoptando tráfico preparado para TLS como capa de seguridad estándar. Los atacantes podrían utilizar también HTTPS con la intención de penetrar en las bases de datos de back-end, a las que típicamente acceden aplicaciones servidas mediante HTTPS.
Al igual que en trimestres anteriores, los ataques por inclusión de ficheros locales (LFI) e inyección SQL (SQLi) fueron de lejos los vectores de ataques a aplicaciones web más comunes de todos los clasificados. La industria retail fue golpeada más fuertemente, recibiendo el 55% de los ataques a aplicaciones web, llegando la industria de servicios financieros en una alejada segunda posición, con un 15% de los ataques. Los ataques a aplicaciones web se basaron principalmente en botnets que aprovecharon routers y dispositivos no seguros ubicados en hogares.
El tercer trimestre también fue notable por un incremento de los intentos de ataques a plugins de WordPress, no solo para plugins populares sino también para plugins vulnerables menos conocidos.
En el tercer trimestre de 2015, Estados Unidos fue la principal fuente de ataques a aplicaciones web, representando un 59% del tráfico de origen de ataques, y también fueron el objetivo del 75% de dichos ataques. Los tres primeros Números de Sistema Autónomo (ASNs) fueron asociados a sistemas privados virtuales (VPS) pertenecientes a proveedores cloud bien conocidos en USA. Muchos de los servidores virtuales basados en la nube que se lanzan cada día carecen de la seguridad suficiente y están comprometidos y usados en una botnet u otra plataforma de ataques.