Los ataques DDoS siguen creciendo en tamaño, frecuencia y sofisticación. Las armas de botnet DDoS siguen siendo tan populares como siempre, mientras que el malware moderno está ganando nuevas formas de infectar los sistemas de IoT y reclutarlos como drones. Los ataques de amplificación reflejados están ayudando a los hackers a intensificar el impacto de sus esfuerzos. En tiempos difíciles como estos, para los profesionales de la seguridad empresarial, la inteligencia de amenazas actualizada es una parte críticamente importante de una estrategia de protección DDoS para proteger los sistemas vitales.
«Q2 2020: El estado de las armas DDoS«, por los investigadores de seguridad de A10 Networks, proporciona una mirada detallada a las armas, métodos y geografías que definen el panorama actual de amenazas. Durante el segundo trimestre de este año, los investigadores de amenazas de A10 Networks monitorearon de cerca a los agentes de ataque bajo el control del comando y control de botnets DDoS (C2), descubrieron innovaciones de malware a través de la implementación de honeypots, y escanearon Internet en busca de fuentes de ataque de amplificación reflejadas expuestas. El equipo de investigación también evalúa los sistemas que tienen el potencial de convertirse en bots de ataque, reflectores o amplificadores, evaluando las posibilidades de que estas máquinas se vean comprometidas, en función de su disponibilidad en Internet y las posibles debilidades. Actualmente se está realizando un seguimiento de aproximadamente 10 millones de direcciones IP de origen únicas.
Portmap ocupa el primer lugar para las armas utilizadas en los ataques DDoS
Añadido al programa de investigación de amenazas A10 Networks por primera vez, Portmap ha saltado a la primera posición en el informe con
Busque ataques de amplificación en EE. UU. y China para las botnets DDoS
Mientras que los informes de inteligencia de amenazas anteriores de A10 Networks han clasificado a naciones como China, Corea, Rusia e India como las principales fuentes de ataques DDoS, la adición de Portmap ha puesto a Estados Unidos en la parte superior de la lista con casi 1,6 millones de armas DDoS, más de 200.000 más que China en segundo lugar. Estas armas se pueden utilizar en ataques DDoS basados en Portmap, donde los servidores que ejecutan el protocolo Portmapper basado en UDP se explotan para su uso en ataques de amplificación reflejados que desencadenan un número mucho mayor de respuestas de servidor que las solicitudes iniciales.
El informe completo proporciona detalles adicionales sobre los principales países y regiones que alojan armas de ataque de amplificación reflejadas, así como agentes de botnet DDoS, que ahora se utilizan para propagar el malware que están infectados a otros equipos, servidores y dispositivos IoT, llevándolos bajo el control de un atacante para iniciar nuevos ataques. La información sobre el origen de estos ataques puede ayudar a las empresas a centrar sus esfuerzos de protección DDoS de forma más eficaz.
Las armas DDoS son frecuentemente alojadas por un ASN, una colección de rangos de direcciones IP bajo el control de una sola empresa u operador gubernamental, un método que permite que un gran número de armas permanezcan conectadas a la red y ataquen otros sistemas. Dos de los cinco mejores ASN que albergan armas DDoS, China Telecom y China Unicom CN, tienen su sede en China, mientras que un tercero, Chungwha Telecom, opera en Taiwán. El solitario ASN con sede en Estados Unidos, entre los cinco primeros, Charter Communications, ocupa el segundo lugar con 477.926 armas alojadas.
Aumento de la propagación de malware y el reclutamiento de drones
Las vulnerabilidades que surgieron a finales de 2019 ahora se están armando a medida que los ataques basados en IoT colocan miles de binarios de malware en sistemas vulnerables. En muchos casos, los dispositivos IoT se han quedado desprotegidos debido a actualizaciones de seguridad y correcciones de errores ignoradas, con resultados devastadores. Cientos de miles de veces cada hora, los malos actores utilizan una colección de exploits de ejecución remota de código (RCE) y una lista cada vez mayor de nombres de usuario y contraseñas predeterminados para reclutar dispositivos IoT, convertirlos en drones e infectar otros sistemas a su vez. Las principales familias de malware vistos en el segundo trimestre de 2020 incluyen Gafgyt, Dark Nexus y Mirai. El informe completo se centra en más detalles sobre binarios específicos, incluidas las características y el comportamiento de arm7, el binario más visto en este trimestre, para guiar la estrategia de mitigación.
Aprovechar la inteligencia de amenazas para la protección contra DDoS
Mientras que la frecuencia, intensidad y sofisticación de DDoS sigue aumentando, las empresas tienen un factor de su lado: la naturaleza fuerte y distribuida de los ataques DDoS, que permite a los defensores adoptar un enfoque proactivo para la protección DDoS. Al obtener información sobre el punto de origen de un arma, los equipos de seguridad pueden crear listas negras de direcciones IP sospechosas de alojar botnets DDoS y servidores potencialmente comprometidos. En combinación con la detección de amenazas en tiempo real y la extracción automatizada de firmas, esta estrategia puede ayudar a las empresas a evitar incluso los ataques DDoS multi vector más masivos.
Lea el informe completo de A10 Networks, «Q2 2020: The State of DDoS Weapons», y aprenda cómo la inteligencia de armas DDoS procesable permite un enfoque proactivo a la protección DDoS mediante la creación de listas negras basadas en fuentes actuales y precisas de direcciones IP de botnets DDoS y servidores vulnerables disponibles comúnmente utilizados para ataques DDoS.
Fuente: Blog A10 Networks