Resumen del año 2021: Denegación de servicio


This post is also available in: Inglés Francés Alemán Italiano Portugués, Brasil Ruso

El año 2021 fue un verdadero torbellino para la industria de la seguridad. Además de la pandemia de COVID, que aún sigue en curso, los actores maliciosos han continuado evolucionando a una velocidad alarmante durante el año, y han empujado más allá los límites del panorama actual dejándonos con la pregunta de si nosotros, como industria, podemos seguir el ritmo de estos delitos complejos cada vez más poderosos y con más recursos.

Hemos sido testigos de operaciones policiales y ofensivas con mínimo éxito durante todo el año. También hemos visto a los actores maliciosos aprender de sus errores y volverse menos activos en las plataformas de redes sociales más importantes. También hubo avances notables en el panorama de Ransom Denial of Service y la creciente asociación entre los operadores de Ransomware y los de DDoS. Y como siempre, vimos que se establecieron nuevos récords de DDoS este año.

Imposición de la ley en 2021

Este año, en lo que respecta a la denegación de servicio, las operaciones policiales y ofensivas contra los actores maliciosos han tenido un impacto mínimo en el panorama de amenazas de DDoS. Por ejemplo, el Servicio Secreto de Ucrania (Secret Service of Ukraine, SSU) arrestó a un hombre por crear y ejecutar una red de robots con más de 100.000 nodos infectados. La policía holandesa envió cartas a 29 residentes en los Países Bajo advirtiéndoles que habían sido identificados como usuarios de un servicio DDoS-for-Hire. Y el Departamento de Justicia de los Estados Unidos presentó cargos contra una persona de nacionalidad turca que realizaba ataques DDoS a través de una red de robots basada en smartphone Android, WireX.

En general, uno pensaría que las operaciones policiales y ofensivas deberían ser un freno suficiente para bajar la ola creciente de operadores de DDoS, pero sería un error. En el tercer trimestre de 2021, Radware reportó que había mitigado un 75% más de ataques de DDoS en los primeros nueve meses de 2021 que en 2020. No obstante, esto se esperaba, ya que nuestros investigadores en 2020 notaron un aumento en los servicios DDoS-for-Hire durante el inicio de la pandemia; a pesar de los numerosos intentos de las autoridades policiales de impedir el crecimiento del panorama de amenazas de DDoS el año anterior.

El centro del problema son las ganancias. Hay demasiado dinero en la mesa para que los actores maliciosos renuncien al panorama de DDoS en este momento. En la actualidad, cuando se quita a un operador de DDoS del panorama de amenazas, otros operadores simplemente toman su lugar.

Mantenerse por debajo del radar

Los que no están motivados por las ganancias, principalmente los hacktivistas, han aprendido algunas lecciones del pasado a medida que los nuevos grupos comienzan a cambiar sus procedimientos en 2021. Por ejemplo, el grupo de amenazas DragonForce, que llevó a cabo varios ciberataques contra Israel en la primavera y el verano de 2021, se ha retirado de las plataformas de redes convencionales y ha creado su foro para conducir sus operaciones.

Este fue un cambio interesante este año, pero un cambio que se esperaba. A comienzos de 2021, incluso los delincuentes de la zona oscura comenzaron a tener dificultades para lidiar con los operadores y afiliados de ransomware descarados que realizaban negocios abiertamente en los foros públicos, al igual que cuando los hacktivistas organizaron y condujeron campañas de DDoS en las plataformas de redes sociales. Como resultado, los actores de amenazas fueron censurados o prohibidos en dichos foros maliciosos.

Aparentemente, desde 2021, los grupos de hacktivistas están aprendiendo a retirarse del ojo público, autogobernarse y ejecutar sus plataformas por debajo del radar sin temor a ser deshospedados. Como resultado, este aprendizaje dificultará aún más la tarea de los analistas de rastrear a los actores de amenazas a medida que las conversaciones se retiran de una plataforma centralizada para terminar en múltiples foros especializados y desconocidos en todo Internet.

[También puede interesarte: Cyber 2022 Predictions About Open Banking (Predicciones cibernéticas de 2022 sobre la banca abierta)]

RDoS en aumento

A comienzos de 2021, Radware publicó una alerta indicando que el grupo Ransom Denial of Service (RDoS) estaba volviendo a atacar a sus víctimas anteriores, que habían sido su objetivo en el verano de 2020. En las nuevas cartas de RDoS, el grupo expresaba que las organizaciones amenazadas no habían respondido o pagado la demanda de rescate de la campaña original en agosto de 2020 y que, en consecuencia, serían el objetivo de un ataque de DDoS si no pagaban.

Si bien este fue un evento notable, solo fue el comienzo de lo que sería un año impactante en lo que respecta a los ataques de RDoS. En junio de 2021, durante un episodio de Investigadores de amenazas de Radware en vivo, mientras se discutía sobre la campaña Fake DarkSide, que tenía como objetivo el sector de la energía y los alimentos, predije que pronto veríamos a grupos de RDoS sacando ventaja de los nombres de los grupos de ransomware. Tres meses más tarde, comenzó una ola de ataques de RDoS dirigidos a los proveedores de VoIP. Específicamente, durante el ataque a VoIP.ms, los actores de amenazas se llamaron a sí mismos REvil, un grupo de ransomware notorio que acababa de regresar al panorama de amenazas después de desaparecer por completo tras el ataque de ransomware a Kaseya VSA.

Las mayores campañas RDoS se dirigieron a múltiples proveedores de VoIP, como VoIP.ms, Voipfone, VoIP Unlimited y Bandwidth.com, y desencadenaron un gran preocupación mientras se impactaba a las infraestructuras cruciales, resultando en una alerta para toda la industria de Comms Council UK, que manifestó que había “ciberdelincuentes profesionales llevando a cabo una campaña internacional coordinada centrada en la extorsión” dirigida a los proveedores de servicios de comunicaciones basados en IP, durante el mes de octubre. Y si bien, en general, los ataques de RDoS del pasado se habían considerado una amenaza de nivel bajo y fáciles de mitigar, una de las víctimas, Bandwidth.com, se espera que pierda hasta $12 millones tras el intento de extorsión de DDoS que enfrentó como resultado del tiempo de inactividad del servicio. La señalización de las amenazas de RDoS está evolucionando.

Una tercera ola de ataques de RDoS significativa se observó a fines de año, al mismo tiempo que la industria de VoIP sufría un ataque. Este evento fue una campaña RDoS dirigida a varios proveedores de correo electrónico, tales como Runbox, Posteo y Fastmail. Una de las observaciones más notables de esta campaña fue que el grupo que se llamaba a sí mismo ‘Patriarca Maldito’ (‘Cursed Patriarch’) demandaba alrededor de $4000. Similar al monto solicitado durante las campañas RDoS que originalmente habían sido dirigidas a proveedores de correo electrónico en 2015.

Adentrándonos en 2022, espero que el panorama de RDoS continúe evolucionando y eventualmente se fusione con la mayor amenaza de ransomware.

Combinando Fuerzas; Ransomware + DDoS

¿Si en este momento te estás preguntando cuál es la diferencia entre un ataque ransomware y uno RDoS? No te preocupes. La diferencia puede ser confusa. Por suerte, el Director de Inteligencia de Amenazas de Radware, Pascal Geenens, recientemente escribió un blog sobre la diferencia entre ambos.  Para resumir, los ataques ransomware aprovechan un malware de bloqueo criptográfico que destruye los sistemas y no permite acceder a los datos hasta que se haya pagado un rescate. Un ataque RDoS es un poco distinto. Este aprovecha los ataques de denegación de servicio para causar degradación del servicio o cortes de la red para extorsionar a sus víctimas.

¿El problema? Los operadores de ransomware están empezando a emplear a los operadores de DDoS como parte de lo que ahora se conoce como extorsión triple. Un ataque ransomware de extorsión único es solo el cifrado de datos en el dispositivo objetivo. Un ataque ransomware de extorsión doble incluye la exfiltración de los datos cifrados con la amenaza de publicarlos si no se paga un rescate. La extorsión triple es cuando un operador de ransomware utiliza los ataques de denegación de servicio contra la red objetivo para traer a los negociadores de vuelta a la mesa. En 2020, los operadores de ransomware, como SunCrypt y RagnarLocker, usaron los ataques de denegación de servicio durante las negociaciones. En 2021, ya habíamos visto a Avaddon, Darkside, Yanluowang y HelloKitty usando los ataques de denegación de servicio durante sus campañas de ransomware.

Desarrollo de las redes de robots

En el mundo de las redes de robots de DDoS, ha habido algunos desmantelamientos y desarrollos importantes en todo el panorama de amenazas de este año. Por ejemplo, a principios de 2021, muchos investigadores de IoT hicieron un seguimiento de los desarrollos relacionados con una red de robots P2P conocida como Mozi. 360 Netlab fue el primero en revelar la red de robots en 2019; desde entonces esta había crecido desde una red de robots pequeña a una amenaza avanzada de varios módulos. Pero en el verano de 2021, 360 Netlab anunció que Mozi estaba muerto debido al arresto de su operador en China. Si bien esta es una gran noticia, muchos se dan cuenta de que pasará mucho tiempo antes de que esta red de robots realmente muera. Si bien ya no será actualizada, se seguirá expandiendo durante algún tiempo debido a su arquitectura y diseño. Similar a la larga cola de la red de robots XTC/Hoaxcall, es probable que pasen años antes de que desaparezca por completo. Por desgracia, no se puede tomar algo como una red de robots P2P y desmantelarla en una sola acción. La única forma de que muera oficialmente y desaparezca es que todos los dispositivos de red objetivo se reinicien, actualicen o reemplacen.

Otra red de robots que ganó atención significativa a lo largo de 2021 fue Manga/Dark.IoT. Esta red de robots también fue observada por Juniper y Palo Alto Networks a lo largo de todo el año. La red de robots Manga/Dark.IoT no reveló nada extraordinario cuando se la analizó. Es una típica red de robots de IoT basada en Mirai que se pega al vector de amenaza primario, un ataque de DDoS, y no diversifica sus operaciones para minar criptomonedas o robar datos. Una cosa que le llamó la atención a la industria de seguridad sobre esta amenaza fue la habilidad del operador de evolucionar con rapidez y expandir sus capacidades al incorporar vulnerabilidades recientemente descubiertas a su arsenal. Por ejemplo, en marzo de 2021, los investigadores de Unit42 en Palo Alto Networks reportaron que los operadores detrás de esta red de robots habían aprovechado CVE-2021-27561 y CVE-2021-27562 dentro de las horas posteriores a que se revelara su vulnerabilidad.

La campaña de Manga/Dark.IoT de este año también proporcionó a los investigadores varias oportunidades para explorar los ensayos y errores que enfrentan los actores de las amenazas mientras construyen y desarrollan su red de robots de DDoS. Uno de los aspectos más desafiantes de construir una red de robots a gran escala es competir con otros actores de amenazas por los recursos vulnerables. Los que no pueden desarrollar o descubrir las vulnerabilidades confían en la divulgación pública. Una vez que se publica una prueba de concepto (PoC), se inicia la carrera para ser el primero en aprovechar la vulnerabilidad y acumular la mayor cantidad de dispositivos vulnerables que sea posible. Este es un proceso de ensayo y error, y algunos actores de amenazas no siempre logran resolver la forma de aprovechar estas vulnerabilidades, mientras que quienes lo logran podrían descubrir que el intento no vale el tiempo ni el esfuerzo. En 2021, los operadores detrás de las redes de robots Manga/Dark.IoT habían aprovechado casi dos docenas de vulnerabilidades. Más recientemente, en diciembre de 2021, se vio a la red de robots dirigiéndose a routers TP-Link.

Ataques de DDoS notables

Para ser honesto, estoy sorprendido de que nadie se haya adjudicado ninguno de estos ataques de DDoS récord que estoy a punto de cubrir. Poco tiempo atrás, los hacktivistas y atacantes de DDoS se adjudicaban rápidamente sus ataques, o los ataques de otros…, en las redes sociales. Pero hoy en día, guardar silencio parece ser la tendencia de los actores de amenazas. Hemos visto continuamente un récord de ataques de DDoS este año sin que nadie de la zona oscura se los adjudique. En algunos casos, los operadores de ransomware, como Lockbit han incursionado en los foros de la zona oscura para preguntar quién lanzó un ataque, y si sus redes de robots o servicios estaban disponibles. Con este nuevo tratamiento silencioso, se ha hecho incluso más difícil rastrear las actividades delictivas; pero, hay algo que es claro, los chicos malos tienen cañones de DDoS mucho más grandes actualmente.

Por ejemplo, en agosto de 2021, Cloudflare reportó haber detectado un récord mundial, 17,2 Mrps, millones de solicitudes por segundo, un ataque que provino de 20.000 robots ubicados en 125 países. Menos de un mes más tarde, Qrator reportó la detección de un ataque récord similar que produjo 21,8 Mrps provenientes de cerca de 56.000 dispositivos MikroTik. Los ataques de DDoS masivos solo duraron alrededor de 60 segundos, y dejaron a muchos investigadores preguntándose qué y quién estaba detrás de ellos.

Según han indicado los primeros informes, se cree que el responsable sería Meris. Meris es una red de robots de IoT a gran escala que aprovecha los routers MikroTik vulnerables y las canalizaciones HTTP para lanzar ataques de DDoS volumétricos a gran escala, pero cortos, a través de una red de servidores proxy SOCKS.

Un mes después de los ataques originales de Meris, Microsoft reportó que había detectado y mitigado un ataque de DDoS de 2,4 Tbps, terabits por segundo, dirigido a un cliente de Azure en Europa. Se dijo que la fuente del ataque había provenido de casi 70.000 robots de diversos países de la región de Asia-Pacífico, similar a los informes sobre Meris. Al igual que con otros ataques, este también tuvo una vida muy corta y su ráfaga principal duró solo 60 segundos.

Si bien aún quedan preguntas acerca de Meris y su origen, estos ataques ponen de manifiesto el panorama de amenazas en constante crecimiento y evolución alrededor de los ataques de DDoS. Adentrándonos en 2022, pronostico que veremos la evolución y progresión del panorama de amenazas que resultará en ataques de DDoS más importantes a medida que los actores de amenazas aprenden a maximizar sus recursos de robots y guardan silencio sobre su trabajo.

De cara al futuro

Si miramos más allá de Meris y de todos los avances de este año, podemos predecir que durante 2022 los ataques de DDoS no desaparecerán del panorama de amenazas. Mientras que muchos considerarán la amenaza como trivial o a los actores como marginales de bajo nivel, pronto descubrirán durante el nuevo año que los ataques no necesitan ser complejos para ser eficaces.

Desearía que las cosas comenzaran a normalizarse para la sociedad en 2022; pero, en realidad, debemos empezar a prepararnos para un futuro totalmente remoto y digitalmente dependiente. Para respaldar este futuro, los gobiernos de todo el mundo, en asociación con el gran complejo de seguridad, deben encontrar una mejor manera de contrarrestar con éxito a los actores de amenazas y aprender a controlar el panorama. Solo entonces podremos seguir el ritmo de un enemigo con múltiples recursos.

[¿Te gusta esta publicación? Subscríbete ahora para recibir el contenido más reciente de Radware en tu bandeja de entrada todas las semanas, además de acceso exclusivo al contenido Premium de Radware].

Daniel Smith

Daniel is the Head of Research for Radware’s Threat Intelligence division. He helps produce actionable intelligence to protect against botnet-related threats by working behind the scenes to identify network and application-based vulnerabilities. Daniel brings over ten years of experience to the Radware Threat Intelligence division. Before joining, Daniel was a member of Radware’s Emergency Response Team (ERT-SOC), where he applied his unique expertise and intimate knowledge of threat actors’ tactics, techniques, and procedures to help develop signatures and mitigate attacks proactively for customers.

Contact Radware Sales

Our experts will answer your questions, assess your needs, and help you understand which products are best for your business.

Already a Customer?

We’re ready to help, whether you need support, additional services, or answers to your questions about our products and solutions.

Locations
Get Answers Now from KnowledgeBase
Get Free Online Product Training
Engage with Radware Technical Support
Join the Radware Customer Program

CyberPedia

An Online Encyclopedia Of Cyberattack and Cybersecurity Terms

CyberPedia
What is WAF?
What is DDoS?
Bot Detection
ARP Spoofing

Get Social

Connect with experts and join the conversation about Radware technologies.

Blog
Security Research Center