Qué impulsa los ataques de DDoS y por qué deberían preocuparte

0
262

This post is also available in: Inglés Francés Alemán Italiano Portugués, Brasil

¿Qué es un ataque de DDoS?

DDoS significa Distributed Denial of Service (denegación de servicio distribuido). Ignoremos, por el momento, el término distribuido ya que se refiere principalmente a la técnica y enfoquémonos en la denegación de servicio. Como el término implica, el objetivo de un ataque de denegación de servicio es interrumpir o negarles el servicio a los usuarios legítimos. Un servicio puede ser cualquier cosa, desde sitios web que proporcionan información, servicios en línea, como sitios de comercio electrónico, hasta servicios backend, como procesamiento de pagos, comunicación entre organizaciones y aplicaciones en la nube, la conectividad de los sensores o los procesos industriales controlados por Internet de manera remota.

Los objetivos de los ataques incluyen alteraciones que crean un impacto en la economía de una organización o nación afectando su productividad, o la generación de caos o de cortinas de humo para ocultar otro ataque. Abrumar una red con tráfico aleatorio distrae a los defensores y les da a los atacantes la oportunidad y el tiempo para realizar actividades maliciosas mientras pasan desapercibidos, ya que los defensores están enfocados en el problema de mayor impacto, que es un ataque de denegación de servicio.

Dependiendo del objetivo, los ataques  de denegación de servicio se pueden hacer de diversas maneras. Un ataque volumétrico de denegación de servicio, por ejemplo, tiene como objetivo saturar las conexiones al servicio o entre organizaciones y la nube, o entre sucursales y casas centrales, lo que básicamente obstaculiza todas las comunicaciones legítimas y detiene el tráfico de datos.

Un ataque de denegación de servicio también puede dirigirse a un servicio específico, como un sitio web, una API o un sistema de nombres de dominio (Domain Name Service, DNS), en cuyo caso, el objetivo son los recursos del servidor. Dichos ataques a la capa de las aplicaciones o capa 7 pueden interrumpir por completo el servicio, o pueden ser más insidiosos, como los ataques bajos y lentos, que consumen los recursos y afectan la experiencia del usuario, lo que obliga al propietario del servicio a invertir en más recursos, como CPU, memoria o ancho de banda para sostener un nivel de servicio aceptable. Si dichos ataques pasan inadvertidos durante mucho tiempo, pueden drenar la viabilidad económica de una empresa o servicio.

Otro tipo de ataques de denegación de servicio, excepcionales, pero con la suficiente importancia como para considerarse una amenaza, son las vulnerabilidades de los software o hardware que pueden resultar en el colapso de un proceso, la detención o el reinicio de un dispositivo, simplemente enviando paquetes con formato incorrecto. Un solo paquete puede resultar en una excitación de los procesos sin causa alguna o en largos ciclos de reinicios, y puede ser muy disruptivo si no se descubre a tiempo. Si el ataque consiste en un solo paquete, encontrar al culpable entre millones de paquetes y conexiones puede ser una tarea abrumadora y, en su mayoría, esos ataques se descubren al analizar los volcados de memoria de los núcleos o procesos. La mayoría de estas vulnerabilidades a la seguridad tienen un tiempo de vida corto porque, una vez que se descubren, se puede hacer un parche o actualizar los sistemas o las firmas de la red para evitarlos fácilmente. De todos modos, cada tanto, aparecen.

Realizar un ataque de denegación de servicio no requiere mucha habilidad o conocimiento específico, en la mayoría de los casos requiere conocer la localización del servicio, la dirección IP, por ejemplo, y contar con suficiente infraestructura poderosa para lograr el ataque. La infraestructura de ataques puede consistir en servidores en la nube, pero los atacantes también pueden aprovechar un rango creciente de dispositivos IoT de consumidores y prosumidores, como cámaras IP y enrutadores, y esclavizarlos para que realicen ataques distribuidos a gran escala. Dado que el tráfico del ataque se origina en todas partes del mundo y de diferentes dispositivos, nos referimos a estos ataques como ataques distribuidos de denegación de servicio.

Que no es un ataque de DDoS

Probablemente ya hayas notado que no hay infiltración de redes o violación de servidores involucradas en los ataques de Denegación de Servicio. Una organización que sufre un ataque de denegación de servicio no estará sujeta, como resultado, al robo de datos ni tendrá un software malicioso persistente en su infraestructura. Con la excepción de un ataque de DDoS de pantalla de humo, una vez que el ataque de DDoS se detiene, la organización puede recuperar sus servicios y continuar con sus operaciones; a diferencia de un ataque de ransomware en el que la organización queda en un estado de inoperancia hasta que se recuperan o restauran sus sistemas internos y, incluso en ese caso, puede tomar semanas o meses recuperar por completo todas las operaciones y servicios.

No obstante, la otra cara de la moneda es que los perpetradores pueden realizar ataques de DDoS sin preocuparse demasiado de ser descubiertos. Al aprovechar los dispositivos IoT, la suplantación de identidad y la reflexión, se vuelve muy difícil, casi imposible incluso, atribuir el tráfico a actores específicos. El umbral para llevar a cabo un ataque de DDoS es, en consecuencia, mucho más bajo comparado con la infiltración y extracción de información de las redes privadas.

¿Qué tan grande es la amenaza de ataques de DoS? ¿Qué organizaciones o industrias están particularmente en riesgo? ¿Quiénes son los actores detrás de estos delitos? ¿Qué buscan y qué los motiva?

A partir de 2020 hemos presenciado un surgimiento de la actividad de DDoS impulsada por las campañas de DoS de rescate, que se han vuelto una parte predominante del panorama de amenazas de DDoS, así como varios acontecimientos políticos y sociológicos como las elecciones, #blacklivesmatter, y luchas dentro y entre naciones.

Para entender la amenaza y evaluar el riesgo para tu organización, debes comprender a los actores, quiénes son y cuáles son sus objetivos: Saber cómo suelen llevar a cabo sus ataques; Las tácticas y técnicas que aprovechan los actores maliciosos, que dependerán de su objetivo y nivel de habilidad; Y, finalmente, que el actor requiere algo que tenga valor para ti y que pueda afectarte. Aquí es donde se encuentran las oportunidades de los actores maliciosos, que consisten, comúnmente, de activos importantes y valiosos o vulnerabilidades.

[También puede interesarte: Does Your DDoS Protection Solution Defend Against the Latest Attacks? (¿Tu solución de protección contra DDoS te defiende contra los ataques más recientes?)]

Crimen organizado

Los ataques ransomware han visto un crecimiento enorme y una gran evolución en sus tácticas debido a las mejoras en la organización de los operadores y afiliados. Los operadores de ransomware han evolucionado sus tácticas a la triple extorsión, no solo cifrando los sistemas sino también extrayendo datos sensibles y amenazando con publicarlos para pedir un rescate. Si la víctima no cumple o se resiste, recurren a los ataques de DDoS para sentar a sus víctimas nuevamente en la mesa de negociaciones.

Desde agosto de 2020, hemos visto extorsión por denegación de servicio o campañas de DoS de rescate dirigidas a mercados verticales de todo el planeta. Campañas que fueron muy persistentes y en las que los actores, que se hacían llamar Fancy Bear, grupo Lazarus o Armada, enviaban mensajes amenazantes a las organizaciones por correo electrónico. Los mensajes amenazaban a las organizaciones con haber sido elegidas para su próximo ataque de DDoS, hacían referencia a algunos de sus trabajos previos y sostenían que empezarían un gran ataque de DDoS muy pronto. Para probar que sus amenazas debían tomarse en serio, realizaban un pequeño ataque usando solo una fracción de su infraestructura de ataque en un activo específico de la organización amenazada.

Para evitar el ataque, proponían un pago de entre 10 y 20 bitcoins en una dirección bitcoin específica. La falta de pago antes del inicio de los ataques aumentaba la tarifa en 5 o 10 bitcoins en cada fecha de vencimiento mientras los ataques continuaban.

Entre octubre y noviembre, las cartas de rescate parecieron disminuir y desaparecer. Hasta la segunda mitad de diciembre, cuando comenzamos a escuchar de clientes que estaban recibiendo nuevas cartas. Las organizaciones que antes habían sido un objetivo y habían recibido una carta de rescate, ahora recibían una segunda carta que decía que los atacantes habían estado ocupados con proyectos más rentables y que ahora habían vuelto. Se referían a la misma dirección bitcoin y pedían un rescate de entre 5 y 10 bitcoins. El rescate más bajo se explicaba por el aumento del valor del bitcoin en diciembre de casi un 100%, comparado con su valor a principios de ese año. Decían que nunca se darían por vencidos y que siempre volverían hasta que se les pagara.

Llegado marzo de 2021 y cuando creímos que empezábamos a dejar atrás la última campaña de DoS de rescate, al poco tiempo, en mayo, comenzaron a aparecer nuevas cartas. Esta vez el grupo, muy probablemente sin relación con los actores de las campañas previas, se hacía llamar ‘Fancy Lazarus’. Un apodo claramente inventado para inculcar aún más miedo en las víctimas, ya que combina Fancy Bear, la APT rusa conocida por sus vínculos con el gobierno de Rusia y promotora de sus intereses, con el grupo que se cree que fue el responsable del hackeo de los correos electrónicos del Comité Nacional Democrático en su intento de influir en los resultados de las elecciones presidenciales de 2016 en Estados Unidos, los ciberataques en los parlamentos alemán y noruego, la estación de televisión francesa, TV5Monde, la Casa Blanca y la OTAN, y que trató de influir en la campaña presidencial francesa del candidato Emmanuel Macron.

Y el grupo Lazarus, la APT de Corea del Norte, que se cree que es una organización de hackeo patrocinada por el estado, responsable del ataque de 2014 a Sony Pictures, el robo de 2016 al Banco de Bangladesh donde tuvieron éxito y obtuvieron USD 81 millones. Esta vez, el actor o grupo malicioso se dirigió principalmente a los activos sin protección de organizaciones en diferentes mercados verticales. Y pidieron un rescate de 0,5 a 5 bitcoins para evitar el ataque.

Septiembre de 2021 quedó marcado por los ataques de DDoS que afectaron el servicio de los proveedores de telecomunicaciones VoIP en el Reino Unido y Canadá. A partir del 1 de septiembre, el operador de VoIP con sede en la costa sur del Reino Unido, Voip Unlimited, reveló que se vio afectado por un ataque de DDoS sostenido y a gran escala que creía que se había originado en el grupo de ransomware ruso, “REvil”, después de lo que describieron como una “demanda de rescate colosal”. Tras 75 horas de ataques continuos, el 3 de septiembre, Voip Unlimited reportó una pausa en el tráfico malicioso y confirmó unos días después que no habían vuelto a observar nuevos ataques. Al mismo tiempo, a partir del 1 de septiembre, Voipfone, con sede en Londres, informó que había sufrido cortes en los servicios de voz, llamadas entrantes y salientes, y servicios de SMS. Más tarde se confirmó a los clientes vía correo electrónico que los servicios de Voipfone habían “sido interrumpidos de manera intermitente por un ataque de DDoS”. El 16 de septiembre, un proveedor canadiense de servicios de telefonía, VoIP.ms, anunció que había detectado problemas que impedían que los clientes accedieran a su sitio web y estaban trabajando en busca de una solución.

Una semana más tarde, el problema continuaba y se atribuyó a ataques de DDoS agresivos y persistentes que causaban interrupciones en las llamadas y los servicios. Los mensajes públicos intercambiados en Twitter entre VoIP.ms y los actores enfurecidos de las amenazas, @REvil92457183, proporcionaron más información. Los actores de las amenazas detrás de los ataques de DDoS se hacían llamar ”REvil”, pero no existe evidencia alguna de que representen a la misma banda de ransomware con ese nombre, que es conocida por atacar a empresas importantes con anterioridad, incluso al procesador de carne más grande del mundo, JBS. Como operador de ransomware, no coincide con las tácticas, técnicas y procedimientos (tactics, techniques and procedures, TTPs) que usa REvil en sus ataques de extorsión de DDoS. De todos modos, no puede excluirse. No sería la primera vez que un grupo delictivo diversifica sus actividades.

Una nota de Pastebin, ahora eliminada, establecía la demanda de rescate inicial en 1 bitcoin, o un poco más de USD 42.000 (en el momento de la publicación). No obstante, solo dos días después de la demanda inicial, la cuenta de Twitter @REvil92457183 aumentó la demanda a 100 bitcoins, o más de USD 4,2 millones, con el mensaje: ”Bueno, suficiente comunicación… El precio para que nos detengamos es ahora de 100 bitcoins en la dirección BTC de Pastebin. Estoy seguro de que sus clientes apreciarán su 0 f…s dada su actitud con varios litigios. REvil”. Los actores usaron Twitter para exponer los ataques y condenar a VoIP.ms por no pagar, en un intento de hacer que sus clientes y socios presionaran al proveedor del servicio para que pagara el rescate y los liberara de las interrupciones. Los operadores de ransomware usan tácticas de presión similares, como la filtración de datos sensibles y de nuevas víctimas obtenidos en sus sitios PR en la web oscura. Los mensajes de VoIP.ms en Twitter muestran que los ataques iniciales fueron dirigidos a los servicios de nombres de dominio de VoIP.ms. VoIP.ms mitigó estos ataques pidiendo a los socios y clientes que codificaran las direcciones IP del servicio en sus sistemas.

El 7 de octubre, Voip Unlimited reportó nuevamente la pérdida intermitente de la conectividad y de los servicios de voz mientras sus ingenieros trabajaban para mitigar los ataques de DDoS contra sus plataformas de telefonía. Los problemas se reportaron primero en su página web de estado del servicio la tarde del 7 de octubre. En la tarde del 8 de octubre, VoIP Unlimited aún reportaba interrupciones causadas por ataques de DDoS en curso contra sus clientes.

Hacktivistas

A diferencia del crimen organizado, estos actores maliciosos no están motivados por ganancias financieras, sino principalmente por ideas políticas o ideologías. Están dispuestos a alterar, engañar y destruir o interrumpir los sitios web y recursos, todo con el propósito de promover una agenda política o cambio social. Las empresas pueden verse enredadas y en la mira de los hacktivistas sin siquiera tener control sobre la situación. Estos grupos suelen no ser sofisticados, pero confían en su seguimiento largo y en las redes sociales para realizar y promover sus campañas de ataques. Usan foros privados para distribuir y enseñar a sus seguidores las herramientas de denegación de servicio. Estas herramientas suelen ser antiguas, conocidas y muy simples, y estar disponibles para el público en general. Sin embargo, en las manos de una multitud suficientemente grande, estas herramientas de ataques simples se convierten en armas distribuidas muy eficaces. En las campañas de ataques recientes orquestadas por el grupo hacktivista con orientación política Dragon Force Malaysia, las herramientas como martillo de torsión, cañón de iones de órbita baja y alta, también conocido como LOIC y HOIC, y una herramienta de ataques a Android llamada Garuda, se aprovecharon en los ciberataques contra objetivos israelíes durante todo el mes de junio y julio de 2021 para protestar contra los vínculos diplomáticos entre el gobierno de Israel y las naciones del Sudeste Asiático con mayoría de musulmanes.

Empleados disgustados y clientes enojados

Otro grupo de atacantes menos sofisticados, que operan como lobos solitarios, son los empleados disgustados y clientes enojados. La industria de juegos y apuestas es el blanco frecuente de clientes disgustados que actúan enardecidos e impulsados por su enojo tras perder grandes sumas de dinero. Pero también vemos estos grupos en otros mercados verticales; por ejemplo, en un sitio web que proporciona información equivocada, una entrega de productos y servicios incorrectos o inadecuados, etc.

Debido a sus necesidades de acceso inmediato y temporal a una herramienta adecuada, este grupo suele recurrir a portales disponibles para el público de DDoS-as-a-Service, que brindan acceso conveniente basado en una suscripción a botnets de DDoS y servidores de ataques. Con unos pocos clics estos actores pueden interrumpir fácilmente los recursos en línea y dañar la reputación de las empresas.

[También puede interesarte: 2021 Year in Review: Denial of Service (Revisión del año 2021: Negación de servicio)]

Estados nacionales

Por otro lado, los estados nacionales tienen la experiencia y los recursos para construir armas de destrucción masiva, tanto en el mundo físico como cibernético. La mayoría son conocidos por usar armas cibernéticas para causar interrupción y caos en un intento de desestabilizar las economías o los regímenes. La infraestructura crítica, como las redes eléctricas, las tuberías de combustible, el suministro de agua, pero también las instituciones financieras, pueden ser el objetivo de las naciones competidoras y víctimas de ataques a gran escala, entre los cuales los de DDoS son muy efectivos. La atribución de estos ataques es muy difícil ya que uno de los principales objetivos de los ataques de los estados nacionales es no ser atrapados en el acto o tratar de influir en la política exterior culpando a otra nación.

Competidores

Finalmente, quiero destacar el grupo de amenazas que a menudo se olvida y que está más presente de lo que la mayoría esperaría: los competidores. Como es de esperar, el objetivo de este grupo es obtener una ventaja competitiva a través de la destrucción de la reputación, robo de propiedad intelectual o rebaja de los precios de las empresas y naciones competidoras. Este grupo recurre a herramientas de ataques automatizadas, como bots, para extraer información, algunos contratan a atacantes para interrumpir los servicios, mientras que otros suben la apuesta y financian a grupos para que se infiltren y roben información confidencial y sensible.

A raíz de los ataques de la botnet Mirai contra Krebs, OVH y Dyn DNS, se observó y detuvo a un actor con el nombre de ‘best buy’ mientras intentaba esclavizar a 900.000 de los módems de Internet de consumidores de Deutsche Telecom. Bestbuy, o Daniel Kaye en la vida real, ya era propietario de 400.000 bots Mirai basados en botnets en ese momento. Comenzó su proyecto tras ser contratado por el CEO de Cellcom Liberia para destruir la reputación de Lonestar MTN, el competidor más grande de Cellcomen Liberia. Daniel comenzó sus ataques a través del servicio de estrés más renombrado en el momento: ‘vDoS’. vDoS no le proporcionó el poder necesario para interrumpir una organización móvil grande como Lonestar. Debido a la entonces reciente publicación del código de fuentes de la botnet Mirai, él capturó el código y construyó su propia botnet. En noviembre de 2016, en un intento de interrumpir los servicios de Lonestar MTN, Daniel Kaye, hacker-for-hire, interrumpió la conectividad a Internet de toda Liberia. Daniel Kaye fue detenido en enero de 2019 en el aeropuerto de Luton en Londres, Reino Unido, mientras viajaba a su hogar en Chipre tras reunirse con su contacto de Cellcom.

¿Qué herramientas y técnicas prefieren usar los atacantes en los ataques de DDoS?

Los actores menos sofisticados usan los portales de DDoS-as-a-Service. Estos portales están disponibles en la red clara y se pueden encontrar mediante una simple búsqueda en Google. Las plataformas de DDoS-as-a-Service, también conocidas como arrancadores o estresores, ejercen un poder de ataque suficiente como para afectar a la mayoría de las organizaciones.

Para los más ambiciosos, como los grupos de crimen organizado o hackers-for-hire, los servicios de estrés no suelen proporcionar la escala, flexibilidad o retorno de la inversión que buscan. Tienden a construir sus propias herramientas, que consisten en botnets e infraestructura de ataques. Los botnets suelen usarse para generar ataques de gran cantidad de paquetes o solicitudes por segundo, que drenan los recursos de los dispositivos o servidores de la red. Los servidores de ataques se usan comúnmente para realizar ataques de reflexión y amplificación. Estos servidores examinan los servicios de Internet que permiten los ataques de amplificación, tales como DNS, NTP, SSDP y Memcached, entre otros. Una vez que se recopilan las listas de servidores de amplificación, el servidor del ataque los aprovecha en ataques de Dos volumétricos de saturación de enlace ascendente. No se equivoquen, Internet está llena de potencial de amplificación. Los puntos de reflexión no necesitan ser servidores grandes. Hemos observado muchos ataques que aprovechan marcas de routers muy conocidas, que exponen los servicios de DNS y permiten la recurrencia por defecto. En 2021, investigadores académicos publicaron un artículo que detallaba las nuevas formas de aprovechar los paquetes TCP falsificados para generar ataques devastadores de DDoS con factores de amplificación que van desde 50.000 hasta 100.000.000.

¿Cómo puedes protegerte?  ¿Qué mecanismo de defensa es el más efectivo?

En nuestra experiencia, una solución basada en la nube es la más efectiva para detener todos los ataques, incluso los ataques volumétricos que están más allá de los enlaces de Internet del sitio protegido. La solución definitiva para las empresas que requieren la menor latencia y la mejor protección es una solución de DDoS híbrida. Esta opción combina detección y prevención en las instalaciones mientras desvía automáticamente a un centro de limpieza en la nube cuando los volúmenes del ataque amenazan con saturar los enlaces de Internet.

El futuro del panorama de amenazas de DDoS

A medida que crecen los anchos de bandas de interconexiones, nubes y conexiones de Internet, los ataques se vuelven más grandes e impactantes. Nuestros negocios y vida (automatización del hogar, streaming en línea, automóviles conectados) se vuelven más dependientes que nunca de la conectividad a Internet. La digitalización se aceleró durante la pandemia, y eso significa que hay más oportunidades de impactar en los negocios y en la gente mediante ataques de DDoS. Motivados por el éxito de las campañas pasadas de ransomware, existe una gran probabilidad de ver un aumento en los intentos de DoS de rescate en el futuro cercano.

Figura 1: Eventos de red maliciosos totalmente bloqueados en el servicio de protección contra DDoS en la nube de Radware – 2020 vs. 2021

Con un crecimiento constante en los eventos maliciosos bloqueados por cliente, no parece probable que los ataques de DDoS desaparezcan en el corto plazo. Con todas las vulnerabilidades reveladas en los últimos años, la oportunidad de construir grandes botnets y abusar de los servicios de amplificación más capaces sigue creciendo. A medida que digitalizamos nuestros negocios y nuestras vidas con la migración de las aplicaciones a la nube, y creamos dependencias totalmente entrelazadas entre las aplicaciones en línea y móviles, que dependen cada vez más de los servicios y APIs proporcionados por terceros, con automóviles y hogares conectados y consumo de videos en línea, comenzamos a depender cada vez más de la nube y la conectividad, nos hacemos más vulnerables y creamos más oportunidades para el abuso por parte de personas maliciosas.

Motivados por el éxito de las campañas de ransomware, existe una gran probabilidad de ver un aumento en los intentos de DoS de rescate en el futuro cercano. Todo mi equipo de investigadores está alineado en un futuro que traerá más y más oportunidades y ataques de denegación de servicio, razón por la cual estamos observando muy de cerca los movimientos, tácticas y técnicas de los actores maliciosos en el panorama de amenazas DDoS, a la vez que reportamos y compartimos nuestras observaciones tratando de ayudar a las empresas a protegerse de manera oportuna y apropiada para que los muchachos malos puedan tener poco o ningún impacto en sus arremetidas. Al igual que con la mayoría de las amenazas a la seguridad, si elimina la economía, los ataques y atacantes desaparecerán lentamente. Pero es en gran medida un círculo perpetuo que nos lleva de vuelta hacia atrás con cada logro, a medida que la tecnología y la digitalización del mundo continúa.

Obtén más información sobre los actores de amenazas y sus tácticas y técnicas en Radware’s 2021 Hacker’s Almanac – The Evolution of Threat Actors (Almanaque de hackers 2021 de Radware – La evolución de los actores de amenazas).

Artículo anteriorCuatro suposiciones que impiden una protección eficaz de las APIs
As the Director, Threat Intelligence for Radware, Pascal helps execute the company's thought leadership on today’s security threat landscape. Pascal brings over two decades of experience in many aspects of Information Technology and holds a degree in Civil Engineering from the Free University of Brussels. As part of the Radware Security Research team Pascal develops and maintains the IoT honeypots and actively researches IoT malware. Pascal discovered and reported on BrickerBot, did extensive research on Hajime and follows closely new developments of threats in the IoT space and the applications of AI in cyber security and hacking. Prior to Radware, Pascal was a consulting engineer for Juniper working with the largest EMEA cloud and service providers on their SDN/NFV and data center automation strategies. As an independent consultant, Pascal got skilled in several programming languages and designed industrial sensor networks, automated and developed PLC systems, and lead security infrastructure and software auditing projects. At the start of his career, he was a support engineer for IBM's Parallel System Support Program on AIX and a regular teacher and presenter at global IBM conferences on the topics of AIX kernel development and Perl scripting.

Dejar respuesta

Please enter your comment!
Please enter your name here