Las 'botnets' DDoS, las redes de 'bots' que
lanzan ataques de denegación de servicio, atacaron recursos 'online' en 79
países en el primer trimestre de 2018, como recoge el último informe trimestral
de Kaspersky Lab, en el que se comparte que el ataque más duradero de DDoS se
prolongó durante 297 horas.
En los primeros tres
meses de 2018 se registraron ataques en 79 países (en el trimestre anterior
fueron 84). La gran mayoría (95,14%) tuvo lugar en los diez primeros países,
con China, Estados Unidos y Corea del Sur a la cabeza de los que experimentaron
"mayor cantidad de ataques".
Estos tres países
continuaron a la cabeza en lo que a número de servidores disponibles para los
ciberatacantes y por el número de sitios y servicios alojados en ellos. Hong
Kong y Japón sustituyeron a los Países Bajos y Vietnam entre los diez países
objetivos principales.
El cambio en la lista
de los diez países que albergan la mayoría de los servidores C&C fue más
significativo, con Italia, Hong Kong, Alemania y Reino Unido reemplazando a
Canadá, Turquía, Lituania y Dinamarca.
Desde Kaspersky Lab
consideran que este cambio puede deberse a que el número de servidores C&C
activos de los robots Darkai (un clon de Mirai) y AESDDoS ha aumentado, y a que
los antiguos 'botnets' de Xor y Yoyo hayan reanudado su actividad.
Aunque la mayoría de
estas 'botnets' utilizan Linux, la proporción de 'botnets' basadas en Linux
cayó ligeramente en el primer trimestre de este año en comparación con el
último trimestre de 2017, con un 66% frente al 71%.
Además, parece que
los ataques prolongados vuelven a hacer acto de presencia. El ataque más
duradero de DDoS del pasado trimestre se prolongó durante 297 horas (más de 12
días). La última vez que los investigadores habían visto un ataque "tan
sostenido", fue a finales de 2015, como ha señalado la compañía.
El final del
trimestre sobre el que se informa estuvo marcado por las avalanchas de
Memcached, que en algunos casos eran superiores a 1TB. Estos ataques no sólo
afectan a los objetivos sino también a las empresas que, de manera
involuntaria, se ven involucradas en la realización de los ataques, como han
señalado desde la compañía.
Este tipo de ataques
"están condenados a ser breves", ya que, como explican desde
Kaspersky, "los involuntarios cómplices de los ataques de Memcached pronto
notan la mayor carga y, rápidamente, proceden a 'parchear' las vulnerabilidades
para evitar pérdidas, reduciendo así la cantidad de servidores disponibles para
los atacantes"
En general, la
popularidad de los ataques de amplificación, "que anteriormente estaban en
declive", como señalan los investigadores, tomó de nuevo impulso en el
primer trimestre. La compañía indica el registro de un tipo raro de ataque,
independientemente de su efectividad, en el que el servicio LDAP se utilizó
como amplificador.
A diferencia de
Memcached, el tráfico basura LDAP apenas es capaz de obstruir el canal de
salida por completo, lo que dificulta que el propietario de un servidor
vulnerable identifique y solucione la situación.
Fuente: Europa Press
