En nuestro análisis retrospectivo de DDoS de 2020, señalamos las idas y venidas de un panorama de ciberamenazas muy activo. Recapitulando brevemente, hemos mitigado algunos de los ataques más grandes jamás vistos (1,44 Tbps y 809 Mpps) y hemos observado más ataques a sectores mucho más diversos, así como la campaña de extorsión DDoS más grande, que afectó a miles de empresas a nivel mundial. Por lo tanto, no sorprende que, en 2021, los ciberdelincuentes continuaran reforzando los ataques DDoS.
Me gustaría hacer unas reflexiones sobre las últimas tendencias:
Los atacantes aceleran el ritmo y suben el listón. Solo en 2021, ya hemos registrado más ataques de más de 50 Gbps (a fecha de 24 de marzo de 2021) que en todo 2019. Hay que tener en cuenta que los ataques a esta escala pueden dejar a cualquiera fuera de juego.
Los ataques DDoS son cada vez peores. Tres de los seis peores ataques DDoS volumétricos que hemos registrado y mitigado se han producido en los últimos dos meses, incluidos los dos mayores ataques de extorsión DDoS conocidos hasta la fecha. Los objetivos de los tres ataques más recientes eran una organización en Europa, del sector de las apuestas, y una organización en Asia, del sector de los videojuegos.
Los atacantes siguen ampliando sus objetivos. El número de ataques al mes ha continuado hasta alcanzar un volumen sin precedentes y hemos seguido viendo la diversificación de los ataques en zonas geográficas y sectores. Un análisis reciente anunció un aumento del 57% en la cantidad de clientes diferentes que han sufrido ataques año tras año.
Parece que los cibercriminales se están aferrando a la esperanza de obtener importantes ganancias en bitcoins, así que han comenzado a redoblar sus esfuerzos y su ancho de banda de ataque, dejando atrás cualquier expectativa de que la extorsión DDoS se haya acabado.
Tres de los seis peores ataques DDoS volumétricos que hemos registrado y mitigado se han producido en los últimos dos meses
El ataque de extorsión más reciente, que alcanzó un pico de más de 800 Gbps y cuyo blanco era una empresa europea de apuestas, ha sido el más grande y complejo que hemos observado desde agosto de 2020, fecha que marcó el retorno generalizado de este tipo de ataques. Desde el inicio de la campaña, los ataques de demostración de fuerza han aumentado desde más de 200 Gbps en agosto hasta más de 500 Gbps a mediados de septiembre, y en febrero de 2021 sobrepasaron los 800 Gbps.
Sin embargo, el tamaño del ataque de extorsión no fue la única característica notable del modus operandi de los atacantes. Tal como informó nuestro equipo de respuesta a incidentes e inteligencia en seguridad (SIRT) el 23 de marzo de 2021, los cibercriminales utilizaban un vector de ataque DDoS nunca visto que aprovechaba un protocolo de red conocido como el protocolo 33 o el protocolo de control de congestión de datagramas (DCCP). Este ataque es similar a una inundación SYN en DCCP, pero en este caso es de naturaleza volumétrica. Los atacantes explotan el protocolo 33 en un intento por eludir las defensas centradas en los flujos de tráfico TCP (protocolo de control de transmisión) y UDP (protocolo de datagramas del usuario) tradicionales. El nuevo vector de ataque DDoS a través de DCCP es el último ejemplo de los episodios de abuso de protocolos detectados por nuestro SIRT.
En conclusión, los atacantes seguirán buscando maneras nuevas y creativas de lanzar ataques DDoS, y la explotación del protocolo DCCP es el ejemplo más reciente de tales actividades delictivas.
Además del nuevo vector de ataque DCCP descrito anteriormente, y también como parte de una tendencia más general, las campañas de DDoS de 2021 se han vuelto más focalizadas y persistentes. Recientemente, hemos observado varias campañas dirigidas a una serie de direcciones IP de dos clientes específicos durante un gran número de días. Los atacantes buscaron sin cesar puntos débiles en las defensas, además de probar diferentes combinaciones de vectores de ataque. En un solo ataque, el objetivo de los atacantes era casi una docena de direcciones IP e intercambiaron múltiples vectores de ataque DDoS con el fin de aumentar la probabilidad de perturbar los entornos de back-end. De hecho, el 65% de los ataques DDoS dirigidos contra clientes fueron multivectoriales.
A partir de las tendencias de ataque y de nuestras observaciones, queda claro que 2021 continuará siendo un año lleno de sorpresas en cuanto a DDoS se refiere, pero eso no significa que no podamos estar preparados. Es más importante «prepararse en los momentos de paz» para que su organización no se enfrente sola ni se encuentre desprevenida durante un ataque.
Al mirar hacia el futuro, nuestro pronóstico de ataques DDoS prevé el crecimiento de los ataques en cuatro frentes:
– Número de ataques DDoS,
– Número de ataques DDoS de gran tamaño (> 50 Gbps),
– Número de sectores
– Número de organizaciones a los que se dirigen.
¿No crees que es el momento de asegurarte que tu organización esté preparada para combatir estos ataques?
Por Francisco Arnau, Responsable de Akamai España