IoT, atracción para botnets y ataques DDoS

Akamai Technologies ha publicado su Informe sobre el Estado de Internet en materia de seguridad correspondiente al primer trimestre de este año, a partir de los datos recopilados por su Plataforma Inteligente. La principal conclusión de este análisis es que los casos de uso de botnets, como Mirai, han seguido avanzando y cambiando, y los atacantes integran cada vez más vulnerabilidades que afectan al Internet de las Cosas en la estructura de botnets y malware DDoS.

También puedes leer... Informe global sobre Seguridad de la Información 2016-2017 Evolución de los ataques con exploits GDPR: todas sus claves Riesgos de IoT en las empresas Desarrollo de estrategias de ciberseguridad nacional

Con más de 20.000 millones de cosas conectadas a nivel mundial de aquí a tres años, la seguridad se ha vuelto más importante. Los dispositivos IoT aumentaron un 43%, los ataques también. En este whitepaper, que te puedes descargar en este enlace, se explica cómo los ataques DDoS están dejando obsoletas las defensas tradicionales.

Tal y como apunta Martin McKeay, experto en seguridad y editor del informe, “hay que ser un poco ingenuo para pensar que Mirai es la única amenaza. Con la publicación del código fuente, se puede incorporar cualquier aspecto de Mirai en otras botnets. Aunque no tengan las características de éste, hay evidencias de que familias de botnets como BillGates, elknot y XOR han mutado para beneficiarse de la situación actual”, comenta.

El estudio profundiza en el ataque “DNS Water Torture” de Mirai, una inundación de consultas de DNS incluida en el malware de Mirai, que tenía como objetivo a los clientes de Akamai en el sector de los servicios financieros. La mayoría de servidores DNS afectados recibieron consultas a un ritmo constante durante los ataques. La única excepción se produjo el 15 de enero, cuando uno de los tres servidores DNS recibió 14 Mpps de tráfico de ataques. Los ataques pueden causar interrupciones por denegación de servicio al consumir los recursos del dominio afectado, que comienza a buscar un gran número de nombres de dominio generados aleatoriamente.

Por otro lado, Akamai asegura que los ataques de reflexión, que constituyeron el 57% de todos los mitigados durante el primer trimestre de 2017, siguieron siendo el mayor número de vectores de ataques de DDoS, mientras que los reflectores del protocolo simple de detección de servicios (SSDP) supusieron el mayor origen de los ataques.

En cuanto a los vectores de ataque DDoS principales, los tres primeros fueron los fragmentos UDP, DNS y NTP, mientras que las inundaciones de protocolos reservados y de conexión también aparecieron en la lista de vectores de ataque del primer trimestre. Además, se descubrió un vector de ataque de reflexión nuevo, el protocolo ligero de acceso a directorios sin conexión (CLDAP), que produce ataques DDoS que suelen ser superiores a 1 Gbps y pueden compararse con la reflexión DNS.

Finalmente, y por lo que respecta a los ataques a aplicaciones web, Estados Unidos se mantuvo como el principal país de origen, con un incremento interanual significativo de hasta el 57% con respecto al primer trimestre de 2016. Los Países Bajos ocuparon el segundo puesto, pasando del 17% del trimestre anterior al 13%. De esta forma, se mantiene como una fuente constante de tráfico de ataques, al ofrecer una proporción muy elevada para un país de sólo 17 millones de habitantes.