“Los mayores ataques a los que estamos acostumbrados, aquellos que exceden los  100 gigabits por segundo (Gbps), han  bajado su intensidad por primera vez en más de tres años. Sin embargo, no se puede bajar la guardia. Advertimos que ahora los atacantes han utilizado PBot para crear una minibotnet DDoS que lanza ataques DDoS de 75 Gbps, una cifra que los posiciona como los mayores de este segundo trimestre 2017” anticipa Marcelo García, Ingeniero de Exceda Argentina, representante de Akamai Technologies en Latinoamérica (Fuente Exeda).

PBot  es un malware que se ha constituido en la base de los mayores ataques DDoS detectados por Akamai durante este trimestre.

PBot se ha modernizado para atacar a sus objetivos con cientos – en lugar de decenas de miles – de nodos afectados. Esta botnet se ha empleado para llevar a cabo el mayor ataque del trimestre, que ha alcanzado los 75 Gbps y tenía como objetivo una entidad financiera.

En relación a las TENDENCIAS DE ATAQUES  A  APLICACIONES WEB, podemos destacar lo siguiente:

LOS ATACANTES DESARROLLAN EL INGENIO para evitar que los descubran: usan algoritmos de generación de dominios.

Las redes limpias presentan entre el   1% y 5 %   de respuestas NXDomain, mientras que las redes infectadas presentan entre el  15% y 33 %.  Este código de respuesta hace referencia a un dominio que no existe.

En cuanto al número medio de dominios únicos a los que se accede  por hora, las redes infectadas presentaban un índice de consulta   15 VECES   mayor que el de las redes limpias.

Emergentes del Informe de Akamai Technologies Q2 2017:

Por primera vez en muchos años, Akamai no observó entradas para grandes ataques que excedan los 100 Gbps.

Si bien observamos una caída abrupta en el número de IPs que se utilizaron en ataques volumétricos en este trimestre, vimos un modesto incremento en el número de ataques a aplicaciones web. Estados Unidos, tenía el primer lugar como fuente y destino de la mayoría de los ataques a aplicaciones web que es una ocurrencia común. De hecho, los ataques de la mayoría de las regiones fueron relativamente estables, con la excepción de Asia, donde el tráfico de ataques de Singapur cayó a la mitad, causando que caigan de la lista de los 10 principales países de origen para ataques a aplicaciones web.

Los ataques DDoS a las empresas Gaming ciertamente aumentaron considerablemente, con una empresa que recibió 558 ataques en el trimestre. Mientras que el juego siempre ha sido un gran objetivo para DDoS, la popularidad de los juegos que dependen de la sincronización de milisegundos de los paquetes hace un objetivo tentador, frustrando a los jugadores y las compañías de juego. Esta tendencia puede culminar en ataques significativos durante la temporada de vacaciones de invierno, que ha sido a menudo la tendencia en los últimos años.

DDoS es un fenómeno cíclico. El caos que hemos visto en el campo DDoS durante el año pasado ha sido monumental, y hay pocas razones para creer que la evolución haya alcanzado una meseta estable.

Industrias más atacadas:

Un examen de los ataques por parte de la industria vertical puede proporcionar una visión sobre qué sección transversal de la economía está recibiendo atención indebida de los atacantes. Este trimestre, los juegos tuvieron la mayor parte del tráfico de ataque total, con el 82% del tráfico total de ataques DDoS dirigido a sus operaciones.

170925-7

 

Argentina  entre las principales fuentes de reflexión IP por ASN

Tal como detalla el Informe de Akamai, 2 ASNs en China y 1 ASN en Argentina obtuvieron la mayor cantidad de tráfico de reflexión DDoS, como se muestra en la Figura 2-12 (abajo).

ASN significa sistema autónomo en español, sería el número que identifica a un ISP (Proveedores de Internet). Esto es, según el cuadro, de las top 10 fuentes de reflexión IP por ASN, se detectaron en la ASN 22927, que pertenece a Telefónica Argentina, 62 mil IPs que se utilizaron para realizar ataques de reflexión. Estos ataques pueden ser destinados a cualquier parte del mundo.

Un ataque de reflexión se utiliza para ampliar el volumen del ataque, permitiendo  que el atacante  pueda ocultar su identidad.

170925-8

En el cuadro de abajo, se muestra el porcentaje del total de IPs que tiene ese ISP o ASN, que está siendo utilizado para hacer ese ataque de reflexión. Es decir, que de todos los IPs que tiene telefónica, se están utilizando el 1,62% del total para realizar los ataques. Y de hecho, es el que tiene el mayor porcentaje.

170925-9

Fuentes de origen de ataques Web: Crece la “falsificación del tráfico”

Una cuestión que surgió durante este trimestre – revela Akamai Technologies en su Informe – es la falsificación del tráfico utilizando X-Forwarding-para los encabezados y aparentar que el tráfico aparezca como si fuera de otro país. Este es un tipo de suplantación que es inusual para nosotros ver y merece más investigación.

El panorama de los ataques en el hemisferio occidental creció ligeramente entre principios de abril y finales de junio. En este trimestre, Canadá se ubicó en la tercera posición general en las Américas, mientras que en el Ranking mundial está en el puesto diez. También se advierte  una brecha notable entre el primer lugar de los  EE.UU. y Brasil que ocupa el segundo lugar.

170925-10

Países más atacados en el segundo trimestre 2017.

170925-11

 

Anuncios