Qué es un ataque DDoS y cómo ha afectado a las empresas en 2020

Los ataques distribuidos de denegación de servicio (DDoS) han sido un elemento clásico de los ciberdelincuentes durante más tiempo que quizás cualquier otra técnica de ataque. Su objetivo es interrumpir o debilitar firewalls, servicios en línea y sitios web para lo cual envían millones de peticiones de manera continuada, saturando los sistemas con tráfico malicioso o enviando solicitudes no legitimas. Otra cosa que hay que comentar es que los ataques de denegación de servicio distribuido (DDoS) son ejecutados por miles de equipos simultáneamente.

El año 2020 ha sido descrito por algunos proveedores como el del resurgimiento de ataques DDoS. Aprovechando la pandemia global, los ciberdelincuentes desplegaron más ataques DDoS contra más organizaciones en más industrias que nunca antes. Así, los ataques se incrementaron en volumen y además aumentaron considerablemente los que superaban los 50 Gbps.

Las empresas objetivo de ataques DDoS en 2020 tuvieron que enfrentarse a:

• Campañas volumétricamente más grandes.
• Ataques que combinaban varios vectores al mismo tiempo.
• En algunos casos se observaba que duraban mucho más que antes.

En ese sentido, hay que destacar un ataque que encontró Akamai el año pasado, que superó los 1.4 Tbps y los 809 millones de paquetes por segundo.

Los ataques RDDoS una amenaza preocupante

Una de las cosas que más preocupa a las empresas es que los proveedores comentaron que habían observado un incremento en los llamados ataques DDoS de rescate (RDDoS). En ellos los ciberdelincuentes intentaban extorsionar a una organización amenazándola con ataques DDoS masivos. Así, algunos proveedores, como Akamai, Cloudflare y Neustar han informado que en 2020 ha habido un incremento en este tipo de ataques.

Según ha manifestado Michael Kaczmarek, vicepresidente de gestión de productos de Neustar, los ataques DDoS son una amenaza más frecuente que nunca. En un informe de Neustar se ha desvelado un aumento del 154% en el número total de ataques DDoS entre 2019 y 2020. También Kaczmarek comentó que los ataques DDoS que involucraron a dos o más vectores aumentó del 40% en 2019 al 72% en 2020 lo que significa que tanto los atacantes como las herramientas que utilizan están mejorando.

También según Neustar, estos ataques aumentaron en persistencia, sofisticación y focalización en 2020. En ese sentido, se pudo observar como  ciberdelincuentes que decían pertenecer a conocidos grupos estatales persiguieron a cierto tipo de empresas a las que no se habían dirigido antes. Algunos ejemplos a los que atacaron fueron servicios financieros, gobiernos y telecomunicaciones.

Otro proveedor que observó la misma tendencia fue Cloudflare. Así, Omer Yoachimik, gerente de producto y protección DDoS en esta empresa comentó que los ataques RDDoS aumentaron en el cuarto trimestre de 2020 cuando grupos que decían ser Fancy Bear, Cozy Bear y Lazarus Group intentaron extorsionar a organizaciones de todo el mundo. Además Yoamick señala un par de razones por las que han aumentado los ataques:

1. En Mauricio, que es el país con el nivel más alto de ataques DDoS, pudo deberse a una serie de protestas contra el gobierno.
2. Rumanía, que ocupa el segundo lugar, tiene el Internet de banda ancha ultrarrápida más barata del mundo. Como consecuencia de esto, ha hecho mucho más fácil para los ciberdelincuentes lanzar ataques volumétricos desde allí.

Atacando el protocolo RDP

En un estudio de Netscout, se ha averiguado que los atacantes intensificaron los ataques contra el protocolo RDP de Microsoft para la amplificación/reflexión de ataques DDoS. Así, cuando se habilita en el puerto UDP 3389, se puede abusar del servicio RDP para amplificar los ataques en una proporción de casi 86: 1.

Hay que señalar que, un factor que impulsa el interés en este vector de ataque, es el fácil acceso a los servicios RDP expuestos a Internet. Por lo tanto, se recomienda que los operadores de red realicen un reconocimiento para identificar los servidores RDP de Windows, de los que se puede atacar en sus redes o en sus clientes intermedios. En el caso de que los servidores RDP ofrezcan acceso remoto a través de UDP, y no se puedan mover inmediatamente detrás de los concentradores VPN, entonces, se recomienda como solución provisional que se desactive RDP a través de UDP / 3389 .

En definitiva, por todas estas cosas podemos decir que el 2020 ha sido el resurgimiento de ataques DDoS, y para 2021 si sigue así, la tendencia van a continuar con fuerza.

Fuente: Redeszone.net