Los ataques de Denegación Distribuida de Servicios (DDoS) descendieron durante el último trimestre de 2020, pero un nuevo análisis de F5 Labs apunta que han vuelto a crecer y que no solo están aumentando en número, también en complejidad. Concretamente, señala que entre enero y marzo de 2021 se han incrementado un 55% y que en la mayoría de esos incidentes (54%) se utilizaron múltiples vectores de ataques, lo que requiere una mayor sofisticación de los hackers.
"Los ataques DDoS siguen siendo una amenaza frecuente, muy fácil de aprender y baratos para los piratas informáticos novatos, que pueden acceder a tutoriales en YouTube o contratar un servicio 'DDoS-for-hire', por poco dinero", ha subrayado David Warburton, especialista en investigaciones sobre amenazas en F5 Labs.
"Aunque los ataques DDoS pueden convertirse en commodities, también pueden llegar a ser una modalidad compleja y sofisticada, poniendo a prueba las defensas de las compañías objetivo con diferentes tipos de ataques que se desarrollan en paralelo. Asimismo, existe una creciente evidencia de que los ciberdelincuentes están comenzando a usar ataques DDoS para presionar a las víctimas y conseguir que paguen rescates", ha agregado Warburton.
La diversificación de los ataques DDoS
Los datos recopilados por el Equipo de Respuesta de Incidentes de Seguridad (SIRT) y el Centro de Operaciones de Seguridad (SOC) de F5 muestran que los ataques DDoS se han diverficado.
Los más comunes son los ataques DDoS volumétricos, es decir, los que inundan la red con tráfico dirigido a consumir todo el ancho de banda disponible. Representan el 73% de todos los incidentes registrados entre enero 2020 y marzo de 2021, pero hay otras modalidades de ataque que también se están generalizando. Los que están creciendo más rápido son los DDoS de Protocolo, el cual ataca los firewalls y los routers para conseguir que los dispositivos de red sean incapaces de gestionar los paquetes que se les envían. En los tres primeros meses de 2021, F5 Labs observó un incremento interanual del 135% en los ataques DDoS de protocolo, mientras que los ataques volumétricos aumentaron un 59%.
Paralelamente, los ataques DDoS de aplicación crecieron hasta suponer el 16% de todos los incidentes DDoS del primer trimestre de 2021, representando más de la mitad de todas las peticiones de soporte relacionadas con DDoS gestionadas por el SIRT de F5. Este tipo de ataque tiene como objetivo consumir recursos del servidor de origen, lo que obliga a la aplicación a gestionar las solicitudes ilegítimas del atacante en detrimento de las legítimas.
La creciente sofisticación de los ataques DDoS
Junto con el aumento de los ataques DDoS, el SOC y el SIRT de F5 observaron una sofisticación cada vez mayor por parte de los atacantes. En los primeros tres meses de 2021, los ataques multivector – en los que se lanzan diferentes ataques de forma simultánea y con distintas técnicas – fueron hasta un 80% más numerosos que en el mismo periodo del año anterior, mientras que el número de ataques de un único vector permaneció prácticamente igual.
Los ataques multivectoriales desplegaron de media 2,7 métodos diferentes, y el ataque registrado con mayor complejidad desplegó hasta ocho tipos de ataques en paralelo.
"Los hackers más sofisticados están desplegando cada vez más diferentes vectores de ataque a la vez, lo que les permite apuntar al ancho de banda de Internet de la víctima, la pila de red y los servidores de aplicación en paralelo, en un intento de abrumar a la compañía objetivo a través de un amplio frente de ataque. Además de ataques más sofisticados, hemos registrado algunos bastante importantes, incluyendo un ataque contra una empresa de tecnología que alcanzó los 500 Gbps, medio terabit por segundo", ha explicado Warburton.
Sectores clave, en el blanco de estos ataques
F5 también destaca que, desde principios de 2020, los sectores más afectados por los ataques DDoS son: Tecnología (25%), Telecomunicaciones (22%), Finanzas (18%) y Educación (11%).
Sin embargo, la compañía subraya que la frecuencia de estos ataques no se corresponde con su gravedad. En este sentido, indica que el sector salud ha sido víctima de alguno de los ataques DDoS más importantes a pesar de que solo representa una pequeña parte de este tipo de ataques. En cuanto a las compañías financieras, tecnológicas y de telecomunicaciones señala que habitualmente sufren ataques cuya gravedad media puede calificarse como relativamente baja.
Durante los 15 meses estudiados, también se han producido notables cambios respecto a la evolución experimentada por algunos sectores. Por ejemplo, en el educativo, donde el 56% de todos los incidentes que ha sufrido desde enero de 2020 tuvieron lugar en el primer trimestre de este año, mientras muchas escuelas y universidades volvían a la normalidad después de un largo período de actividad en remoto.
Recomendaciones para defenderse de los ataques DDoS
Ante el peligro que supone el aumento de los ataques DDoS y su sofisticación, Warburton ha instado a las organizaciones a permanecer alerta. Esto incluye la utilización de medidas de seguridad, tales como firewalls de aplicaciones web y soluciones de detección de bots que puedan identificar tráfico legítimo, o el uso de servicios de scrubbing que logran eliminar el tráfico malicioso antes de que llegue al servidor web.
"Con un aumento constante tanto en la cantidad como en la complejidad de los ataques DDoS, está claro que debemos hacer más para defendernos de ellos. Además de considerar cómo mitigar los ataques DDoS una vez que estén en marcha, también es de vital importancia detectarlos con precisión. A medida que aumenta el número de ataques DDoS dirigidos a las aplicaciones, cada compañía tendría que ver si es capaz de diferenciar entre un aumento en el tráfico de los usuarios legítimos y un ataque dirigido y sostenido de una botnet. Como siempre, la visibilidad y el contexto son cruciales", ha advertido.
Además, Waburton ha subrayado cómo los atacantes están haciendo un buen uso de los servidores de aplicaciones vulnerables o inseguros para lanzar ataques de reflexión. "Esto significa que aunque una compañía no sea objetivo directo de un ataque DDoS, sus sistemas pueden utilizarse para el lanzamiento de un ataque. Los servicios DNS, NTP, Memcached y LDAP, por nombrar solo algunos, son frágiles y deben protegerse de vulnerabilidades y accesos no autenticados, especialmente si están conectados a Internet", ha concluido el experto en amenazas de F5 Labs.