6 nuevos tipos de ataques DDoS y cómo afectan su seguridad
Un ataque DDoS (denegación de servicio distribuido) es un tipo de ataque cibernético que se utiliza para interrumpir el tráfico normal de un sitio o servicio con solicitudes. El ataque afecta a diferentes plataformas, incluidos sitios web y videojuegos.
En un ataque DDoS, la infraestructura del servidor en la que se basa un servicio en línea experimenta un tráfico inesperado que lo obliga a estar fuera de línea.
Desde el primer ataque de denegación de servicio en 1974, los ataques DDoS se han convertido en el tipo de ciberataque más importante. Este artículo explorará cómo los atacantes que utilizan un DDoS se han vuelto más sofisticados, además de proporcionar métodos para mitigar los riesgos de sus ataques.
¿Cómo funciona un DDoS?
Las redes de máquinas conectadas a Internet pueden usarse para llevar a cabo ataques DDoS. Los tipos de máquinas que se utilizan en un ataque DDoS incluyen computadoras. La colección de dispositivos utilizados para un DDoS se conoce como botnets.
Los atacantes DDoS utilizan malware para hacerse con el control de los dispositivos y poder dirigir los ataques de forma remota. Es difícil distinguir entre una botnet y un dispositivo normal, ya que los sistemas suelen reconocer las botnets como dispositivos legítimos de Internet.
Estos son los tipos de formas en que se pueden llevar a cabo los ataques DDoS y cómo pueden afectarle.
1. Protocolo de escritorio remoto de Windows
El Protocolo de escritorio remoto de Windows (RDP) se usa para conectar computadoras a través de redes. El protocolo de propiedad de Microsoft ha facilitado que las personas conecten computadoras a través de redes.
La investigación de Netscout muestra que Windows RDP se ha utilizado para amplificar los ataques DDoS y explotar nuevos vectores. El Protocolo de diagrama de usuario (UDP) fue un componente importante utilizado por los atacantes para llevar a cabo ataques DDoS con los servidores.
UDP es un protocolo de comunicación utilizado para transmisiones sensibles al tiempo, como voz y videos. Su velocidad se basa en el hecho de que no establece formalmente una conexión antes de transferir datos. Esto tiene varias desventajas, incluida la pérdida de paquetes en tránsito y las vulnerabilidades a los ataques DDoS.
Aunque no se abusó de todos los servidores RDP, los ciberdelincuentes utilizaron Windows RDP para rebotar y amplificar el tráfico basura para sus ataques DDoS. Los atacantes aprovecharon los sistemas en los que la autenticación RDP estaba habilitada en el puerto UDP 3389 sobre el puerto TCP estándar 3389. Los atacantes enviaron paquetes UDP a los puertos UDP de los servidores RDP antes de que se reflejaran en los dispositivos objetivo.
2. Servidores Jenkins
Jenkins es un servidor de código abierto que se utiliza para automatizar las tareas de desarrollo de software. Un servidor Jenkins se puede utilizar para llevar a cabo una variedad de tareas críticas de desarrollo de software, incluida la construcción, prueba, implementación e integración continua.
Se identificó una vulnerabilidad que permitió lanzar ataques DDoS con Jenkins. Si bien se solucionó el error, la vulnerabilidad arrojó luz sobre algunos de los riesgos de DDoS relacionados con errores en los servidores.
Si ejecuta una instancia pública de Jenkins, actualice a 2.204.2 LTS o 2.219+ semanalmente. Las versiones anteriores pueden ser un objetivo de ataques de denegación de servicio. Consulte SECURITY-1641 / CVE-2020-2100: https://t.co/NtuNHzsOGx
– Jenkins (@jenkinsci) 13 de febrero de 2020
Los investigadores de seguridad descubrieron que un atacante podría usar el protocolo de descubrimiento Jenkins UDP (en el puerto UDP 33848) para amplificar los ataques DDoS, haciendo que el tráfico rebote del servidor al objetivo previsto. Los atacantes podrían usar los servidores vulnerables de Jenkin para amplificar el tráfico hasta 100 veces.
El error también hizo que fuera más probable que se engañara a los servidores para que se enviaran paquetes continuos entre sí. Esto puede conducir a infinitos bucles y bloqueos.
3. Protocolo de descubrimiento dinámico de servicios web (WS-DD)
El protocolo de descubrimiento dinámico de servicios web (WS-DD) es un protocolo de descubrimiento de multidifusión que se utiliza para localizar servicios o dispositivos en una red local. El monitoreo e impresión de video son algunos ejemplos de actividades para las que se utiliza WS-DD.
La investigación revela que los ciberdelincuentes han utilizado WS-DD como técnica de amplificación de UDP. En 2019, los atacantes llevaron a cabo más de 130 ataques DDoS con el protocolo, utilizando más de 630.000 dispositivos para amplificar los ataques DDoS. A medida que aumenta el uso de dispositivos IoT (Internet de las cosas), estos tipos de vectores de ataque podrían volverse más preocupantes.
4. Vulnerabilidades DDoS en 5G
5G promete mejorar la velocidad y la capacidad de respuesta de las redes inalámbricas. La red móvil de quinta generación conectará a las personas y sus dispositivos como nunca antes, con mejor ancho de banda y tecnología de antena avanzada.
Sin embargo, un aumento en la cantidad de dispositivos conectados podría aumentar el riesgo de ataques DDoS.
R3:… Un ejemplo de un nuevo nivel de peligro sería incluso para las organizaciones que por sí mismas no utilizan 5G: mayor magnitud de los ataques DDoS… Los “buenos” no son los únicos que pueden aprovechar el mayor ancho de banda disponible… #BIZTALKS #CyberSecurity # InfoSec #Seguridad # 5G
– Joseph Steinberg (@JosephSteinberg) 21 de octubre de 2020
A medida que el tamaño de la red de dispositivos IoT crece junto con la introducción de 5G, la superficie de ataque para los ataques DDoS podría ampliarse. Existen muchos dispositivos IoT vulnerables y desprotegidos.
Inevitablemente, habrá muchas mejoras de seguridad que realizar en las etapas iniciales de implementación de una nueva red como 5G. Las vulnerabilidades combinadas de los dispositivos IoT y la nueva estructura de seguridad de las redes 5G pueden hacer que los dispositivos 5G sean un objetivo fácil para los ciberdelincuentes creativos.
Es probable que los ciberdelincuentes usen 5G para expandir su ancho de banda de ataque DDoS. El ancho de banda adicional podría mejorar el impacto de los ataques volumétricos donde el ancho de banda se usa para saturar el ancho de banda del objetivo.
5. ACK DDoS con ondas pulsantes
La empresa de infraestructura web Cloudflare detectó un ataque DDoS que envía tráfico en ondas pulsantes, similar al ritmo de un tambor. Los creadores del ataque pueden haber optado por utilizar el método menos convencional de enviar tráfico para engañar a los sistemas de seguridad.
El ataque distribuido globalmente duró dos días, utilizando nodos para enviar la misma cantidad de paquetes a velocidades iguales. Sin embargo, la creatividad no fue suficiente. Se detectaron y controlaron más de 700 ataques.
6. Ataques multivectoriales
Los ataques de múltiples vectores implican el uso de una combinación de diferentes técnicas para llevar a cabo ataques en múltiples vectores de ataque de la red, la aplicación y las capas de datos.
En los últimos años, los ataques de múltiples vectores se han vuelto más populares a medida que los piratas informáticos encuentran nuevas formas de atacar plataformas. Los ataques multivectoriales pueden ser extremadamente difíciles de defender debido a lo difícil que puede ser preparar recursos para responder a ataques multifacéticos.
A medida que se implementen más protocolos en Internet, aumentarán los vectores de ataque que pueden utilizar los ciberdelincuentes. Los avances en hardware y software en todo el mundo dan lugar a nuevas oportunidades para que los ciberdelincuentes experimenten con nuevos ataques. BitTorrent, HTML y TFTP se encuentran entre los vectores de ataque más utilizados.
Información inteligente sobre la anatomía de una amenaza DDoS @Imperva https://t.co/OgpF0d0d0g y el aumento de los ataques #DDoS multivectoriales en empresas ( #video @ A10Networks ) #IoT #Cybersecurity #Infosecurity # Cloudsec #CISO #DataBreach #Botnet #Malware #Ransonmware #SMM #SEO pic.twitter.com/zecdoDe291
– Benson M | Más allá de los datos (@Benson_Mwaura) 12 de septiembre de 2018
7. Botnets que afectan a los dispositivos Android
Una nueva botnet utiliza dispositivos Android para lanzar ataques DDoS. La botnet, Matryosh, utiliza una utilidad de línea de comandos, Android Debug Bridge (ADB), en el kit de desarrollo de software (SDK) de Android de Google para llevar a cabo ataques. ADB permite a los desarrolladores ejecutar comandos de forma remota en los dispositivos.
ADB no está autenticado. Esto significa que un atacante puede abusar de él habilitando Debug Bridge en un dispositivo Android. Lo que es peor es que muchos productos se han enviado con Debug Bridge habilitado. Se podría acceder fácilmente a estos dispositivos de forma remota y tener software malicioso instalado para llevar a cabo ataques DDoS.
Cuando se ejecuta Matryosh en un dispositivo, obtiene un proxy TOR para ocultar su actividad. Esto podría hacer que a los sistemas de software antivirus les resulte mucho más difícil identificar software malicioso y ataques.
Reducir los riesgos de los ataques DDoS
Los riesgos de ataques DDoS se pueden reducir en gran medida con una preparación adecuada. La tecnología en la nube, los planes de respuesta y la comprensión de las señales de advertencia se encuentran entre los factores clave que determinan si se materializan los riesgos de ataque DDoS.
Proveedores de servicios basados en la nube
La prevención de DDoS se puede subcontratar a proveedores de servicios basados en la nube. Si bien esto puede resultar costoso a corto plazo, ofrece beneficios que pueden reducir los costos a largo plazo. La nube suele tener más recursos de ancho de banda que las redes privadas. Además, es más difícil para los atacantes llegar a su destino previsto a través de aplicaciones basadas en la nube debido a la asignación más amplia de recursos y firewalls altamente sofisticados.
Señales de advertencia de ataque DDoS
Es importante tener una buena comprensión de las señales de alerta que podrían indicar un ataque DDoS. Esto puede facilitar la implementación rápida de soluciones para reducir los riesgos de pérdidas que puede causar un ataque. Los cierres de sitios web, la ralentización de las redes y la reducción considerable de la calidad de la experiencia del usuario son algunos de los signos comunes de un ataque.
Plan de respuesta DDoS
Se necesita un plan de respuesta DDoS para implementar una buena estrategia de defensa. El plan debe basarse en una evaluación de seguridad exhaustiva. Un plan de respuesta DDoS debe detallarse y ejecutarse con precisión. El plan debe incluir detalles del equipo de respuesta, contactos, procedimientos de notificación, procedimientos de escalamiento y una lista de verificación de sistemas.
Adaptarse y superar
Los ciberdelincuentes evolucionan constantemente a medida que buscan nuevas formas de explotar los sistemas para beneficio personal. A medida que se introducen nuevas tecnologías, inevitablemente se crearán más vectores de ataque, dando lugar a oportunidades para implementar métodos DDoS creativos.
No solo tenemos que tomar medidas adicionales para protegernos contra ataques derivados de vulnerabilidades ancestrales, sino que también tenemos que abordar los riesgos que conlleva una nueva era de tecnologías más diversas y avanzadas.