Según los expertos en seguridad de Corero Network Security, las demandas de rescate asociadas con ataques DDoS se triplicarán el año próximo, impulsadas por un aumento de la automatización de los mismos. También predice un mayor papel de los ISP en su mitigación.

Los expertos en materia de seguridad de Corero Network Security señalan que, en 2016, el número de ataques DDoS utilizados como una cortina de humo, o ‘Dark DDoS’ crecerá notablemente, facilitando la incursión en las redes de otras amenazas cuyo fin es el robo de datos confidenciales.

El último Informe de Corero sobre Tendencias y Análisis señala que los ataques DDoS por sub-saturación son utilizados con mayor frecuencia, con ataques de duración más corta para distraer a los equipos de TI. Asimismo, el informe aclara que, la gran mayoría de los ataques DDoS experimentados por los clientes de Corero durante 2015, fueron menores a 1 Gbps, presentando, más del 95% de los mismos, una duración igual o inferior a 30 minutos.

Dave Larson, director de Operaciones de Corero Network Security, explica que “el altamente sofisticado, adaptable y potente ataque ‘Dark DDoS’ crecerá exponencialmente el año que viene, dado el éxito obtenido por los criminales al utilizar los ataques DDoS como una técnica de distracción. El ataque Carphone Warehouse, realizado el pasado mes de agosto, es un ejemplo clave en este sentido, por ser uno de los primeros casos de ‘Dark DDoS’ denunciados públicamente. Se abre una nueva frontera para los ataques DDoS, como una amenaza creciente para cualquier negocio conectado a Internet que aloje información sensible, como datos de tarjetas de crédito u otra información personal”.

“Los enfoques tradicionales de defensa DDoS simplemente no pueden lidiar contra este tipo de ataques sofisticados. Sólo mediante el uso de una solución de mitigación de DDoS en línea y siempre activa, que automáticamente elimine las amenazas y proporcione visibilidad en tiempo real, los equipos de TI serán capaces de endurecer su perímetro de seguridad para hacer frente a este emergente amenaza a la seguridad”, añade.

Las peticiones de rescate asociadas con DDoS podrían triplicarse en 2016

Adicionalmente, el Centro de Operaciones de Seguridad de Corero ha registrado un fuerte aumento de las demandas de rescate a satisfacer en Bitcoin. Así, durante el pasado mes de octubre, el 10% de la base de clientes de Corero se enfrentó a diferentes intentos de extorsión por parte de piratas informáticos, los cuales amenazaban con derribar sus sitios web o repetir un ataque DDoS sí las peticiones de rescate no eran abonadas.

Larson añade: “Una participación altamente divulgada impulsará aún más esta epidemia, provocando que estas demandas se extiendan como un reguero de pólvora. Mediante el despliegue de herramientas de mitigación DDoS en línea y en tiempo real, las organizaciones estarán debidamente preparadas para detener esta marea, pudiendo negarse a satisfacer las solicitudes de rescate con la certeza de que están protegidas y pueden soportar la tormenta”.

El número de peticiones de rescate se está elevando por el aumento de la automatización de los ataques DDoS, que permite a los ciberdelincuentes lanzar ataques híbridos y multi-vector. En este contexto, el equipo de ciberatacantes, la Armada Colectiva, afirmó recientemente que sus ataques DDoS pueden ser tan poderosos como un Terabit por segundo. Sin embargo, y gracias a la creciente industrialización de los ataques DDoS, pronto se podrían gestar ataques aún más notables.

El Centro de Operaciones de Seguridad de Corero está siendo testigo de un aumento en la utilización de herramientas DDoS automatizadas. En estas situaciones, los atacantes se valen de una técnica de ataque, como inundación DNS, para después, en caso de no tener éxito, lanzar automáticamente una segunda oleada, (por ejemplo, una inundación UDP) manteniendo esta progresión de diferentes técnicas de ataque automatizadas hasta que la denegación de servicio, contra el sitio al que se dirijan, alcanza el fin deseado.

“Lizard Squad ya vende ataques DDoS-como-servicio por tan solo seis dólares al mes. De igual forma, y para acelerar el proceso, algunos cibercriminales podrían estar desarrollando ‘kits de rescate’ para automatizar estas prácticas. Quienes utilizan estas herramientas, saben cuando tienen éxito. Además, este nivel de automatización funciona más rápido que los humanos por lo que se requiere de herramientas de mitigación DDoS en línea y siempre activas para una defensa sólida”, comenta Larson.

“El Internet de las Cosas exacerba aún más este problema al proporcionar una proliferación de puntos finales rara vez protegidos y que son vulnerables a los ataques. Esto proporciona un dominio creciente de botnets potenciales y significa que no hay límite a la escala de futuros ataques”.

Los ISPs y su papel en la mitigación de ataques DDoS

Otra tendencia clave que Corero anticipa para 2016 será el aumento del peso de los ISPs en la prestación de servicios de mitigación de DDoS para sus clientes. En una encuesta realizada este otoño, Corero revela que tres cuartas partes (75%) de los clientes empresariales desean que su proveedor de Servicios proporcione servicios de seguridad adicionales para eliminar el tráfico DDoS de sus redes. Además, más de la mitad de los encuestados confirmó que estarían dispuestos a costear entre un 5-10% de lo que pagan a su ISP por disfrutar de un servicio premium que elimine los ataques DDoS de su entorno.

“El actual status quo favorece que el tráfico malicioso integre amenazas DDoS, las cuales fluyen libremente por la mayoría de las redes de los proveedores. Como resultado, muchos clientes terminan pagando a un proveedor que ofrece contenidos potencialmente peligrosos. Sin embargo, existe una tecnología para que los ISPs puedan convertir este problema en una oportunidad de negocio. Al proporcionar herramientas de mitigación DDoS como servicio,y desplegadas en el extremo de Internet, pueden frenar este problema antes de que impacte en las redes de sus clientes”, afirma el ejecutivo.

“Esto también ofrece la posibilidad de una verdadera reorganización del mercado de banda ancha, donde los pequeños proveedores Tier 3 podrían adelantar legítimamente a los grandes proveedores Tier 1 mediante la implantación de protección DDoS en línea y en tiempo real. Si los proveedores más grandes siguen dependiendo de los centros de depuración de tráfico existentes, los cuales, pasan por alto la mayoría de los ataques por sub-saturación y de bajo ancho de banda, los proveedores Tier 3 podrían aumentar su cuota de mercado al ofrecer un servicio que los clientes claramente quieren”.