Los ataques de denegación de servicio distribuido (DDoS) continúan evolucionando en complejidad, frecuencia y escala. Tecnologías Lumen rastrea y mitiga estas amenazas, incluidas las familias de botnets Gafgyt y Mirai, y la compañía publicó su informe DDoS trimestral para el primer trimestre de 2022. Esta investigación proporciona una visión del panorama DDoS con hallazgos que refuerzan y amplían estas tendencias.

Para crear el informe, el equipo de seguridad de Lumen analizó la inteligencia de Black Lotus Labs, el brazo de investigación de amenazas de la compañía y las tendencias de ataque de la plataforma Lumen DDoS Mitigation Service, que integra contramedidas directamente en la red global extensa y profundamente emparejada de la compañía.

“A medida que aumenta la dependencia de las organizaciones de las aplicaciones para generar ingresos, muchas se están dando cuenta de que ya no pueden arriesgarse a renunciar a las defensas DDoS esenciales. La información de este informe es una prueba más de eso ”, dice Mike Benjamin, vicepresidente de seguridad de Lumen y Black Lotus Labs. "A medida que las botnets IoT DDoS continúan evolucionando, Lumen se centra en aprovechar nuestra visibilidad para identificar e interrumpir la infraestructura maliciosa".

Resultados clave:

Los tamaños de los ataques en el informe DDoS transmiten los ataques más grandes eliminados por la infraestructura de depuración de DDoS global de Lumen, en lugar de los ataques más grandes observados en el tránsito de la red Lumen.

Botnets de IoT:

• Las redes de bots de IoT conocidas como Gafgyt y Mirai siguen siendo graves amenazas DDoS, con 700 servidores de comando y control (C2) activos que atacan a 28.000 víctimas únicas combinadas.
• Lumen rastreó casi 3.000 DDoS C2 a nivel mundial en el primer trimestre. La mayoría se alojó en Serbia (1.260), seguida de Estados Unidos (380) y China (373).
• De los C2 globales más activos que Lumen observó emitiendo comandos de ataque, Estados Unidos tenía la mayor cantidad (163), seguido de los Países Bajos (73) y Alemania (70).
• Lumen rastreó más de 160.000 hosts de redes de bots DDoS globales. Casi 42.000 se encontraban en los Estados Unidos más que cualquier otro país.

Tendencias de ataques DDoS

• El Lumen de ataque más grande medido por ancho de banda depurado fue de 268 Gbps; el ataque más grande medido por la tasa de paquetes eliminados fue de 26 Mpps.
• El período de ataque DDoS más largo que Lumen mitigó para un cliente individual duró casi dos semanas.
• Las mitigaciones multivectoriales representaron el 41% de todas las mitigaciones DDoS, siendo las más comunes una inundación de consultas DNS combinada con una inundación TCP SYN.
• Las tres industrias principales a las que se dirigieron los 500 ataques más grandes en el 1T21 fueron Finanzas, Software y Tecnología y Gobierno.

Reflectores de protocolo de diagrama de usuario de seguimiento (UDP)

Una de las herramientas clave en manos de los ciberdelincuentes que buscan aumentar el ancho de banda de sus ataques son los servicios de aprovechamiento de la reflexión basados ​​en UDP, como Memcached, CLDAP y DNS.

A través de este proceso, un atacante falsifica una IP de origen, luego usa un servidor intermediario un reflector para enviar paquetes de respuesta masiva a la IP de la víctima en lugar de volver al atacante.

Black Lotus Labs aprovecha la visibilidad de su extensa red global para identificar los servicios que potencialmente se aprovechan para lanzar este tipo de ataques.

Según los datos del 1T21, Black Lotus Labs prevé que los servicios Memcached, CLDAP y DNS se exploten activamente en la actualidad.

Para obtener una visión más detallada de los reflectores UDP, lea el último blog de Black Lotus Labs, Seguimiento de reflectores UDP para una Internet más segura.