El sector retail, blanco de los ataques a aplicaciones web
El sector de medios y entretenimiento se enfrentó en el último trimestre a la cantidad más elevada de los mayores ataques DdoS, según Akamai.
Akamai acaba de publicar su Informe de Seguridad-Estado de Internet del Tercer Trimestre de 2015, en donde ofrece su análisis sobre el panorama global de amenazas de ataques a la seguridad de la nube. En este documento la compañía revela como la actividad de ataques DDoS en su red se ha incrementado un 23% (un del 180% si se observa el mismo trimestre de 2014).
“Akamai ha observado un mayor número de ataques de denegación de servicio cada trimestre, y la tendencia alcista ha permanecido en este trimestre. Aunque los ataques DDoS más recientes fueron de media más pequeños y más cortos, siguen planteando un importante riesgo de seguridad para la nube,” ha comentado John Summers, Vicepresidente de la Unidad de Negocio de Seguridad Cloud de Akamai. “Los ataques se ven impulsados por la fácil disponibilidad de sitios de DDoS en alquiler que identifican y abusan de servicios de Internet expuestos, como SSDP, NTP, DNS, CHARGEN, e incluso ‘Quote of the Day’.”
Sin embargo, de media los ataques fueron más cortos con un ancho de banda y volumen más bajos. Además, ha habido menos mega ataques (mayores que 100 Gbps), se registraron 8 en el tercer trimestre en comparación con los 12 del segundo trimestre y 17 en el tercer trimestre hace un año.
El mayor ancho de banda de ataque DDoS en el tercer trimestre (botnet XOR DdoS) midió 149 Gbps. Un descenso en relación con el pico de 250 Gbps de un ataque DDoS el trimestre anterior. De los ocho mega ataques, el sector de medios y entretenimiento fue el más frecuentemente atacado, con tres ataques.
Aunque el ancho de banda de los ataques se redujo, en el tercer trimestre una medida diferente de tamaño de ataques alcanzó un récord. Una empresa del sector de medios y entretenimiento fue golpeada por un ataque DDoS récord de 222 millones de paquetes por segundo (Mbps), un leve incremento sobre un ataque récord de 214 Mbps en el segundo trimestre. Este gran ataque puede compararse con un volumen pico medio de 1,57 Mpps para todos los ataques DDoS observados por Akamai en el tercer trimestre. Un ataque de este tamaño podría hacer caer un router de primer nivel, como los que utilizan los proveedores de servicios de Internet (ISPs).
El sector de los juegos online estuvo particularmente afectado por los ataques DDoS en el tercer trimestre de 2015, representando un 50% de los ataques DDoS registrados. El sector de los juegos fue seguido por el de software y tecnología, que sufrió un 25% de todos los ataques. La industria de los juegos online lleva más de un año siendo el objetivo principal de los atacantes.
Los ataques DDoS basado en reflexión resultan más populares que aquellos basados en infección. En vez de invertir tiempo y esfuerzos en la construcción y mantenimiento de botnets DDoS como lo hacían en el pasado, más atacantes DDoS han ido explotando el panorama existente de dispositivos de red expuestos y protocolos de servicios no seguros. Mientras que los ataques DDoS reflexivos solo representaron un 5,9% de todo el tráfico DDoS en el tercer trimestre de 2014, dichos vectores de ataques representaron un 33,19% del tráfico DDoS en el tercer trimestre de 2015.
En el segundo trimestre de 2015, la vulnerabilidad Shellshock dominó los ataques a las aplicaciones web utilizando HTTPS, pero no fue el caso en el tercer trimestre. Como resultado, el porcentaje de ataques a aplicaciones web enviados sobre HTTP vs. HTTPS volvió a un nivel más normal (88% vía HTTP, 12% vía HTTPS). Es probable que el uso de ataques a aplicaciones web sobre HTTPS crezca a medida que más sitios vayan adoptando tráfico preparado para TLS como capa de seguridad estándar. Los atacantes podrían utilizar también HTTPS con la intención de penetrar en las bases de datos de back-end, a las que típicamente acceden aplicaciones servidas mediante HTTPS.
Al igual que en trimestres anteriores, los ataques por inclusión de ficheros locales (LFI) e inyección SQL (SQLi) fueron de lejos los vectores de ataques a aplicaciones web más comunes de todos los clasificados. La industria retail fue golpeada más fuertemente, recibiendo el 55% de los ataques a aplicaciones web, llegando la industria de servicios financieros en una alejada segunda posición, con un 15% de los ataques. Los ataques a aplicaciones web se basaron principalmente en botnets que aprovecharon routers y dispositivos no seguros ubicados en hogares.
El tercer trimestre también fue notable por un incremento de los intentos de ataques a plugins de WordPress, no solo para plugins populares sino también para plugins vulnerables menos conocidos.
