Los datos recientemente publicados muestran que los ataques DDoS y de aplicaciones web están aumentando una vez más, de acuerdo con el Reporte de Seguridad del segundo trimestre de Akamai. El malware PBot DDoS contribuyó a este aumento que resurgió como la base para los ataques DDoS más fuertes que Akamai ha visto este trimestre.

En el caso de PBot, los actores maliciosos utilizaron código PHP de hace décadas para generar el mayor ataque DDoS observado por Akamai en el segundo trimestre. Los atacantes pudieron crear una mini-botnet DDoS capaz de lanzar un ataque DDoS de 75 Gbps. Curiosamente, la botnet Pbot estaba compuesta por 400 nodos relativamente pequeños, y aún así era capaz de generar un nivel significativo de tráfico de ataque.

Otra entrada en la lista "everything old is new again" está representada por el análisis de Akamai acerca del uso de Algoritmos de Generación de Dominio (DGA) en la infraestructura de comando y control de malware (C2). Aunque se introdujo por primera vez con el gusano Conficker en 2008, DGA ha seguido siendo una técnica de comunicación de uso frecuente para el malware actual.

El equipo encontró que las redes infectadas generan aproximadamente 15 veces la tasa de búsqueda de DNS de una red limpia. Esto se puede explicar como el resultado del acceso a dominios generados aleatoriamente por el malware en las redes infectadas. Dado que la mayoría de los dominios generados no estaban registrados, intentar acceder a todos creó mucho ruido.

"Los atacantes buscan constantemente debilidades en las defensas de las empresas, y mientras más común sea, cuanto más efectiva es una vulnerabilidad, más energía y recursos le dedicarán los hackers", dijo Martin McKeay, abogado de seguridad de Akamai. "Eventos como la botnet Mirai, la explotación utilizada por WannaCry y Petya , el continuo aumento de ataques SQLi y el resurgimiento de PBot ilustran cómo los atacantes no solo migrarán a nuevas herramientas sino que también regresarán a herramientas antiguas que han demostrado ser altamente eficaces."

Principales conclusiones del informe

• El número de ataques DDoS en el segundo trimestre aumentó en un 28% después de tres trimestres de declive.
• Los atacantes DDoS son más persistentes que nunca y atacan a los objetivos un promedio de 32 veces durante el trimestre. Una compañía de juegos fue atacada 558 veces o aproximadamente seis veces al día en promedio
• Egipto fue el origen de la mayor cantidad de direcciones IP únicas utilizadas en los frecuentes ataques DDoS, con el 32% del total mundial. En el último trimestre, Estados Unidos ocupó ese lugar y Egipto no estaba entre los cinco primeros.
• Se usaron menos dispositivos para lanzar ataques DDoS este trimestre. La cantidad de direcciones IP involucradas en los ataques DDoS volumétricos disminuyó en un 98% de 595,000 a 11,000.
• La incidencia de ataques a las aplicaciones web aumentó un cinco por ciento trimestre a trimestre y un 28% año tras año.
• Los ataques SQLi se usaron en más de la mitad (51%) de los ataques a aplicaciones web este trimestre en comparación con el 44% del último trimestre, generando casi 185 millones de alertas solo en el segundo trimestre.

Artículos relacionados:

• ¿Qué es y como funciona un ataque DDoS?
• DDoS actualidad, taxonomía y contramedidas
• Hacktivismo y DDoS