El poder de las botnets está aumentando. Una red zombi suficientemente organizada y globalizada eliminará porciones de Internet, no solo sitios únicos, tal es el poder que ejercen. A pesar de su gran poder, el mayor ataque DDoS no utilizó una estructura de botnet tradicional.
Veamos cómo se expande el poder de una botnet ¿Qué es una botnet y su computadora es parte de una? ¿Qué es una botnet y su computadora es parte de una? Las redes de bots son una fuente importante de malware, ransomware, spam y más. Pero, ¿qué es una botnet? ¿Cómo llegan a existir? ¿Quién los controla? ¿Y cómo podemos detenerlos? Lea más y cómo el próximo enorme DDoS que escucha acerca de qué es exactamente un ataque DDoS y cómo sucede? ¿Qué es exactamente un ataque DDoS y cómo sucede? ¿Sabes lo que hace un ataque DDoS? Personalmente, no tenía idea hasta que leí esta infografía. Leer más será más grande que el anterior.
¿Cómo crecen los botnets?
La definición de botnet SearchSecurity afirma que "una botnet es una colección de dispositivos conectados a Internet, que pueden incluir PC, servidores, dispositivos móviles e Internet de dispositivos que están infectados y controlados por un tipo común de malware". Los usuarios a menudo desconocen que una botnet infecta su sistema ".
Las botnets son diferentes de otros tipos de malware, ya que se trata de una colección de máquinas infectadas coordinadas. Las redes de bots usan malware para extender la red a otros sistemas, predominantemente usando correos electrónicos no deseados con un archivo adjunto infectado. También tienen algunas funciones principales, como enviar correo no deseado, recolección de datos, fraude de clics y ataques DDoS.
El poder de ataque de expansión rápida de botnets
Hasta hace poco, las botnets tenían algunas estructuras comunes familiares para los investigadores de seguridad. Pero a finales de 2016, las cosas cambiaron. Una serie de enormes ataques DDoS Los principales eventos de ciberseguridad de 2017 y lo que le hicieron a usted Los principales eventos de ciberseguridad de 2017 y lo que le hicieron ¿Fue usted víctima de un hack en 2017? Miles de millones fueron, en lo que fue claramente el peor año en ciberseguridad hasta el momento. Con tantas cosas sucediendo, es posible que haya pasado por alto algunas de las infracciones: recapitulamos. Leer más hizo que los investigadores se incorporaran y tomaran nota.
- Septiembre de 2016. La botnet Mirai recientemente descubierta ataca el sitio web del periodista de seguridad Brian Krebs con 620Gbps, lo que interrumpe masivamente su sitio web pero finalmente falla debido a la protección DDoS de Akamai.
- Septiembre de 2016. La red de bots Mirai ataca al servidor web francés OVH, que se fortalece a alrededor de 1Tbps.
- Octubre de 2016. Un ataque enorme acabó con la mayoría de los servicios de Internet en el litoral este de los Estados Unidos. El ataque fue dirigido al proveedor de DNS, Dyn, y los servicios de la compañía recibieron un tráfico estimado de 1.2Tbps, cerrando temporalmente sitios web como Airbnb, Amazon, Fox News, GitHub, Netflix, PayPal, Twitter, Visa y Xbox Live.
- Noviembre de 2016. Mirai golpea a los ISP y proveedores de servicios móviles en Liberia, derribando la mayoría de los canales de comunicación en todo el país.
- Marzo de 2018. GitHub recibe el mayor DDoS registrado, registrando alrededor de 1.35Tbps en tráfico sostenido.
- Marzo de 2018. La empresa de seguridad de red Arbor Networks afirma que su sistema de monitoreo de tráfico global y DDoS ATLAS registra 1.7Tbps.
Estos ataques escalan en poder a lo largo del tiempo. Pero antes de esto, el mayor DDoS fue el ataque a 500 Gbps en los sitios prodemocráticos durante las protestas de Occupy Central en Hong Kong.
Parte de la razón de este aumento continuo del poder es una técnica DDoS completamente diferente que no requiere cientos de miles de dispositivos infectados con malware.
DDoS Memcached
La nueva técnica DDoS explota el servicio memcached . De esos seis ataques, los ataques de GitHub y ATLAS usan memcached para amplificar el tráfico de red a nuevas alturas. Sin embargo, ¿qué es memcached?
Bueno, memcached es un servicio legítimo que se ejecuta en muchos sistemas Linux. Almacena en caché los datos y alivia la tensión en el almacenamiento de datos, como discos y bases de datos, reduciendo la cantidad de veces que debe leerse una fuente de datos. Normalmente se encuentra en entornos de servidor, en lugar de en su escritorio Linux. 5 Entornos de escritorio Linux excelentes que no ha oído hablar de 5 entornos de escritorio Linux fabulosos de los que no ha oído hablar Existen muchos entornos de escritorio Linux, incluidos algunos excelentes. es probable que no haya oído hablar de. Aquí hay cinco de nuestros favoritos. Lee mas . Además, los sistemas que ejecutan memcached no deben tener una conexión a Internet directa (ya verás por qué).
Memcached se comunica utilizando el Protocolo de datos de usuario (UDP), permitiendo la comunicación sin autenticación. A su vez, esto significa básicamente que cualquier persona que pueda acceder a una máquina conectada a Internet que utilice el servicio de memcached puede comunicarse directamente con él, así como solicitar datos (por eso no debe conectarse a Internet).
La desventaja desafortunada de esta funcionalidad es que un atacante puede falsificar la dirección de Internet de una máquina que realiza una solicitud. Por lo tanto, el atacante suplanta la dirección del sitio o servicio a DDoS y envía una solicitud al mayor número posible de servidores memcached. La respuesta combinada de los servidores de memcached se convierte en DDoS y abruma al sitio.
Esta funcionalidad involuntaria es suficientemente mala por sí misma. Pero Memcached tiene otra "capacidad" única. Memcached puede amplificar de forma masiva una pequeña cantidad de tráfico de red en algo enormemente grande. Ciertos comandos para el protocolo UDP dan como resultado respuestas mucho más grandes que la solicitud original.
La amplificación resultante se conoce como Factor de amplificación de ancho de banda, con rangos de amplificación de ataque entre 10, 000 y 52, 000 veces la solicitud original. (¡Akami cree que los ataques de memcached pueden "tener un factor de amplificación de más de 500, 000!"
¿Cual es la diferencia?
Verás, entonces, que la principal diferencia entre un DDoS de botnet regular y un DDoS con memoria de memoría está en su infraestructura. Los ataques DDoS de Memcached no necesitan una enorme red de sistemas comprometidos, confiando en cambio en sistemas Linux inseguros.
Objetivos de alto valor
Ahora que el potencial de los ataques DDoS extremadamente poderosos de memcached está en la naturaleza, esperamos ver más ataques de esta naturaleza. Pero los ataques de memcached que ya han tenido lugar -no en la misma escala que el ataque de GitHub- han arrojado algo diferente a la norma.
La firma de seguridad Cybereason sigue de cerca la evolución de los ataques de memcached. Durante su análisis, detectaron el ataque de memcached en uso como una herramienta de entrega de rescate. Los atacantes insertan una pequeña nota de rescate solicitando el pago en Monero 5 Razones por las que no se deben pagar los estafadores de Ransomware 5 razones por las que no se debe pagar Los estafadores de Ransomware Ransomware da miedo y no quieres que te golpee, pero incluso si hacer, hay razones de peso por las que NO deberías pagar dicho rescate! Lea más (una criptomoneda), luego coloque ese archivo en un servidor memcached. Cuando se inicia el DDoS, el atacante solicita el archivo de la nota de rescate, haciendo que el objetivo reciba la nota una y otra vez.
¿Mantenerse a salvo?
En realidad, no hay nada que puedas hacer para detener un ataque de memcached. De hecho, no lo sabrá hasta que termine. O, al menos hasta que tus servicios y sitios web favoritos no estén disponibles. Eso es a menos que tenga acceso a un sistema Linux o una base de datos que ejecuta memcached. Entonces deberías ir y verificar la seguridad de tu red.
Para los usuarios habituales, el foco realmente permanece en botnets regulares propagadas a través de malware. Eso significa
- Actualiza tu sistema y mantenlo de esa manera
- Actualice su antivirus
- Considere una herramienta antimalware como Malwarebytes Premium La mejor seguridad informática y herramientas antivirus La mejor seguridad informática y herramientas antivirus ¿Necesita una solución de seguridad para su PC? ¿Preocupado por el malware, el ransomware, los virus y los intrusos a través de sus firewalls? ¿Quieres hacer una copia de seguridad de los datos vitales? ¿Solo confundido sobre todo? Aquí hay todo lo que necesita saber. Lea más (la versión premium ofrece protección en tiempo real)
- Habilite el filtro de correo no deseado en su cliente de correo electrónico Cómo limpiar Gmail y detener correos electrónicos no deseados Cómo limpiar correos electrónicos Gmail y detener correo no deseado ¿Recibe demasiados correos electrónicos? Estas astutas sugerencias de Google Mail lo ayudarán a detener los correos no deseados no deseados antes de que obstruyan su bandeja de entrada de Gmail. Lee mas ; subirlo para atrapar la gran mayoría de spam
- No haga clic en nada de lo que no esté seguro; esto se duplica para correos electrónicos no solicitados con enlaces desconocidos
Mantenerse a salvo no es una tarea rutinaria, solo requiere un poco de vigilancia. 6 Cursos gratis de seguridad cibernética que lo mantendrán seguro en línea 6 cursos gratis de seguridad cibernética que lo mantendrán seguro en línea ¿Le desconcerta la seguridad en línea? ¿Está confundido sobre el robo de identidad, el cifrado y qué tan seguro es comprar en línea? Hemos compilado una lista de 6 cursos gratuitos de ciberseguridad que explicarán todo, ¡listos para hoy! Lee mas .
Crédito de la imagen: BeeBright / Depositphotos