Hace un par de años, las agencias de investigación y los proveedores de servicios de seguridad de la información comenzaron a informar número de ataques DDoS. Pero en el primer trimestre de 1, los mismos investigadores informaron sobre sus impresionantes en un 84%. Y luego todo fue viento en popa. Ni siquiera la pandemia contribuyó a crear una atmósfera de paz; por el contrario, los ciberdelincuentes y los spammers consideraron que esto era una excelente señal para atacar y el volumen de DDoS aumentó. .
Creemos que se acabó el tiempo de los ataques DDoS simples y fáciles de detectar (y de las herramientas simples que pueden prevenirlos). Los ciberdelincuentes han mejorado en ocultar estos ataques y llevarlos a cabo con una sofisticación cada vez mayor. La industria oscura ha pasado de la fuerza bruta a los ataques a nivel de aplicación. Recibe órdenes serias de destruir procesos comerciales, incluidos los que están bastante fuera de línea.
Irrumpiendo en la realidad
En 2017, una serie de ataques DDoS dirigidos a los servicios de transporte suecos provocaron . En 2019, el operador ferroviario nacional de Dinamarca Los sistemas de ventas cayeron. Como resultado, las máquinas expendedoras de billetes y las puertas automáticas de las estaciones no funcionaron y más de 15 mil pasajeros no pudieron salir. También en 2019, un potente ciberataque provocó un corte de energía en .
Las consecuencias de los ataques DDoS ahora las experimentan no sólo los usuarios en línea, sino también las personas, como dicen, en la vida real (en la vida real). Si bien históricamente los atacantes se han dirigido únicamente a servicios en línea, ahora su objetivo suele ser interrumpir cualquier operación comercial. Calculamos que hoy en día más del 60% de los ataques tienen ese propósito: extorsión o competencia desleal. Las transacciones y la logística son especialmente vulnerables.
Más inteligente y más caro
DDoS sigue siendo considerado uno de los tipos de ciberdelito más comunes y de más rápido crecimiento. Según los expertos, a partir de 2020 su número no hará más que aumentar. Esto se debe a varias razones: a una transición aún mayor de los negocios en línea debido a la pandemia, y al desarrollo de la industria en la sombra del cibercrimen, e incluso a .
Los ataques DDoS se volvieron “populares” en algún momento debido a su facilidad de implementación y bajo costo: hace apenas un par de años podían lanzarse por 50 dólares al día. Hoy en día, tanto los objetivos como los métodos de ataque han cambiado, lo que ha aumentado su complejidad y, como resultado, su coste. No, en las listas de precios todavía hay precios a partir de 5 dólares por hora (sí, los ciberdelincuentes tienen listas de precios y tarifas), pero para un sitio web protegido ya exigen desde 400 dólares por día, y el coste de los pedidos "individuales" para las grandes empresas. alcanza varios miles de dólares.
Actualmente existen dos tipos principales de ataques DDoS. El primer objetivo es hacer que un recurso en línea no esté disponible durante un período de tiempo determinado. Los atacantes cobran por ellos durante el ataque. En este caso, al operador DDoS no le importa ningún resultado específico y el cliente paga por adelantado para lanzar el ataque. Estos métodos son bastante económicos.
El segundo tipo son los ataques que se pagan sólo cuando se logra un determinado resultado. Es más interesante con ellos. Son mucho más difíciles de implementar y, por tanto, mucho más caros, ya que los atacantes deben elegir los métodos más eficaces para lograr sus objetivos. En Variti, a veces jugamos partidas enteras de ajedrez con ciberdelincuentes, donde cambian instantáneamente de táctica y herramientas e intentan penetrar múltiples vulnerabilidades en múltiples niveles a la vez. Se trata claramente de ataques en equipo en los que los hackers saben perfectamente cómo reaccionar y contrarrestar las acciones de los defensores. Tratar con ellos no sólo es difícil, sino también muy costoso para las empresas. Por ejemplo, uno de nuestros clientes, un gran minorista online, mantuvo durante casi tres años un equipo de 30 personas cuya tarea era combatir los ataques DDoS.
Según Variti, los ataques DDoS simples llevados a cabo puramente por aburrimiento, troleo o insatisfacción con una empresa en particular representan actualmente menos del 10% de todos los ataques DDoS (por supuesto, los recursos desprotegidos pueden tener estadísticas diferentes, miramos los datos de nuestros clientes). . Todo lo demás es trabajo de equipos profesionales. Sin embargo, tres cuartas partes de todos los bots "malos" son bots complejos que son difíciles de detectar utilizando la mayoría de las soluciones modernas del mercado. Imitan el comportamiento de usuarios o navegadores reales e introducen patrones que dificultan distinguir entre solicitudes "buenas" y "malas". Esto hace que los ataques sean menos notorios y, por tanto, más efectivos.
Datos de GlobalDots
Nuevos objetivos DDoS
Informe Los analistas de GlobalDots afirman que los bots generan actualmente el 50% de todo el tráfico web y el 17,5% de ellos son bots maliciosos.
Los bots saben cómo arruinar la vida de las empresas de diferentes maneras: además de "colapsar" los sitios web, ahora también se dedican a aumentar los costos de publicidad, hacer clic en los anuncios, analizar los precios para ganar un centavo menos y atraer compradores y robar contenido para diversos fines nocivos (por ejemplo, recientemente sobre sitios con contenido robado que obligan a los usuarios a resolver captchas de otras personas). Los bots distorsionan en gran medida diversas estadísticas comerciales y, como resultado, se toman decisiones basadas en datos incorrectos. Un ataque DDoS suele ser una cortina de humo para delitos aún más graves, como la piratería informática y el robo de datos. Y ahora vemos que se ha agregado una clase completamente nueva de amenazas cibernéticas: se trata de una interrupción del funcionamiento de ciertos procesos comerciales de la empresa, a menudo fuera de línea (ya que hoy en día nada puede estar completamente "fuera de línea"). Especialmente a menudo vemos que los procesos logísticos y la comunicación con los clientes fallan.
"No entregado"
Los procesos de negocio logísticos son clave para la mayoría de las empresas, por lo que suelen ser atacados. Estos son los posibles escenarios de ataque.
No disponible
Si trabaja en el comercio online, probablemente ya esté familiarizado con el problema de los pedidos falsos. Cuando son atacados, los robots sobrecargan los recursos logísticos y hacen que los productos no estén disponibles para otros compradores. Para ello, realizan una gran cantidad de pedidos falsos, igual al número máximo de productos en stock. Estos bienes luego no son pagados y después de algún tiempo son devueltos al sitio. Pero la cosa ya está hecha: fueron marcados como "agotados" y algunos compradores ya acudieron a la competencia. Esta táctica es bien conocida en la industria de los billetes de avión, donde los robots a veces “venden” instantáneamente todos los billetes casi tan pronto como están disponibles. Por ejemplo, uno de nuestros clientes, una gran aerolínea, sufrió un ataque de este tipo organizado por competidores chinos. En sólo dos horas, sus bots encargaban el 100% de los billetes a determinados destinos.
Robots de zapatillas
El siguiente escenario popular: los bots compran instantáneamente una línea completa de productos y sus propietarios los venden más tarde a un precio inflado (en promedio, un margen de beneficio del 200%). Estos bots se denominan bots de zapatillas porque este problema es bien conocido en la industria de las zapatillas de moda, especialmente en las colecciones limitadas. Los bots compraron nuevas líneas que acababan de aparecer en casi minutos, mientras bloqueaban el recurso para que los usuarios reales no pudieran acceder. Este es un caso raro en el que se escribió sobre bots en revistas de moda. Aunque, en general, los revendedores de entradas para eventos interesantes como partidos de fútbol utilizan el mismo escenario.
Otros escenarios
Pero eso no es todo. Existe una versión aún más compleja de los ataques a la logística, que amenaza con graves pérdidas. Esto se puede hacer si el servicio tiene la opción "Pago al recibir la mercancía". Los robots dejan pedidos falsos de dichos productos, indicando direcciones falsas o incluso reales de personas desprevenidas. Y las empresas incurren en enormes costes de entrega, almacenamiento y búsqueda de detalles. En este momento, los productos no están disponibles para otros clientes y también ocupan espacio en el almacén.
¿Qué otra cosa? Los bots dejan masivas críticas negativas falsas sobre los productos, bloquean la función de "devolución de pagos", bloquean transacciones, roban datos de clientes y envían spam a clientes reales: hay muchas opciones. Un buen ejemplo es el reciente ataque a DHL, Hermes, AldiTalk, Freenet, Snipes.com. piratas informáticos , que están “probando sistemas de protección DDoS”, pero al final cerraron el portal de clientes comerciales de la empresa y todas las API. Como resultado, se produjeron importantes interrupciones en la entrega de mercancías a los clientes.
Llama mañana
El año pasado, la Comisión Federal de Comercio (FTC) informó que se duplicaron las quejas de empresas y usuarios sobre spam y llamadas fraudulentas de robots telefónicos. Según algunas estimaciones, ascienden a Todas las llamadas.
Al igual que con los DDoS, los objetivos de los TDoS (ataques masivos de bots a teléfonos) van desde “engaños” hasta competencia sin escrúpulos. Los bots pueden sobrecargar los centros de contacto y evitar que se pierdan clientes reales. Este método es eficaz no sólo para centros de llamadas con operadores "en vivo", sino también donde se utilizan sistemas AVR. Los bots también pueden atacar masivamente otros canales de comunicación con los clientes (chat, correo electrónico), alterar el funcionamiento de los sistemas CRM e incluso, hasta cierto punto, afectar negativamente a la gestión de personal, porque los operadores están sobrecargados tratando de hacer frente a la crisis. Los ataques también se pueden sincronizar con un ataque DDoS tradicional a los recursos en línea de la víctima.
Recientemente, un ataque similar interrumpió el trabajo del servicio de rescate. en los EE. UU., la gente común y corriente que necesitaba ayuda con urgencia simplemente no podía lograrlo. Casi al mismo tiempo, el Zoológico de Dublín sufrió la misma suerte: al menos 5000 personas recibieron mensajes de texto SMS spam animándoles a llamar urgentemente al número de teléfono del zoológico y preguntar por una persona ficticia.
No habrá wifi
Los ciberdelincuentes también pueden bloquear fácilmente una red corporativa completa. El bloqueo de IP se utiliza a menudo para combatir ataques DDoS. Pero esto no sólo es una práctica ineficaz, sino también muy peligrosa. La dirección IP es fácil de encontrar (por ejemplo, mediante el monitoreo de recursos) y fácil de reemplazar (o falsificar). Hemos tenido clientes antes de venir a Variti donde, al bloquear una IP específica, simplemente apagaban el Wi-Fi en sus propias oficinas. Hubo un caso en el que a un cliente se le "deslizó" la IP requerida y bloqueó el acceso a su recurso a usuarios de toda una región, y no se dio cuenta de esto durante mucho tiempo, porque de lo contrario todo el recurso funcionaba perfectamente.
¿Qué hay de nuevo?
Las nuevas amenazas requieren nuevas soluciones de seguridad. Sin embargo, este nuevo nicho de mercado apenas comienza a surgir. Hay muchas soluciones para repeler eficazmente ataques de bots simples, pero con los complejos no es tan simple. Muchas soluciones todavía practican técnicas de bloqueo de IP. Otros necesitan tiempo para recopilar los datos iniciales para comenzar, y esos 10 a 15 minutos pueden convertirse en una vulnerabilidad. Existen soluciones basadas en aprendizaje automático que permiten identificar un bot por su comportamiento. Y al mismo tiempo, los equipos del “otro” lado se jactan de tener ya robots que pueden imitar patrones reales, indistinguibles de los humanos. Aún no está claro quién ganará.
¿Qué hacer si tienes que lidiar con equipos de bots profesionales y ataques complejos de varias etapas en varios niveles a la vez?
Nuestra experiencia muestra que debe concentrarse en filtrar solicitudes ilegítimas sin bloquear direcciones IP. Los ataques DDoS complejos requieren filtrado en varios niveles a la vez, incluido el nivel de transporte, el nivel de aplicación y las interfaces API. Gracias a esto, es posible repeler incluso ataques de baja frecuencia que normalmente son invisibles y, por tanto, a menudo pasan inadvertidos. Finalmente, se debe permitir el paso a todos los usuarios reales, incluso mientras el ataque está activo.
En segundo lugar, las empresas necesitan la capacidad de crear sus propios sistemas de protección de múltiples etapas, que, además de herramientas para prevenir ataques DDoS, tendrán sistemas integrados contra el fraude, el robo de datos, la protección de contenidos, etc.
En tercer lugar, deben funcionar en tiempo real desde la primera solicitud: la capacidad de responder instantáneamente a incidentes de seguridad aumenta en gran medida las posibilidades de prevenir un ataque o reducir su poder destructivo.
Futuro próximo: gestión de la reputación y recopilación de big data mediante bots
La historia de DDoS ha evolucionado de simple a compleja. Al principio, el objetivo de los atacantes era impedir que el sitio funcionara. Ahora les resulta más eficiente centrarse en los procesos empresariales centrales.
La sofisticación de los ataques seguirá aumentando, es inevitable. Además de lo que los robots malos están haciendo ahora (robo y falsificación de datos, extorsión, spam), los robots recopilarán datos de una gran cantidad de fuentes (Big Data) y crearán cuentas falsas "robustas" para la gestión de influencias, la reputación o el phishing masivo.
Actualmente, sólo las grandes empresas pueden permitirse el lujo de invertir en DDoS y protección contra bots, pero ni siquiera ellas siempre pueden monitorear y filtrar completamente el tráfico generado por los bots. Lo único positivo del hecho de que los ataques de bots se estén volviendo más complejos es que estimula al mercado a crear soluciones de seguridad más inteligentes y avanzadas.
¿Cómo se desarrollará la industria de la protección contra bots y qué soluciones se necesitan en el mercado en este momento?
Fuente: habr.com