Llegamos a ustedes gracias a:



Reportajes y análisis

Una nueva generación de botnets IoT amplifica los ataques DDoS

[20/05/2022] Larry Pesce recuerda el día en que el panorama de amenazas de denegación de servicio distribuido (DDoS, por sus siglas en inglés) cambió drásticamente. Fue a fines del otoño del 2016, cuando un compañero investigador se unió a él en el laboratorio InGuardians, donde es director de investigación. Su amigo quería ver qué tan rápido Mirai, un novedoso instalador de botnet de Internet de las cosas (IoT, por sus siglas en inglés), se haría cargo de una grabadora de cámara DVR, basada en Linux, que era popular entre las medianas empresas. Entonces, trajo un DVR comprado, luego configuraron la instrumentación de observación antes de conectarlo a Internet a través del puerto de extensión del DVR.

"En unos 30 minutos, pudimos ver cómo se iniciaba una conexión con la contraseña predeterminada del DVR, descargaba la carga útil y la unía a la botnet, explica. Casi de inmediato, registraron el tráfico saliente del DVR y lo apagaron antes de que pudiera lanzar un ataque de DDoS contra los dispositivos de otras personas. De manera frustrante, cada vez que reiniciaban el DVR, éste se restablecía a la insegura contraseña predeterminada de fábrica, a pesar de que la habían cambiado a una contraseña segura.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Avancemos a la actualidad, cuando la IoT ahora se usa comúnmente para amplificar los ataques de DDoS contra sus objetivos y eludir las defensas DDoS actuales. Por ejemplo, en la segunda mitad del 2021, los ataques de DDoS superaron los 4Tbps, según un informe de inteligencia de redes de Nokia Deepfield (parte del negocio de routing IP de Nokia) que analizó más de 10 mil ataques DDoS provenientes de proveedores de Internet de todo el mundo.

"Era poco común que la IoT usara dispositivos extraños como las refrigeradoras, parquímetros y timbres con cámaras. Ahora hemos cruzado el punto de inflexión y son una amenaza dominante, afirma Craig Labovitz, CTO de Nokia Deepfield y autor del informe. "El DDoS de estas botnets se usa cada vez más para abrumar los sistemas de Internet o la infraestructura de red, incluidos los firewalls. También estamos viendo el uso de DDoS como una distracción para ocultar el lanzamiento de ataques más peligrosos, como el ransomware.

El examen de Nokia de los datos DDoS reveló que miles de DVR, cámaras conectadas a Internet, e incluso parquímetros pertenecientes a gasolineras, bancos y otras empresas han sido reclutados en botnets. Los servidores PBX comerciales y los teléfonos VOIP también constituyen un gran porcentaje de los dispositivos infectados por bots, tanto on premises como en la nube, afirma Labovitz.

Dispositivos IoT no seguros, un ejército dispuesto

Uno de los impactos clave para las organizaciones es la pérdida de servicio. "Las organizaciones están pagando por el ancho de banda que utilizan estos bots en sus empresas. Y, en el caso de los proveedores de servicios, sus clientes notarán una desaceleración y cambiarán de proveedor, argumenta Labovitz.

Otros informes indican que los dispositivos de consumo, en particular los routers domésticos, también se utilizan cada vez más como mulas en la red de bots de amplificación de los ataques DDoS. Estos dispositivos están fuera del ámbito de la gestión de riesgos de las empresas.

"Ahora todos nuestros electrodomésticos están en Internet: su refrigeradora, tostadora, cafetera, sistema de seguridad para el hogar, televisor. Estos son elementos que no revelan cuán gravemente se está abusando de ellos, o que incluso están infectados, a menos que actúen de manera errática o dejen de funcionar, afirma Frank Clark, analista senior de seguridad de Hunter Strategy, una firma consultora. "¿Cómo podría el usuario promedio saber algo, y mucho menos bloquear el bot para que no envíe paquetes DoS? Sería útil que los creadores de OT para empresas y consumidores los hicieran seguros de forma predeterminada, pero eso es un sueño imposible.

Las empresas deben reforzar sus defensas en dos frentes: evitar que sus propios dispositivos se conviertan en bots que lanzan DoS; y proteger sus redes, aplicaciones web y centros de datos contra devastadores ataques de amplificación DDoS. También necesitan gestionar los riesgos si sus proveedores de servicios de misión crítica sucumben a un ataque de amplificación DDoS.

Bloqueo de ataques DDoS

Las empresas basadas en la web, los servicios en la nube y los proveedores de Internet fueron los principales objetivos empresariales para los ataques DDoS en la segunda mitad del 2021, y la mayoría de los ataques provenían de direcciones IP chinas, según el Informe de tendencias DDoS de Cloudflare. En el primer trimestre del 2022, la mayoría de las direcciones IP que enviaban paquetes DDoS tenían su sede en Estados Unidos. Los ataques DDoS en la capa de aplicaciones web aumentaron un 164% entre el 2021 y el 2022, según el informe de Cloudflare, mientras que los ataques en la capa de red aumentaron 71%.

"Hemos visto ataques sostenidos a proveedores de VoIP, que impactan a todos sus clientes comerciales que usan ese servicio, afirma Patrick Donahue, vicepresidente de productos de Cloudflare, que bloquea un promedio de 86 mil millones de amenazas DDoS por día. "A veces vemos abrumados a los ISP, lo cual luego afecta a sus clientes empresariales, y es entonces cuando los ISP acuden a nosotros para proteger toda su red.

Los firewalls previos, implementados físicamente en el centro de datos, también pueden convertirse en otro cuello de botella para la denegación de servicio, porque no pueden adaptarse a los ataques amplificados de la actualidad. Entonces, identifique dónde están sus puntos débiles, sugiere. Por ejemplo, considere el impacto que su página web de marketing se caiga, en comparación con su centro de llamadas, si ese centro de llamadas es su negocio principal.

Los ataques DDoS también se usan comúnmente como una cortina de humo para ocultar otras acciones más maliciosas en la red, particularmente la actividad de ransomware, por lo que configurar alertas sobre la actividad de DoS en el primer aviso es fundamental, agrega Donahue.

Sin embargo, detectar DDoS a gran escala, lanzados por IoT, es más difícil porque los dispositivos IoT secuestrados usan paquetes legítimos que envían solicitudes web legítimas, que la inspección de paquetes tradicional no está sintonizada para buscar. Las defensas tradicionales están ajustadas para detectar patrones conocidos de direcciones IP, encabezados y cargas útiles falsificados. Debido al gran volumen de tráfico, bloquear los ataques DDoS amplificados no es posible ni práctico para la mayoría de las organizaciones, por lo que la protección que va más allá de la inspección básica de paquetes y el análisis de comportamiento es fundamental. "Cloudflare distribuye el tráfico a través de su red global, que puede absorber enormes ataques DDoS. La mayoría de las organizaciones no tienen esa capacidad, afirma Clark.

Cloudflare bloquea los paquetes y solicitudes DDoS entrantes lo más cerca posible de su fuente. Nokia Deepfield aborda esto en la capa de routing, al monitorear constantemente el tráfico en su red global, y actualizando su inteligencia a medida que se materializan nuevas tendencias DDoS en sus fuentes.

Evitar el secuestro de dispositivos

No sorprende que los dispositivos IoT se estén dando cuenta de su potencial de botnet. Sus CPU son más potentes, sus tiempos de procesamiento son más rápidos, y se distribuyen en todo el mundo on premises y en la nube. Clark afirma que los dispositivos comerciales y de consumo están siendo reclutados en estas redes porque carecen de controles de seguridad básicos, y porque las botnets hechas de dispositivos IoT serán mucho más difíciles de desmantelar.

Por lo tanto, las organizaciones deben evitar que sus propios dispositivos IoT sean arrastrados a la botnet, afirma Piotr Kijewski, director ejecutivo de la Fundación Shadowserver y fundador del Polish Honeynet Project. "Si los administradores de TI desean reducir la cantidad de ataques DDoS contra sus organizaciones, deben comenzar por proteger su propia red y reducir su superficie de ataque. Eso comienza con el mantenimiento de un inventario de los activos de IoT que están expuestos en Internet.

La Shadowserver Foundation, que comenzó a rastrear botnets que enviaban ataques DDoS en el 2005, contó 560 mil ataques DDoS separados en 30 días, desde mediados de marzo hasta mediados de abril del 2022. Si bien no monitorea específicamente los bots de IoT, Kijewski afirma que muchas de las botnets se construyen encima de las cámaras IP, sistemas de video DVR y NVR, routers domésticos y dispositivos de almacenamiento adjuntos.

"Para los ataques de amplificación, vemos que los vectores más populares son los servicios NTP, LDAP y SNMP abiertos. Por eso es importante tratar de reducir la cantidad de servicios abiertos de los que se puede abusar, aconseja Kijewski.

Para aquellos dispositivos IoT que no se pueden parchar, actualizar o asegurar, el monitoreo de la red debe ajustarse con el fin de detectar desviaciones en las acciones y el tráfico saliente de estos dispositivos para indicar que se está tomando el control. Pesce de InGuardians también sugiere una VLAN o NAC separada para conectar la IoT. "Estos son controles de red efectivos y la base para la confianza cero, que incluye monitoreo e inventario de activos. Cuando conoce qué hay en su red y los componentes que la forman, puede monitorear activamente la actividad inusual, incluidas las notificaciones de nuevos dispositivos agregados a la red. Y, cuando sea posible, asegúrese de aplicar los parches.

Una de las señales más detectables de una infección de botnet dentro de su propia red es un rendimiento lento, agrega Labovitz de Nokia, quien recomienda ajustar los sistemas de monitoreo de red para detectar y alertar inmediatamente sobre las ralentizaciones de la red. Las empresas confían en servicios como VoIP, y la conectividad también deben buscar soluciones de sus operadores y proveedores, agrega Labovitz. "Esto nos acerca a la raíz. Necesitamos resolver esto a nivel de la industria y fomentar las mejores prácticas comunes, como BGP firmado y seguro, filtrado y 'plomería' de IP de Internet.

Puede ver también: