Las botnets basadas en Linux son responsables del 70% de ataques

Las redes de bots o botnets basadas en Linux asumen la autoría de nada menos que el 70,2% de los ciberataques de tipo DDoS (Denegación de Servicio Distribuída) durante el segundo trimestre del año. Al menos eso es lo que apunta el informe sobre Inteligencia en DDoS presentado por Kaspersky esta semana pasada.

No resulta demasiado sorprendente si tenemos en mente algunos hechos ocurridos en los 3 meses anteriores. En ese tiempo, los investigadores han descubierto la aparición de una botnet con 25000 miembros con sistemas Linux, además de otros ejemplos de redes de bot basadas en Linux y destinadas a ataques contra routers domésticos.

Y no acaba ahí la cosa, porque más de 100 botnet diferentes están basadas en LizardStresser, una herramienta desarrollada por Lizard Squad (aquel grupo de cibercriminales) y están llamando a la puerta de los dispositivos IoT. El internet de las cosas está «calentito» y la cosa no parece que vaya a mejorar. Según reza el informe de Kaspersky:

Es posible que para el fin de este año el mundo haya visto aparecer incluso redes de bots más exóticas, incluyendo aquellas específicamente destinadas a dispositivos IoT.

Las botnets basadas en Linux generan más tráfico que nunca

Dejando esto a un lado, el número es algo superior a lo que inicialmente se esperaba, ya que en el cuarto trimestre de 2015 las botnets basadas en Linux acumulaban un 54,8% del tráfico DDoS, mientras que en el Q1 de 2016 solo llegaron al 44,6%.

Además de la proliferación de los dispositivos basados en Internet de las Cosas (IoT) que como sabemos son inseguros por naturaleza, los bots basados en Linux son muy apropiados para este tipo de tareas, como lanzar DDoS basados en SYN (peticiones de sincronización), siendo este el tipo de DDoS más popular ahora mismo, seguido de:

• Ataques por el protocolo TCP
• Ataques por HTTP
• Ataques basados en ICMP
• Finalmente, ataques con paquetes UDP

Pero no acaban aquí las sorpresas.

El 77,4% de los ataques fueron dirigidos hacia China

En cuanto al orígen y destino de los ataques, podemos decir que sorprendentemente un 77,4% del total eran dirigidos contra recursos ubicados en China.

De hecho, el 97,3% de los ciberataques totales se reparten entre sólo 10 países: China, Corea del Sur, EEUU, Ucrania, Vietnam, Rusia, Hong Kong, Francia, Japón y Holanda.

Si nos fijamos en las regiones donde se han encontrado más servidores de control para redes de bots (servidores C&C), podemos decir que Corea del Sur lidera la lista con un 69,6% de toda la infraestructura. Después encontramos a China con un 8,1% de servidores totales y, en tercer lugar, los Estados Unidos con un 7,1%.

Este tipo de datos conviene relativizarlos, ya que no significan que los coreanos tengan un interés desmedido en realizar ataques, sino simplemente que su infraestructura es la más utilizada.

En el segundo trimestre de 2016, por su parte, se han producido diferencias considerables entre meses. Por ejemplo, el tráfico DDoS mundial entre Mayo y Junio fué bajo, mientras ascendió de forma abrupta en Junio. De hecho en Junio Kaspersky llegó a monitorizar 1676 ataques diferentes en un sólo día.

No olvides visitar alguno de los mapas de ciberataques en tiempo real que existen para curiosear más sobre el tema.

En cuanto al ataque más largo, este duró nada menos que 291 horas, mientras el segundo se prolongó durante 197 horas. Hablamos de casi 2 semanas de constante acoso y derribo vía DDoS, algo que ha causado irremediables pérdidas económicas a las empresas en cuestión.