El tipo de ataque de denegación de servicio distribuido (DDoS) es una de las herramientas más populares en el arsenal de los cibercriminales. El motivo para lanzar гт ataque DDoS puede ser cualquier cosa, desde el ciberacoso hasta la extorsión.
Se conocen casos cuando los grupos criminales amenazan a sus víctimas con lanzar ataques DDoS si no les pagan 5 bitcoins. Con frecuencia los ataques DDoS se utilizan para distraer la atención del personal de tecnologías de información (TI) mientras se comete otro delito cibernético, como el robo de identidad o la implementación de malware.
Cualquiera puede convertirse en víctima de ataques DDoS, ya que organizarlos es un proceso bastante simple y barato, y su eficacia, en ausencia de una protección fiable, es alta. Basándonos en el análisis de datos procedentes de fuentes públicas (por ejemplo, de las ofertas de organizar ataques DDoS en los foros de Internet o de Tor), hemos averiguado el precio de los servicios de ataques DDoS en el mercado negro en este momento y determinado qué ofrecen a sus clientes los delincuentes que se encargan de organizar ataques DDoS.
DDoS como servicio
El proceso de pedidos de ataques DDoS por lo general se realiza mediante servicios Web bien implementados, que hacen innecesario el contacto directo del organizador del ataque con el cliente. La aplastante mayoría de los autores de las ofertas que encontramos dejan enlaces a este tipo de sitios Web en vez de sus datos de contacto. Con su ayuda, un cliente potencial puede hacer un pago, recibir un informe sobre el trabajo realizado y usar servicios adicionales. De hecho, su funcionalidad no es muy diferente a la de los servicios que ofrecen servicios legítimos.
Estos servicios Web son aplicaciones Web completas que permiten a los clientes registrados gestionar el balance y administrar el plan de presupuesto para llevar a cabo ataques DDoS. En algunos casos, los desarrolladores tienen previstos sistemas de bonos y de crédito que se pueden ganar por cada ataque realizado con el uso de este servicio. En otras palabras, los ciberdelincuentes desarrollan programas de fidelidad y de prestación de servicios al cliente.
Algunos de los servicios que hemos encontrado contenían información publicada sobre el número de usuarios registrados, así como datos sobre el número de ataques por día. Los registros en muchos servicios Web de organización de ataques DDoS se miden en decenas de miles de cuentas. Sin embargo, esta información puede no ser exacta y los propietarios de los servicios la proporcionan con el fin de aumentar artificialmente la popularidad de un recurso.
Precios de los ataques DDoS
Las características de los ataques DDoS que los atacantes destacan en la descripción de sus servicios, afectan tanto a la ventaja de los servicios DDoS frente a sus competidores, como a la preferencia del cliente del ataque a favor de un servicio:
El objeto del ataque y sus características
El delincuente que se compromete a lanzar un ataque contra recursos del gobierno, puede rodearse de clientes que tienen interés en este servicio. En consecuencia el villano puede pedir más por este servicio que por un ataque a una tienda en línea. La existencia de cualquier medio de protección contra ataques DDoS en el lado de la víctima también puede jugar un papel importante en la fijación de precios por los servicios: si utiliza sistemas para filtrar el tráfico para proteger sus recursos, los delincuentes se ven obligados a idear métodos para evadirlos, para que los ataques sean más eficaces, lo que conlleva un aumento de precio.
Las fuentes del ataque y sus características
Este factor puede determinar el precio que los atacantes pedirán para organizar los ataques: mientras más barato sea para el maleante mantener la botnet (magnitud determinada por el precio promedio que implica infectar un dispositivo para incluirlo en la misma), más probable es que pueda reducir el precio de sus servicios. Por ejemplo, una red de 1 000 cámaras de vigilancia puede ser más barata en términos de organización que una de 100 servidores: las cámaras y otros dispositivos del Internet de las cosas están por el momento menos protegidos y sus propietarios, de hecho, prefieren ignorar el problema.
Escenarios de ataque
La necesidad de organizar ataques DDoS “atípicos” (por ejemplo, el cliente puede requerir que el propietario de una botnet alterne diversos métodos de ataques DDoS por un corto período o use varios métodos al mismo tiempo) puede aumentar su precio.
Precio promedio de los servicios ataques DDoS en un país determinado
La presencia de competidores hace que los cibercriminales aumenten o disminuyan los precios por sus servicios. Además, los villanos tratan de tener en cuenta la solvencia de su audiencia para establecer su política (por ejemplo, las ofertas de organizar ataques DDoS a clientes de Estados Unidos serán más caras que las ofertas similares en Rusia).
Los organizadores de los servicios de DDoS que encontramos, al mismo tiempo que exponen las características de sus botnets, ofrecen a sus clientes una lista de tarifas según las cuales el comprador paga el alquiler de la capacidad de la botnet por segundo. Por ejemplo, 300 segundos de ataque DDoS utilizando botnets cuyo total de ancho de banda es de 125 gigabytes por segundo, le costará al cliente 5 euros. Al mismo tiempo, todas las demás características (potencia y escenarios) eran las mismas para todas las tarifas.
A su vez, 10.800 segundos de ataque DDoS costarán al cliente 60 dólares, o alrededor de 20 dólares por hora de ataque cuyas características (el escenario del ataque y la potencia de procesamiento) los villanos no siempre indican en su recurso para clientes con experiencia. Al parecer, no todos los atacantes encuentran apropiado revelar el funcionamiento interno de botnet (y es muy posible que no todos los propietarios de botnets, debido a su incompetencia, puedan entender sus características técnicas). En particular, los villanos no revelan el tipo de bots que conforman la botnet.
Algunos servicios ofrecen seleccionar un escenario de ataque específico, lo que permite a los ciberdelincuentes combinar diferentes escenarios y llevar a cabo el ataque tomando en cuenta las características individuales de la víctima. Por ejemplo, si la víctima puede neutralizar un ataque SYN-flood, el villano puede cambiar el escenario de ataque en el panel de control y observar la reacción de la víctima.
Otro ejemplo: los atacantes ofrecen un precio de 400 dólares al día por sitio y servidor que cuente con protección contra ataques DDoS, que es 4 veces más que el precio por sitio sin protección.
Además, no todos los delincuentes involucrados en la organización de ataques DDoS se atreve a lanzar ataques contra recursos gubernamentales: estos se encuentran bajo la supervisión de los órganos de seguridad y los organizadores no quieren que sus botnets se vean expuestas. Sin embargo, encontramos propuestas en las que los ataques DDoS de recursos estatales estaban incluidos en la tarifa de precios como un servicio aparte.
Conclusión
Los clientes de los servicios analizados son muy conscientes de los beneficios de los ataques DDoS y su eficacia. El costo de un ataque de cinco minutos contra una gran tienda en línea es de unos 5 dólares. La víctima también puede perder mucho más, al perder los clientes que no puedan hacer un pedido. Se puede imaginar cuántos clientes perderá una tienda en línea si el ataque dura todo un día.
Al mismo tiempo, los delincuentes continúan buscando activamente formas nuevas y más baratas de organizar botnets. En este sentido, “el Internet de las cosas” les hace mucho más fáciles las cosas. En la actualidad, una de las tendencias de desarrollo es organizar la infección de dispositivos del Internet de las cosas (cámaras, aparatos “inteligentes” del hogar, etc.) para su posterior uso en ataques DDoS. Y mientras haya dispositivos del Internet de las cosas vulnerables, los delincuentes tendrán la posibilidad de utilizarlos para otros fines.
Además, se debe entender que los ataques DDoS y especialmente la extorsión mediante DDoS se ha convertido en un negocio que genera grandes ganancias: la rentabilidad de un solo ataque puede superar el 95%. El hecho de que los propietarios de los sitios en línea a menudo están dispuestos a pagar un rescate sin siquiera comprobar si los atacantes pueden realmente hacer un ataque (truco que otros estafadores ya han empezado a utilizar), añade aún más leña al fuego. Todo esto da motivos para prever que el precio promedio de los ataques DDoS en el futuro próximo sólo irá disminuyendo, y que se harán más frecuentes.
Autor: Denis Makrushin, Securelist.com
Adaptado por la División Consultoría de EvaluandoCloud.com