DDoS-ataques em Q4: WordPress e 900 câmeras

Tweet

SecureList acaba de lançar seu relatório trimestral sobre os ataques DDoS, destacando uma série de características de tendência para o final do ano anterior, bem como fornecer estatísticas globais.

Resumo

• Em Q4, os recursos em 69 países foram alvo de ataques DDoS.
• 94,9% dos recursos direcionados foram localizados em 10 países, com a China sendo o país onde metade de todos os recursos atacadas foram localizados. Coreia do Sul ocupa o segundo lugar, EUA terceiro.
• O maior ataque DDoS no 4º trimestre de 2015 durou 371 horas (ou 15,5 dias).
• SYN DDoS, TCP DDoS, e DDoS HTTP continuam a ser os cenários de ataque DDoS mais comuns.
• A popularidade de bots baseados em Linux continua a crescer: a proporção de ataques DDoS de botnets baseados em Linux no quarto trimestre foi de 54,8%.

O que é botnets Linux?

botnets baseados em Linux são um grande problema hoje, com a proporção de ataques de bots Linux em comparação com aqueles do Windows crescimento de 45,6% no 3º trimestre para 54,8%. Simplificando, botnets Linux novamente superou os baseados em Windows em Q4.

bots Linux são peças principalmente de malware projetado para infectar servidores Linux, que tendem a ser deixados desprotegidos (provavelmente, devido à noção de que o malware para Linux é tudo, mas inexistente).

De acordo com a SecureList relatório do ano passado , botnets baseados em Linux oferecem cibercriminosos a oportunidade para manipular protocolos de rede, enquanto os servidores infectados possuem canais de Internet de alta velocidade (assim ataques lançados a partir deles são potencialmente mais poderosa do que os de botnets Windows). No entanto, para criar e operar uma botnet Linux, um cibercriminoso precisa ter bons conhecimentos de Linux, bem como encontrar um bot adequado no mercado negro ou no acesso livre.

Ainda assim a longevidade dessas botnets tendem a ser um pouco mais longo do que aqueles baseados no Windows PC. Mais uma vez, devido ao fato de que os servidores Linux muitas vezes permanecem desprotegidos.

Além disso, muitos Internet de dispositivos coisas compostas de botnets também funcionam em vários sabores de Linux.

Em outubro de 2015, especialistas registrou um grande número de solicitações HTTP (até 20.000 pedidos por segundo) provenientes de câmeras de CCTV. Os pesquisadores identificaram cerca de 900 câmeras ao redor do mundo que formou uma botnet usado para ataques DDoS. Os especialistas alertam que, num futuro próximo novas botnets utilizando dispositivos da Internet das coisas vulneráveis ​​aparecerão. Os botnets de tipo misto tinham sido anteriormente observados.

novos vetores

O poder de um tal ataque DDoS registrado pelos especialistas da Kaspersky Lab elevou-se a 400 Mbit / seg e durou 10 horas. Os atacantes usaram um aplicativo web comprometido rodando WordPress, bem como de uma conexão criptografada para complicar a filtragem de tráfego.

SecureList também destacou alguns ataques não convencionais que utilizam as aplicações web comprometidas movidos a CMS WordPress. Sua função pingback pouco notório tem sido utilizado várias vezes para a amplificação de ataques, mas os criminosos em Q4 realizado um compromisso massa de recursos que executam o WordPress. Isso provavelmente foi causada pelo surgimento de 0 dias vulnerabilidades, quer no CMS ou um dos seus plugins populares. Seja qual for a causa, vários casos foram observados de código JavaScript que está sendo injetado no corpo dos recursos da web. O código abordou a vítima recurso em nome do navegador do usuário. Ao mesmo tempo, os atacantes utilizado uma conexão HTTPS criptografada para impedir a filtragem de tráfego.

O poder de um tal ataque DDoS registrado pelos especialistas da Kaspersky Lab elevou-se a 400 Mbit / seg e durou 10 horas. Os atacantes usaram um aplicativo web comprometido rodando WordPress, bem como de uma conexão criptografada para complicar a filtragem de tráfego. Os atacantes não arriscar.

Os métodos de ataque mais populares permaneceu o mesmo: SYN DDoS realizado 57% dos ataques, DDoS TCP - 21,8%, DDOS HTTP - 15,2%. A popularidade deste último diminuiu ligeiramente, enquanto os dois primeiros acrescentou alguns pontos percentuais em comparação com Q3.

A duração máxima dos ataques também cresceu. O maior ataque DDoS no trimestre anterior durou 320 horas (13,3 dias); no 4º trimestre, este recorde foi batido por um ataque que durou 371 horas (15,5 dias).

A principal razão por trás DDoS-ataques é principalmente o ganho monetário - assim como com qualquer outro cibercrime. DDoS-ataques são usados ​​como uma ferramenta de extorsão, mas não é incomum encontrar os criminosos estão usando DDoS-ataques a cortina de fumaça algumas atividades mais clandestinos e prejudiciais, como o plantio de malware na infra-estrutura da empresa alvo ou exfiltrating dados.

O relatório completo por SecureList está disponível aqui.