Wynncraft, uno de los servidores de Minecraft más grandes y reconocidos de la comunidad, fue golpeado recientemente por un ataque de denegación de servicio distribuido (DDoS) de 2.5 Tbps. El ataque de tipo multi-vectorial y que duró aproximadamente dos minutos. Consistió en él envió de paquetes UDP y TCP para poder saturar al servidor de la comunidad y mantener fuera a cientos de miles de jugadores, dice la compañía en su nuevo informe sobre amenazas DDoS de Cloudflare del tercer trimestre de 2022.
Gracias al trabajo de mitigación anti-DDoS de Cloudflare, se logró filtrar el ataque antes de que se notaran los efectos. Según comentan en el reporte, «ni siquiera se notó el ataque«. Además de que el ataque fue realizado con una variante muy sofisticada de la famosa botnet, Mirai.
Las tendencias DDoS del tercer trimestre de 2022
En el tercer trimestre del año, Cloudflare mitigó más ataques DDoS en comparación al año pasado, los ataques basados en HTTP aumentando en un 111%. Los ataques DDoS de capa 3 y 4 (L3/4) también casi se duplicaron año tras año, su ocurrencia aumentó en un 97%.
La región más notable en los ataques HTTP DDoS fue Taiwán, que experimentó un aumento del 200% en comparación con el último trimestre, mientras que Japón fue blanco de un 105% más con respecto al trimestre anterior.
Los ataques DDoS L3/4 se han estado dirigiendo principalmente a la industria de los videojuegos y su volumen se infló por un regreso de Mirai, que aumentó su actividad en un 405% en comparación con el segundo trimestre de 2022.
Otra tendencia preocupante en los ataques DDoS observada en el tercer trimestre de 2022 ha sido el abuso del protocolo BitTorrent, normalmente utilizado para compartir archivos. Esta práctica aumentó en más del 1.221%, con respecto al trimestre anterior.
Los países más atacados con HTTP DDoS fueron Estados Unidos, China y Chipre, mientras que los ataques de capa de red se dirigieron principalmente a Singapur, Estados Unidos y China.
Si analizamos los países en específicos, podemos identificar las tendencias siguientes, que pueden revelar información interesante acerca de la guerra en Ucrania y de los sucesos geopolíticos en Asia Oriental:
- En Ucrania, se ha estado realizando un cambio inesperado en los sectores que han sufrido ataques. Durante los dos últimos trimestres, las empresas de medios de comunicación, de difusión y edición fueron las que recibieron más ataques en lo que parecía ser un intento de silenciar la información y de que los civiles no tuvieran acceso a ella. Sin embargo, este trimestre, estos sectores ya no aparecen en la lista de los diez sectores principales. En su lugar, el sector de marketing y publicidad ha ocupado la primera posición con un 40%, seguido por el de la educación con un 20% y el de la administración pública con un 8%.
- En Rusia, los ataques al sector de la banca, los servicios financieros y los seguros (BFSI, Banking, Financial Services and Insurance) continúan con un 25%. Sin embargo, los ataques al sector BFSI han disminuido en un 44% con respecto al trimestre anterior. En segunda posición se encuentra el sector de los servicios de eventos con un 20%, seguido por el sector de las criptomonedas con un 16%, el de los medios de difusión con un 13% y el del comercio minorista con un 11%. Una parte considerable del tráfico de ataque procedía de direcciones IP ubicadas en Alemania, y el resto se distribuía por todo el mundo.
- En Taiwán, los dos sectores que recibieron más ataques fueron los medios de comunicación con un 50% e Internet con un 23%. La distribución a nivel global de los ataques a estos sectores indica el uso de botnets.
- En Japón, los sectores que recibieron más ataques fueron el de Internet y los medios de comunicación con un 52%, el de servicios empresariales con un 12% y el de la administración pública con un 11%.
Tamaño de Mbps y tiempo de duración
Cloudflare destaca un aumento en el número de ataques DDoS a gran escala (más de 100 Gbps), pero subraya que estos siguen siendo los valores atípicos, que representan solo el 0,1% del total.
La gran mayoría de los ataques fueron de menos de 500 Mbps, que Cloudflare caracteriza como «cibervandalismo«, atribuyéndose a los llamados «script-kiddies» que utilizan herramientas DDoS fácilmente disponibles para realizar ataques directos contra objetivos pequeños y mal protegidos.
La duración de la mayoría de los ataques, correspondiente al 94%, son breves, midiendo por debajo de los 20 minutos. Sin embargo, hubo un pequeño aumento del 8,6% y el 3,2% en episodios largos que duraron más de una hora y tres horas, respectivamente.
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
