Dyn divulgaba el miércoles que una red de ataques de 100.000 dispositivos conectados a Internet fueron secuestrados para inundar sus sistemas con las peticiones no deseados y cerrar Internet para millones de usuarios.
Dyn, vicepresidente ejecutivo Scott Hilton, ha emitido un comunicado, diciendo que todos los dispositivos comprometidos han sido infectados con un malware Mirai que tiene la capacidad para hacerse cargo de las cámaras, DVR, y los routers.
«Todavía estamos trabajando en el análisis de los datos, pero la estimación en el momento de este informe es de hasta 100.000 puntos finales maliciosos», dijo Hilton. «Estamos en condiciones de confirmar que un importante volumen de tráfico de ataque se originó a partir botnets basadas en Mirai».
Mirai exploraciones de malware de Internet de las Cosas (IoT) dispositivos que siguen utilizando sus contraseñas por defecto y luego esclavizan a esos dispositivos en una red de bots, que luego se utiliza para lanzar ataques DDoS.
Un día después del ataque, Dyn confirmó que una red de bots de Mirai el malware dispositivos infectados habían participado en sus del viernes distribuidos de denegación de servicio ataques.
Sin embargo, después de un primer análisis del tráfico no deseado, ayer, la compañía reveló que había identificado un estimado de 100,000 fuentes de tráfico DDoS malicioso, todos originarios de los dispositivos IO comprometidos por el programa malicioso Mirai.
En principio la compañía cree que aproximadamente «decenas de millones» de direcciones IP fueron los responsables del ataque masivo contra sus sistemas cruciales, pero el número real llegó a ser mucho menos, dejándonos a todos preguntándose, como:
¿ Cómo el ataque logró tener éxito a este nivel masivo ?
Para esto, Hilton ha dicho que el protocolo de nombres de dominios del propio sistema tiene la capacidad de amplificar las solicitudes de fuentes legítimas.
«Por ejemplo, el impacto del ataque generó una tormenta de la actividad de reintento legítima como servidores recursivos trataban de actualizar sus cachés, creando 10-20 el volumen de tráfico normal a través de un gran número de direcciones IP», dijo Hilton. «Cuando se produce la congestión del tráfico DNS, reintentos legítimos pueden contribuir aún más al volumen de tráfico.»
«Parece que los ataques maliciosos se obtienen de al menos una red de bots, con la tormenta de reintento proporcionada por un falso indicador de un conjunto mucho mayor de puntos finales que ahora sabemos.»
El ciberataque del viernes abrumado a la central de Dyn en el encaminamiento y gestión del tráfico de Internet, lo que hace cientos de sitios y servicios, incluyendo Twitter, GitHub, Amazon, Netflix, Pinterest, Etsy, Reddit, PayPal, y Airbnb, inaccesibles para millones de personas en todo el mundo durante varias horas.
Dyn no dio a conocer el tamaño real del ataque, pero se ha especulado que el ataque DDoS podría ser mucho más grande que el que afectó el servicio de Internet francés y proveedor de alojamiento OVH que alcanzó un máximo de 1,1 Tbps, que es el mayor ataque DDoS conocida hasta la fecha.
Según la compañía, este ataque ha abierto un importante debate sobre la seguridad en Internet y la volatilidad.
«No sólo ha resaltado las vulnerabilidades en la seguridad de Internet de los objetos» (IOT) dispositivos que necesitan ser tratados, pero también ha provocado un mayor diálogo en la comunidad de la infraestructura de Internet sobre el futuro de la Internet, «dijo Hilton.
El siguiente ataque DDoS podría alcanzar decenas de terabits por segundo
Si la seguridad de la IO no es tomada en serio, el ataque de futuros ataques DDoS podría llegar a decenas de terabits por segundo, según las estimaciones de la firma de seguridad de red Corero.
La amenaza del ataque DDoS se ha disparado y podría llegar a decenas de terabits por segundo en tamaño, tras el descubrimiento de un nuevo vector de ataque que tiene la capacidad para amplificar los ataques DDoS 55 veces, Corero advirtió en una entrada de blog publicada el martes.
De acuerdo con la empresa de seguridad, este nuevo vector de ataque utiliza el Lightweight Directory Access Protocol (LDAP), que si se combina con una red de bots IO, podría romper los registros en poder de DDoS. David Larson, de Corero explica: «LDAP no es la primera, ni será la última, de los ataques de este tipo se producen porque hay tantos servicios abiertos en Internet que responden a falsas consultas de registro. Sin embargo, muchos de estos ataques podrían facilitarse mediante una higiene adecuada del proveedor de servicios, identificando correctamente las direcciones IP simuladas antes que admiten estas solicitudes a la red.» Usted puede leer más en la página web oficial de Corero.
Cómo proteger el dispositivo inteligente de ser hackeado
- Cambiar las contraseñas por defecto de los dispositivos conectados: Si usted tiene cualquier dispositivo conectado a Internet en el hogar o en el trabajo, cambie sus credenciales si se sigue utilizando los valores por defecto. Tenga en cuenta exploraciones de malware Mirai para configuración predeterminada.
- Desactivar Universal Plug-and-Play (UPnP): UPnP viene habilitado por defecto en todos los dispositivos IO, lo que crea un agujero en la seguridad de su router, lo que permite al malware infiltrarse en cualquier parte de su red local. Compruebe el «Plug and Play» sus características y apagarlos.
- Desactivar gestión remota través de Telnet: Entrar en la configuración de su router y deshabilitar el protocolo de gestión remota, específicamente a través de Telnet, ya que este es un protocolo utilizado para permitir que una computadora controle a otra desde una ubicación remota. También se ha utilizado en anteriores ataques Mirai.
- Comprobar si hay actualizaciones de software y parches: Por último, pero no menos importante, mantener siempre los dispositivos conectados y routers estar al día con la última versión del firmware del vendedor.
Compruebe si el dispositivo IO es vulnerable al malware Mirai
Existe una herramienta en línea llamada escáner IO de Bullguard que puede ayudarle a comprobar si algún dispositivo IO través de la red es vulnerable al malware Mirai.
Si detecta alguna, póngase en contacto con el fabricante o el puesto de observación del dispositivo para obtener una solución para arreglar esos huecos vulnerables.
La herramienta hace uso del servicio de análisis de vulnerabilidades Shodan para encontrar equipos sin protección y cámaras web en su red doméstica que están expuestas al público y potencialmente accesible a los piratas informáticos.
