Datos recientes muestran el aumento de los ataques DDoS y contra aplicaciones web, según se indica en el Informe sobre el estado de Internet en materia de seguridad del segundo trimestre de 2017 publicado por Akamai Technologies, Inc., (NASDAQ: AKAM). A este aumento ha contribuido el malware DDoS PBot que, una vez más, constituye la base de los mayores ataques DDoS detectados por Akamai este trimestre.
En el caso de PBot, los agentes maliciosos hicieron uso de código PHP bastante antiguo para generar el mayor ataque DDoS detectado por Akamai en este periodo. Los atacantes lograron generar una minibotnet DDoS capaz de lanzar un ataque DDoS de 75 Gbps. Curiosamente, la botnet PBot se compone de 400 nodos, un número relativamente pequeño y, aun así, capaz de generar un nivel significativo de tráfico de ataque.
A la lista de «todas las modas vuelven» hay que añadir el análisis de utilización de algoritmos de generación de dominios (DGA) en infraestructuras de mando y control (C2) de malware realizado por el equipo de investigación de amenazas a las empresas de Akamai. Introducidos por primera vez con el gusano Conficker en 2008, los DGA han permanecido como técnica de comunicación de uso frecuente en el malware actual. El equipo detectó que las redes infectadas generaron un índice de consulta DNS aproximadamente 15 veces mayor que una red limpia. Esto se puede explicar como el resultado de acceso a dominios generados aleatoriamente por el malware en las redes infectadas. Puesto que la mayoría de los dominios generados no se habían registrado, el intento de acceder a todos ellos supuso la generación de gran cantidad de ruido. El análisis de la diferencia entre las características de comportamiento de las redes infectadas en comparación con el de las limpias constituye un método importante para identificar la actividad de malware.
