Arbor Networks advierte sobre la peligrosidad de Flusihoc, el cual es un botnet DDoS que desde el mes de junio ha ido tomando fuerza a tal grado que al día de hoy suman más de 909 ataques, con una media de 14.66 ataques por día, pero dicha cifra podría incrementar en los próximos días de no tomarse las medidas de seguridad necesarias.
Carlos Ayala, Solution Architect LATAM para Arbor Networks, dijo que entre las principales motivaciones de Flusihoc se encuentran ventaja competitiva, extorsión y lucro. “Su daño puede convertirse en una catástrofe, la caída de un sitio web, por ejemplo dedicado a la venta online, podría registrar pérdidas enormes en tan solo un día. Así que representa una amenaza significativa para cualquier operador de sitio Web que no esté usando un servicio de mitigación DDoS”.
A pesar de vivir en las sombras de botnets DDoS más grandes, Flusihoc no es un intento amateur de malware, apunta a equipos con Windows y fue descubierto por primera vez en 2015 por Microsoft y otros proveedores de antivirus. Sin embargo, nuevas versiones han aparecido en forma regular, los investigadores han hallado más de 500 en los últimos dos años y señalan que fue creado por un usuario con sede en China. El mayor ataque alcanzó un máximo de 45 Gbps, mientras que el promedio de ataques fue de sólo 603.24 Mbps, lo cual es más que suficiente para inhabilitar sitios web.
De acuerdo con Arbor Networks ATLAS, el cual ofrece una visión completa del tráfico, las tendencias y las amenazas de Internet, durante los últimos seis meses -de abril a septiembre de 2017 – se registraron en México 3,000 ataques DDoS, lo que significa 100 ataques diarios ó 4.1 por hora. Los cuatro principales países identificados como fuente de ataques dirigidos contra México son: México (53%), Estados Unidos (38%), Brasil (5%) y Colombia (4%).
¿Por qué las empresas deben estar atentas a los peligros de Flusihoc? Carlos Ayala destacó que es un botnet con capacidad de C2, lo que significa que los host comprometidos pueden ser administrados remotamente por el adversario. Además parece haber sido bien escrito y es capaz de lanzar nueve diversos tipos de ataques de DDoS; también se encuentra disponible en foros de hacking clandestinos, en función de la variedad de sus objetivos.
Este malware utiliza capacidades de persistencia y quiere decir que aunque el host comprometido se reinicie, el botnet puede seguir operando después. No debe perderse de vista dicha amenaza ya que luego de excavar en torno a su historia se han encontrado más de 154 servidores de comando y control diferentes utilizados para administrar la infraestructura botnet. De ellos, 48 estaban todavía activos el mes pasado.
Debido a que hoy en día cualquier empresa, por cualquier razón, por cualquier ofensa real o percibida o por afiliación, puede convertirse en el objetivo de un ataque DDoS, debe estar preparada para prevenir y mitigar este tipo de amenazas.
