La empresa de seguridad de Internet Imperva ha anunciado que su solución de mitigación de DDoS (denegación de servicio distribuida) ha batido un nuevo récord, defendiéndose contra un único ataque que envió más de 25.300 millones de solicitudes a uno de sus clientes.
Se dice que el "fuerte ataque", que tuvo como objetivo a una empresa de telecomunicaciones china no identificada, duró cuatro horas y alcanzó un máximo de 3,9 millones de solicitudes por segundo (RPS).
El propietario del sitio objetivo, una empresa de telecomunicaciones china, suele ser blanco de grandes ataques. Este sitio específico fue atacado nuevamente dos días después, aunque el ataque fue de menor duración.
Ataque:
En la mañana del 27 de junio, las tasas de ataque alcanzaron un total de 25 300 millones de solicitudes en cuatro horas, con una tasa promedio de 1,8 millones de RPS.
Como se ve en esta imagen, el ataque comenzó con 3,1 millones de RPS y mantuvo una tasa de alrededor de 3 millones de RPS. Una vez que el ataque alcanzó un máximo de 3,9 millones de RPS, el ataque disminuyó durante varios minutos, pero volvió a su máxima potencia durante otra hora.
Los atacantes utilizaron la multiplexación HTTP/2, o la combinación de varios paquetes en uno, para enviar varias solicitudes a la vez a través de conexiones individuales. Esta técnica puede hacer que los servidores se caigan utilizando una cantidad limitada de recursos, y tales ataques son extremadamente difíciles de detectar. Dado que la solución de mitigación automatizada de imperva está garantizada para bloquear DDoS en menos de tres segundos, se estima que el ataque podría haber alcanzado una tasa mucho mayor que el pico rastreado de 3,9 millones de RPS.
El ataque duró más de cuatro horas, lo que lo coloca en una pequeña categoría de ataques. Según el DDoS Threat Landscape Report de Imperva , solo el 10,5 % de los ataques duran entre una y seis horas, y la mayoría dura menos de quince minutos.
Botnet:
Este ataque se lanzó desde una botnet masiva de casi 170.000 direcciones IP diferentes, incluidos enrutadores, cámaras de seguridad, servidores comprometidos e IoT mal protegidos.
Esta red incluye dispositivos comprometidos de más de 180 países, aunque la mayoría se encuentran en EE. UU., Indonesia y Brasil. Algunos de estos servidores están alojados en varias nubes públicas e incluso en proveedores de servicios de seguridad en la nube.
Si bien la botnet no fue nombrada ni identificada, no parece ser " Mantis ", que fue responsable del récord de mitigación de DDoS de Cloudflare en junio.
Cloudflare dice que Mantis se basa en una cantidad menor de dispositivos, poco más de cinco mil, y se enfoca principalmente en incorporar servidores y máquinas virtuales potentes.
La cantidad de dispositivos utilizados contra el cliente de Imperva se acerca más a las estimaciones de Mēris , la red de bots responsable del anterior récord de DDoS, con 21,8 millones de RPS. Los investigadores han estimado que el enjambre Mēris abarca entre 30.000 y 250.000 dispositivos.
Aún así, tanto Mēris como Mantis han lanzado ataques rápidos en ráfagas cortas, no DDoS de varias horas, por lo que podría ser una red de bots novedosa, aún no identificada.
Los ataques de denegación de servicio, ya sea distribuido o no, causan graves consecuencias en los sistemas atacados. Durante los últimos meses se han registrado fuertes campañas asociadas a las botnet llamando fuertemente la atención al registrar dos récord en volumen de peticiones por segundo generadas en cada caso, con 26 millones de solicitudes por segundo registrado en junio por Cloudflare y 46 millones de solicitudes por segundo registrado por Google Cloud el pasado mes de agosto, por lo que implementar medidas preventivas será imprescindible ya que, en caso contrario, solamente se sabrá que han sido víctimas de este tipo ataque cuando el servicio deje de funcionar.
A pesar que las reales intenciones de la botnet no están claras, no se descarta que se trate de fines económicos como un RDDoS, fines políticos por naciones-estado u otra organización que busca demostrar potencial tecnológico o desprestigiar a adversarios.
TrickBot explota vulnerabilidades de Mikrotik para usarlos como Command & Control |
ENTEL Weekly Threat Intelligence Brief del 05 al 11 de Septiembre de 2022 |
Se recomienda lo siguiente:
Producto | Versión |
---|---|
. |
. |