Anonymous amenaza con nuevos ataques DDoS a bancos

Esta semana, el grupo Lorian Synano, uno de los más influyentes del grupo hacktivista Anonymous en 2018, comunicó que están preparando una nueva ola de ataques a redes y sistemas bancarios, llamada Operación Icarus 2.0 (#opIcarus2.0). La campaña busca reunir la mayor cantidad posible de hackers para derribar infraestructuras a través de ataques DDoS.

En los años 2015-2016, el grupo Ghost Squad Hackers encabezó por primera vez la Op. Icarus, considerada una de las mayores operaciones de hacking del siglo XXI. Generó pérdidas de cientos de millones de euros, con ataques DDoS dirigidos a instituciones bancarias y financieras de todo el mundo.

Anonymous suele utilizar varios métodos para realizar sus ataques DoS y desconfigurar sitios web, tales como inyección SQL e inclusión de archivos locales (LFI), ataques de app’s web, cross site scripting (XSS), robo de identidad, phishing e ingeniería social, para obtener datos confidenciales que avergüenzan públicamente a sus víctimas.

Se recomienda tener en cuenta las siguientes medidas de seguridad:

• Tener seguridad  WAF (web application firewall) para la protección frente a posibles ataques de distribución de denegación de servicios a servidores WEB.
• Tener configurado los umbrales de las solicitudes por segundo en el WAF.
• Monitorear continuamente el tráfico hacia los servidores comprometidos (puerto 80), dado que el atacante podría efectuar ataques de reconocimiento de primera fase asociados a una red Botnet, para luego realizar ataques DDoS.
• Revisar la configuración de Routers y Firewalls para detener  IP’s inválidas, así como el filtrado de protocolos que no sean necesarios.
• Algunos firewalls y routers proveen la opción de prevenir inundaciones (floods) en los protocolos TCP/UDP. Esta configuración debe ser activada.
• Establecer configuración de políticas en el Firewall que permitan detectar y contener posibles ataques de DoS y DDoS (por ejemplo: cp_syn_flood, tcp_port_scan, tcp_src_session, udp_scan, sctp_flood, icmp_flood, entre otros).
• En la configuración del Firewall: limitar la tasa de tráfico proveniente de un único host; limitar el número de conexiones concurrentes al servidor y restringir el uso del ancho de banda por aquellos hosts que cometan violaciones.
• Usar plataformas de monitoreo que permitan supervisar y medir de manera proactiva sus aplicaciones web, con el fin de determinar si un sitio web se encuentra caído.
• Si se materializa el evento de ataque por parte de los grupos hacktivistas y la organización decide responder públicamente, se debe tener cuidado con la respuesta. Cualquier declaración pública podría desafiar al actor directamente y poner a la organización en mayor riesgo, fomentando más ataques.