El mundo cibernético está actualmente lleno de informes sobre ataques DDoS. El gigante de la tecnología, Microsoft, ha reconocido ser un objetivo de Anonymous Sudan, con dos bancos europeos también sufriendo incidentes DDoS. Además, un servicio de DDoS para alquiler en operación desde 2013 ha sido desmantelado con éxito por la policía polaca. Este artículo profundiza en estas recientes ocurrencias de DDoS y sus implicaciones.
Microsoft ha confirmado discretamente que Anonymous Sudan, rastreado bajo el alias Storm-1359, es responsable de los ataques DDoS que llevaron a recientes interrupciones del servicio para Outlook, OneDrive y los servicios en línea de SharePoint.
Microsoft desveló los detalles del ataque en una publicación de blog el 16 de junio de 2023, explicando que los atacantes probablemente usaron una combinación de servidores privados virtuales, infraestructura de nube alquilada y proxies abiertos para ejecutar los asaltos DDoS de Capa 7. Microsoft asegura a sus clientes que no se ha comprometido ningún dato.
Según Microsoft, la entidad amenazante Storm-1359 empleó varios tipos de tráfico de ataque DDoS de Capa 7: inundación HTTP(S), evasión de caché y Slowloris.
Los ataques de inundación HTTP(S) saturan los recursos del sistema enviando un inmenso número de solicitudes, agotando la CPU y la memoria. Los ataques de evasión de caché sobrecargan los servidores de origen al eludir la capa de CDN (Red de Distribución de Contenidos), forzando solicitudes al origen. Los ataques Slowloris mantienen abiertas las conexiones y agotan los recursos del servidor al retrasar o no reconocer las descargas.
Microsoft, siendo una corporación importante, debería haber estado preparada para lidiar con tales ataques, ya que estos son tipos comunes en los ataques DDoS, y han sido explotados por actores de amenazas durante un largo período.
Te podría interesar leer: El auge del Malware como Servicio: Una Amenaza Peligrosa
Kevin Beaumont, un investigador de seguridad, publicó sobre el incidente en Mastodon - la nueva plataforma preferida de la comunidad de seguridad, indicando que el anuncio de Microsoft del ataque DDoS fue relativamente apagado.
Para contrarrestar el asalto DDoS, Microsoft ha fortificado sus defensas de Capa 7 y mejorado su Firewall de Aplicación Web de Azure (WAF). Se han incluido medidas de seguridad adicionales en el blog para los usuarios que buscan una protección más robusta contra incidentes similares.
Te podría interesar leer: Protege tus Aplicaciones Web con un WAF
(THT) ha estado implementando una secuencia de ataques de denegación de servicio contra organizaciones financieras europeas. Más recientemente, el Banco Central de Malta y el Banco Nacional Suizo sucumbieron a estos ataques.
El 18 de junio de 2023, THT emitió una advertencia al gobierno suizo en su canal de Telegram, seguida de informes de ataques DDoS exitosos en el Banco Nacional Suizo y el Banco Central de Malta.
No mucho después, THT proclamó haber atacado al Banco Nacional Suizo y al Banco Central de Malta. Sus publicaciones contenían informes evidenciando la inaccesibilidad de las páginas web, lo cual confirma el éxito de sus ataques DDoS.
La Operación PowerOff, una iniciativa internacional de las fuerzas del orden, ha desmantelado con éxito un servicio de DDoS para alquiler activo al menos desde 2013. El servicio permitía a los usuarios registrados lanzar ataques DDoS sin ninguna experiencia.
La operación PowerOff fue conducida colectivamente por el Bureau Central Polaco para la Lucha contra el Cibercrimen, con el apoyo de Europol, el FBI, la Fuerza de Tarea de Acción Conjunta contra el Cibercrimen (J-CAT) y las agencias de aplicación de la ley de los Países Bajos, Alemania y Bélgica.
Dos individuos vinculados a la operación del servicio han sido detenidos por la policía polaca. La detención también implicó la incautación de dispositivos electrónicos y la recopilación de pruebas vitales, como registros de inicio de sesión y direcciones IP conectadas.
Las investigaciones revelan que el servicio tenía más de 35,000 cuentas de usuario registradas, y los clientes habían gastado cientos de miles de dólares. Un análisis más profundo del servidor reveló 76,000 registros de inicio de sesión y más de 320,000 direcciones IP únicas asociadas.
Según la policía polaca, descubrieron 11,000 planes de ataque comprados por un valor de $400,000, incluyendo las direcciones de correo electrónico de los compradores.
Fortalece tu Postura de Seguridad contra Amenazas DDoS con TecnetOne. Te empodera para potenciar tus capacidades de investigación y análisis de amenazas, reforzando así la defensa de tu empresa contra posibles escenarios de ataque. Enviamos alertas proactivamente sobre amenazas que surgen de la web oscura (darkweb), dirigidas específicamente a tu empresa, mientras también ofrece valiosos insights sobre varios actores de amenazas y riesgos potenciales.
Además, a través de TecnetOne, puedes evaluar y fortalecer tu Resiliencia DDoS probando la resistencia de tu dominio o subred contra ataques como Slowloris y otros.