Un ataque masivo de denegación de servicio distribuido (DDoS) HTTPS contra una organización desconocida ha puesto de relieve una nueva tendencia entre los atacantes de explotar los servicios de computación en la nube a gran escala para construir sus redes de bots, en lugar de comprometer los puntos finales y los dispositivos de los consumidores.
El ataque a un cliente de Cloudflare sin nombre, un operador de plataforma de lanzamiento de criptomonedas que se especializa en mostrar proyectos financieros descentralizados a inversores potenciales, se frustró a principios de abril de 2022 y, aunque duró menos de 15 segundos, se realizaron aproximadamente 15,3 millones de solicitudes por segundo (RPS). ). , lo que lo convierte en uno de los ataques HTTPS DDoS más grandes jamás vistos.
Los ataques DDoS HTTPS se diferencian de los ataques DDoS de la capa de aplicación porque requieren muchos más recursos informáticos para establecer una conexión cifrada de seguridad de la capa de transporte seguro (TLS).
Omer Yoachimik y Julien Desgats de Cloudflare dijeron que era notable que el ataque proviniera principalmente de los centros de datos y que estaban viendo cada vez más un «gran movimiento» de los proveedores de servicios de Internet (ISP) de redes privadas a los ISP de computación en la nube.
En este caso, las principales redes de origen fueron las de Hetzner Online de Alemania, Azteca Comunicaciones de Colombia y OVH de Francia. La red de bots incluía aproximadamente 6000 bots únicos en 112 países, con un 15 % del tráfico procedente de Indonesia, seguido de Rusia, Brasil, India, Colombia y EE. UU.
Nasser Fattah, presidente del comité directivo norteamericano de la empresa de gestión de riesgos Shared Assessments, dijo: «Lo que hace que este ataque sea preocupante es que el tráfico proviene de los centros de datos que, a diferencia de los hogares, tienen anchos de banda de red muy altos.
«Esto permite que los ataques DDoS se escalen a tamaños muy grandes, y cuanto mayor sea el ataque, más difícil será protegerse, lo cual es bueno saber cuándo estos centros de datos esperan que el uso de la red aumente significativamente y se desvíe de la línea de base normal. ”
Rajiv Pimplasker, director ejecutivo de Dispersive Holdings, un especialista en redes privadas virtuales (VPN) de rutas múltiples, agregó: “El cambio en el vector de ataque DDoS de los ISP al centro de datos y el entorno CSP es notable e indica la creciente sofisticación y organización de tales ataques hacia los actores. . Si bien este enfoque de mitigación puede ser efectivo, se puede emplear una estrategia más elegante que cambie la protección por la evasión, que es mucho mejor; Una estructura de red virtualizada segura puede proporcionar servicios inteligentes detrás de firewalls privados y esencialmente no es enrutable. Esto básicamente evita tales ataques”.
Si bien este enfoque aún deja a los nodos de transporte enrutables públicamente vulnerables a algunos tipos de DDoS, dice Pimplasker, estos recursos pueden ofuscarse mediante la atribución administrada, donde el tráfico se aleja dinámicamente de los recursos afectados. Dijo que esto haría que el entorno de destino se autorecupere de manera efectiva incluso sin una gestión activa o monitoreo y mitigación, no solo para los ataques HTTPS DDoS, sino también para otros tipos.
Aunque los ataques DDoS se consideran, con razón, una herramienta relativamente primitiva en el arsenal de los ciberdelincuentes, siguen demostrando ser muy populares, probablemente porque son fáciles de realizar y requieren poca experiencia. De hecho, las redes de bots DDoS se pueden alquilar por sumas de dinero muy pequeñas. dinero.
Un informe reciente de Kaspersky descubrió que los ataques DDoS alcanzaron un máximo histórico en los primeros tres meses de 2022, un 46 % más que en los últimos tres meses de 2021. La implementación de ataques dirigidos avanzados también experimentó un crecimiento notable, así como la duración de las sesiones DDoS: el ataque promedio ahora dura 80 veces más.
“La tendencia al alza estuvo influenciada significativamente por la situación geopolítica [but] bastante inusual es la larga duración de los ataques DDoS, que generalmente se llevan a cabo con ganancias instantáneas”, dice el experto en seguridad de Kaspersky, Alexander Gutnikov. “Algunos de los ataques que observamos duraron días e incluso semanas, lo que sugiere que pueden haber sido perpetrados por ciberactivistas motivados ideológicamente.
“También vimos que muchas organizaciones no estaban preparadas para combatir tales amenazas. Todos estos factores nos han hecho más conscientes de cuán grandes y peligrosos pueden ser los ataques DDoS. También nos recuerdan que las organizaciones deben estar preparadas para este tipo de ataques”.
