Un ataque masivo de denegación de servicio distribuido (DDoS) HTTPS contra una organización no revelada ha puesto de relieve una nueva tendencia entre los atacantes de explotar los servicios de computación en la nube a gran escala para construir sus redes de bots, en lugar de comprometer los puntos finales y dispositivos de los consumidores.
El ataque contra un cliente anónimo de Cloudflare, un operador de plataforma de lanzamiento de criptomonedas que se especializa en presentar proyectos financieros descentralizados a inversores potenciales, se frustró a principios de abril de 2022 y, aunque duró menos de 15 segundos, realizó aproximadamente 15,3 millones de solicitudes por segundo (rps) , lo que lo convierte en uno de los ataques HTTPS DDoS más grandes jamás vistos.
Los ataques DDoS HTTPS se diferencian de los ataques DDoS de la capa de aplicación porque requieren muchos más recursos computacionales para establecer una conexión cifrada de seguridad de la capa de transporte (TLS).
Omer Yoachimik y Julien Desgats de Cloudflare dijeron que era digno de mención que el ataque se originó principalmente dentro de los centros de datos, y que estaban viendo cada vez más un “gran movimiento” de los proveedores de servicios de Internet (ISP) de redes residenciales a los ISP de cómputo en la nube.
En este caso, las principales redes de origen fueron las de Hetzner Online de Alemania, Azteca Comunicaciones de Colombia y OVH de Francia. La red de bots constaba de unos 6000 bots únicos ubicados en 112 países, con un 15 % del tráfico procedente de Indonesia, seguido de Rusia, Brasil, India, Colombia y EE. UU.
Nasser Fattah, quien preside el comité directivo norteamericano de la firma de gestión de riesgos Shared Assessments, dijo: “Lo que hace que este ataque sea preocupante es que el tráfico proviene de centros de datos, que están equipados con conductos de ancho de banda de red muy grandes, a diferencia de los hogares residenciales.
“Esto permite que los ataques DDoS se escalen a tamaños muy grandes, y cuanto mayor sea el ataque, más difícil será protegerse, lo cual es bueno saber si estos centros de datos están observando un consumo de red que está aumentando considerablemente y desviándose de la línea de base normal. ”
Rajiv Pimplasker, director ejecutivo de Dispersive Holdings, un especialista en redes privadas virtuales (VPN) de rutas múltiples, agregó: “El cambio del vector de ataque DDoS de los ISP al centro de datos y el entorno CSP es digno de mención, e indica la creciente sofisticación y organización de tales malos actores Si bien este enfoque de mitigación puede ser efectivo, se puede emplear una estrategia más elegante que cambie la protección a la evasión, que es muy superior; una estructura de red virtualizada segura puede brindar servicios inteligentes detrás de firewalls privados y esencialmente no ser enrutable. Esto evita fundamentalmente tales ataques en primer lugar”.
Si bien este enfoque aún deja a los nodos de transporte públicamente enrutables vulnerables a algunos tipos de DDoS, dijo Pimplasker, estos recursos pueden ofuscarse mediante la atribución administrada y el tráfico se aleja dinámicamente de los recursos afectados. Dijo que esto también haría que el entorno de destino se autorecupere de manera efectiva incluso sin una gestión activa o monitoreo y evasión, no solo para los ataques HTTPS DDoS sino también para otros tipos.
Aunque se considera correctamente como una herramienta relativamente primitiva en el arsenal de los delincuentes cibernéticos, los ataques DDoS siguen demostrando ser muy populares, probablemente porque son fáciles de llevar a cabo y requieren poca experiencia; de hecho, las botnets DDoS en alquiler se pueden obtener por sumas muy pequeñas. de dinero.
Un informe reciente de Kaspersky encontró que los ataques DDoS alcanzaron un máximo histórico durante los primeros tres meses de 2022, un 46 % más que el pico anterior en los últimos tres meses de 2021. El uso de ataques dirigidos avanzados también mostró un crecimiento notable. , al igual que la duración de las sesiones DDoS: el ataque promedio ahora dura 80 veces más.
“La tendencia alcista se vio afectada en gran medida por la situación geopolítica [but] lo que es bastante inusual es la larga duración de los ataques DDoS, que generalmente se ejecutan para obtener ganancias inmediatas”, dijo el experto en seguridad de Kaspersky, Alexander Gutnikov. “Algunos de los ataques que observamos duraron días e incluso semanas, lo que sugiere que podrían haber sido realizados por ciberactivistas motivados ideológicamente.
“También hemos visto que muchas organizaciones no estaban preparadas para combatir tales amenazas. Todos estos factores nos han llevado a ser más conscientes de lo extensos y peligrosos que pueden ser los ataques DDoS. También nos recuerdan que las organizaciones deben estar preparadas contra este tipo de ataques”.