05 de julio de 2024Sala de prensaSeguridad de la red / Ataque DDoS La empresa francesa de computación en la nube OVHcloud dijo que mitigó un ataque de denegación de servicio distribuido (DDoS) récord en abril de 2024 que alcanzó una tasa de paquetes de 840 millones de paquetes por segundo (Mpps). Esto está justo por encima del récord anterior de 809 millones de Mpps informado por Akamai como objetivo de un gran banco europeo en junio de 2020. Se dice que el ataque DDoS de 840 Mpps fue una combinación de una inundación de TCP ACK que se originó a partir de 5000 IP de origen y un ataque de reflexión de DNS que aprovechó unos 15 000 servidores DNS para amplificar el tráfico. «Si bien el ataque se distribuyó en todo el mundo, 2/3 del total de paquetes ingresaron desde solo cuatro [points of presence]»Todos los ataques DDoS se encuentran en Estados Unidos, tres de ellos en la costa oeste», señaló OVHcloud. «Esto pone de relieve la capacidad del adversario de enviar una enorme tasa de paquetes a través de solo unos pocos peerings, lo que puede resultar muy problemático». La empresa afirmó que ha observado un aumento significativo de los ataques DDoS en términos de frecuencia e intensidad a partir de 2023, y agregó que los que superan 1 terabit por segundo (Tbps) se han convertido en algo habitual. «En los últimos 18 meses, pasamos de que los ataques de 1+ Tbps fueran bastante raros, luego semanales, a casi diarios (en promedio durante una semana)», dijo Sebastien Meriot de OVHcloud. «La tasa de bits más alta que observamos durante ese período fue de ~2,5 Tbps». A diferencia de los ataques DDoS típicos que se basan en el envío de una avalancha de tráfico basura a los objetivos con el objetivo de agotar el ancho de banda disponible, los ataques de velocidad de paquetes funcionan sobrecargando los motores de procesamiento de paquetes de los dispositivos de red cercanos al destino, como los balanceadores de carga. Los datos recopilados por la empresa muestran que los ataques DDoS que aprovechan el tráfico de paquetesLas tasas de ataques superiores a 100 Mpps han experimentado un marcado aumento durante el mismo período de tiempo, y muchas de ellas provienen de dispositivos MikroTik Cloud Core Router (CCR) comprometidos. Se puede acceder a 99.382 enrutadores MikroTik a través de Internet. Estos enrutadores, además de exponer una interfaz de administración, funcionan con versiones obsoletas del sistema operativo, lo que los hace susceptibles a vulnerabilidades de seguridad conocidas en RouterOS. Se sospecha que los actores de amenazas probablemente estén utilizando la función de prueba de ancho de banda del sistema operativo para llevar a cabo los ataques. Se estima que incluso secuestrar el 1% de los dispositivos expuestos en una botnet DDoS podría, en teoría, dar a los adversarios capacidades suficientes para lanzar ataques de capa 7 que alcancen los 2.28 mil millones de paquetes por segundo (Gpps). Vale la pena señalar en esta etapa que los enrutadores MikroTik se han aprovechado para construir potentes botnets como Mēris e incluso se han utilizado para lanzar operaciones de botnet como servicio. «Dependiendo de la cantidad de dispositivos afectados y de sus capacidades reales, esta podría ser una nueva era para los ataques de velocidad de paquetes: con botnets posiblemente capaces de emitir miles de millones de paquetes por segundo, esto podría desafiar seriamente la manera en que se construyen y escalan las infraestructuras anti-DDoS», dijo Meriot. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.