Microsoft ha confirmado que la causa de la interrupción del servicio del 30 de julio fue un ataque distribuido de denegación de servicio. Sin embargo, su aviso añadió que el problema se vio agravado por un «error en la implementación de sus defensas» durante un intento de mitigación. Los servicios en la nube de Azure se vieron afectados entre las 11:45 UTC y las 19:43 UTC aproximadamente tras verse inundados por el tráfico de Internet. Los profesionales de seguridad de Redmond afirman que los componentes Azure Front Door y Azure Content Delivery Network «funcionaban por debajo de los umbrales aceptables, lo que provocaba errores intermitentes, tiempos de espera y picos de latencia». Microsoft tiene mecanismos de protección DDoS que se activan automáticamente. Sin embargo, un error en su implementación «amplificó el impacto del ataque en lugar de mitigarlo». El equipo de seguridad realizó cambios de configuración de red y conmutaciones por error a rutas de red alternativas para proporcionar alivio a los sistemas principales. La mayor parte del impacto se mitigó en dos horas y media, pero era necesario realizar más trabajo a las 18:00 UTC para restablecer la disponibilidad para todos los usuarios. El incidente fue declarado finalizado a las 20:48 UTC. El responsable del DDoS aún no ha sido identificado. Sin embargo, el grupo hacktivista «SN_blackmeta» ha reivindicado la responsabilidad. Microsoft dice que publicará una revisión preliminar posterior al incidente antes de finales de semana y una revisión más profunda en 14 días. TechRepublic se ha puesto en contacto con Microsoft para solicitar comentarios. VER: Los piratas informáticos de sombrero blanco descubren la fuga de 38 TB de datos internos de Microsoft a través de Azure Storage La interrupción de Azure tuvo un alcance global, afectando a un subconjunto de clientes que intentaban conectarse a Azure App Services, Application Insights, Azure IoT Central, Azure Log Search Alerts, Azure Policy, el propio portal de Azure y un subconjunto de los servicios Microsoft 365 y Microsoft Purview. Muchas organizaciones diferentes hicieron declaraciones el martes, notificando a los usuarios que sus servicios se vieron interrumpidos como resultado del ataque DDoS de Azure. Entre ellas se incluyen el fabricante de Minecraft Mojang, CodeSpaces de GitHub, DocuSign, empresas de agua, tribunales y clubes de fútbol. Microsoft se disculpó más tarde por las molestias. Stephen Robinson, analista senior de inteligencia de amenazas en la empresa de seguridad WithSecure, dijo a TechRepublic en una declaración enviada por correo electrónico: “Los servicios en línea modernos se basan en capas apiladas de dependencias, y en una proporción significativa de pilas de servicios encontrará servicios de Microsoft. Uno de los servicios de Microsoft afectados, Entra, se utiliza para permitir que las personas inicien sesión en servicios y sitios web, y sin él, los usuarios no pueden iniciar sesión. “Como tal, si bien esta interrupción solo duró poco tiempo y afectó a un subconjunto de servicios, el impacto aún fue perceptible para muchas personas”. ¿Qué es un ataque de denegación de servicio? Un ataque de denegación de servicio (DoS) es una estrategia de ataque en la que un actor malintencionado intenta evitar que otros accedan a un servidor web, una aplicación web o un servicio en la nube inundándolo con solicitudes de servicio. Si bien un ataque DoS es esencialmente de un solo origen, un ataque de denegación de servicio distribuido (DDoS) utiliza una gran cantidad de máquinas en diferentes redes para interrumpir un proveedor de servicios en particular; esto es más difícil de mitigar ya que el ataque se libra desde múltiples fuentes. Cobertura de seguridad de lectura obligada Los ataques DDoS están en aumento Los ataques DDoS son cada vez más frecuentes. Cloudflare registró un aumento interanual del 20% en el segundo trimestre de 2024, después de un aumento del 50% en el primer trimestre. Hay indicios de que este aumento está relacionado con la geopolítica, con el servicio anti-DDoS Stormwall señalando una correlación con los períodos electorales y un aumento de los ataques a Israel desde la escalada del conflicto en Gaza. VER: Nuevo ataque DDoS rompe récord: HTTP/2 Rapid Reset Zero-Day reportado por Google, AWS y Cloudflare Los ataques DDoS significativos que afectan a los servicios de Microsoft son raros pero no inauditos. En junio de 2023, una serie de ataques dirigidos a Azure y otras plataformas en línea se atribuyeron a un grupo hacktivista llamado Anonymous Sudan, interrumpiendo servicios como Outlook y OneDrive. Microsoft también informó de un aumento de los ataques DDoS durante la temporada navideña de ese año, ya que los atacantes intentaron aprovechar la menor cantidad de personal. Sin embargo, este verano Microsoft ha sufrido interrupciones no relacionadas con ataques DDoS. El 19 de julio, decenas de miles de usuarios en Estados Unidos no pudieron acceder a los servicios de Microsoft 365 después de un cambio en la configuración de Azure. Esto ocurrió apenas horas después de que un error en una actualización del sensor Falcon de CrowdStrike afectara a 8,5 millones de dispositivos Windows en todo el mundo.
Etiqueta: ddos
Hackers patrocinados por el estado afiliados a China han atacado enrutadores de pequeñas oficinas/oficinas domésticas en los EE. UU. en un ataque de botnet de amplio alcance, anunció el miércoles 31 de enero el director de la Oficina Federal de Investigaciones, Christopher Wray. La mayoría de los enrutadores afectados fueron fabricados por Cisco y NetGear y había llegado al final de su vida útil. Los investigadores del Departamento de Justicia dijeron el 31 de enero de 2024 que el malware se eliminó de los enrutadores afectados. Los investigadores también aislaron los enrutadores de otros dispositivos utilizados en la botnet. Los equipos de TI necesitan saber cómo reducir los riesgos de ciberseguridad que podrían derivarse de que los trabajadores remotos utilicen tecnología obsoleta. ¿Qué es el ataque de la botnet Volt Typhoon? La amenaza a la ciberseguridad en este caso es una botnet creada por Volt Typhoon, un grupo de atacantes patrocinado por el gobierno chino. Más cobertura de seguridad en la nube A partir de mayo de 2023, el FBI analizó una campaña de ciberataque contra organizaciones de infraestructura crítica. El 31 de enero de 2024, el FBI reveló que una investigación sobre el mismo grupo de actores de amenazas en diciembre de 2023 mostró que atacantes patrocinados por el gobierno de China habían creado una botnet utilizando cientos de enrutadores privados en todo Estados Unidos. El ataque fue un intento. crear avances en “los sectores de comunicaciones, energía, transporte y agua” con el fin de perturbar funciones críticas de Estados Unidos en caso de conflicto entre los países, dijo Wray en el comunicado de prensa. VER: Varias empresas de seguridad y agencias estadounidenses tienen sus ojos puestos en Androxgh0st, una botnet que apunta a las credenciales de la nube. (TechRepublic) Los atacantes utilizaron una técnica de “vivir de la tierra” para mezclarse con el funcionamiento normal de los dispositivos afectados. El FBI se está comunicando con cualquier persona cuyo equipo haya sido afectado por este ataque específico. No se ha confirmado si los empleados de una organización en particular fueron el objetivo. Cómo reducir los riesgos de ciberseguridad de las botnets para trabajadores remotos El hecho de que los enrutadores objetivo sean de propiedad privada resalta un riesgo de seguridad para los profesionales de TI que intentan mantener seguros a los trabajadores remotos. Dado que los miembros de TI no supervisan los enrutadores utilizados en el hogar, es difícil saber si los empleadores pueden estar utilizando enrutadores antiguos o incluso al final de su vida útil. Las botnets se utilizan a menudo para lanzar ataques distribuidos de denegación de servicio o para distribuir malware, por lo que las defensas contra ellos son componentes importantes de una defensa completa contra las botnets. Las botnets suelen estar dirigidas por un servidor de comando y control centralizado. Las organizaciones deben asegurarse de contar con una buena protección de terminales y defensas proactivas, tales como: El software y el hardware deben mantenerse actualizados, ya que los dispositivos al final de su vida útil son particularmente vulnerables. Para proteger los dispositivos contra el uso de ataques de botnets, ejecute análisis de seguridad periódicos, instituya la autenticación multifactor y mantenga a los empleados informados sobre las mejores prácticas de ciberseguridad. «Es esencial realizar de forma proactiva inventarios tecnológicos exhaustivos de activos más allá de la oficina tradicional», dijo Demi Ben-Ari, directora de tecnología de la firma de tecnología de gestión de riesgos de terceros Panorays, en un correo electrónico a TechRepublic. «Este enfoque ayuda a identificar tecnología obsoleta, garantizando que los trabajadores remotos tengan equipos actualizados y seguros». «Si bien el trabajo remoto presenta vulnerabilidades potenciales debido a diversos entornos, es importante tener en cuenta que podrían ocurrir ataques similares en un entorno de oficina», dijo Ben-Ari.