Clicky

La Botnet Mēris golpea a Yandex de Rusia con un masivo ataque DDoS de 22 millones de RPS

Logo de Yandex

Los ataques DDoS aprovecharon una técnica llamada canalización HTTP

El gigante ruso de Internet Yandex ha sido el objetivo de un ataque de denegación de servicio distribuido (DDoS por sus siglas en inglés, Distributed Denial of Service) sin precedentes por parte de una nueva botnet llamada Mēris.

Se cree que la botnet ha golpeado la infraestructura web de la empresa con millones de solicitudes HTTP, antes de alcanzar un pico de 21,8 millones de solicitudes por segundo (RPS), empequeñeciendo un reciente ataque impulsado por una botnet que salió a la luz el mes pasado, bombardeando a un cliente de Cloudflare no identificado en la industria financiera con 17.2 millones de RPS.

El servicio ruso de mitigación de DDoS Qrator Labs, que el jueves reveló detalles del ataque, denominó a Mēris, que significa "plaga" en el idioma letón, una "red de bots de un nuevo tipo".

"También está claro que esta botnet en particular todavía está creciendo. Existe una sugerencia de que la botnet podría crecer en fuerza a través de la fuerza bruta de contraseñas, aunque tendemos a descuidar eso como una pequeña posibilidad. Eso parece una vulnerabilidad que se mantuvo en secreto antes del inicio de la campaña masiva o se vendió en el mercado negro", señalaron los investigadores, añadiendo que Mēris "puede abrumar casi cualquier infraestructura, incluidas algunas redes muy robustas debido a la enorme potencia de RPS que aporta".

Los ataques DDoS aprovecharon una técnica llamada canalización HTTP que permite a un cliente (es decir, un navegador web) abrir una conexión al servidor y realizar múltiples solicitudes sin esperar cada respuesta. El tráfico malicioso se originó en más de 250.000 hosts infectados, principalmente dispositivos de red de Mikrotik, con evidencia que apunta a un espectro de versiones de RouterOS que se han armado explotando vulnerabilidades aún desconocidas.

Pero en una publicación en el foro, el fabricante de equipos de red de Letonia dijo que estos ataques emplean el mismo conjunto de enrutadores que se vieron comprometidos a través de una vulnerabilidad de 2018 (CVE-2018-14847, puntaje CVSS: 9.1) que desde entonces ha sido parcheada y que no hay nuevas vulnerabilidades (día cero) que afecten a los dispositivos.

"Desafortunadamente, cerrar la vulnerabilidad no protege inmediatamente a estos enrutadores. Si alguien obtuvo su contraseña en 2018, solo una actualización no ayudará. También debe cambiar la contraseña, volver a verificar su firewall si no permite el acceso remoto a partes desconocidas y buscar scripts que usted no creó", señaló.

Mēris también se ha relacionado con una serie de ataques DDoS, incluido el mitigado por Cloudflare, señalando las superposiciones en "duraciones y distribuciones entre países".

Si bien es muy recomendable actualizar los dispositivos MikroTik al último firmware para combatir cualquier posible ataque de botnet, también se recomienda a las organizaciones que cambien sus contraseñas de administración para protegerse contra intentos de fuerza bruta.

Jesus_Caceres