La botnet Mantis detrás del mayor ataque HTTPS DDoS dirigido a clientes de Cloudflare
Generó más de 212 millones de solicitudes HTTPS de más de 1.500 redes en 121 países
La botnet detrás del mayor ataque de denegación de servicio distribuido (DDoS) de HTTPS en junio de 2022 se ha relacionado con una serie de ataques dirigidos a casi 1.000 clientes de Cloudflare.
Llamando Mantis a la poderosa botnet, la compañía de seguridad y rendimiento web la atribuyó a más de 3.000 ataques HTTP DDoS contra sus usuarios.
Las verticales de la industria más atacadas incluyen Internet y telecomunicaciones, medios, juegos, finanzas, negocios y compras, de las cuales más del 20% de los ataques se dirigieron a empresas con sede en EE. UU., seguidas de Rusia, Turquía, Francia, Polonia, Ucrania, Reino Unido, Alemania, los Países Bajos y Canadá.
El mes pasado, la compañía dijo que mitigó un ataque DDoS sin precedentes dirigido a un sitio web de un cliente anónimo utilizando su plan gratuito que alcanzó un máximo de 26 millones de solicitudes por segundo (RPS), con cada nodo generando aproximadamente 5.200 RPS.
El tsunami de tráfico basura duró menos de 30 segundos y generó más de 212 millones de solicitudes HTTPS de más de 1.500 redes en 121 países, encabezados por Indonesia, EE. UU., Brasil, Rusia e India.
"La red de bots Mantis opera una pequeña flota de aproximadamente 5.000 bots, pero con ellos puede generar una fuerza masiva, responsable de los ataques HTTP DDoS más grandes que jamás hayamos observado", dijo Omer Yoachimik de Cloudflare.
Mantis se destaca por varias razones. La primera es su capacidad para llevar a cabo ataques HTTPS DDoS, que son caros por naturaleza debido a los recursos informáticos necesarios para establecer una conexión cifrada TLS segura.
En segundo lugar, a diferencia de otras botnets tradicionales que dependen de dispositivos IoT como DVR y enrutadores, Mantis aprovecha las máquinas virtuales secuestradas y los servidores potentes, equipándolo con más recursos.
Estos ataques volumétricos tienen como objetivo generar más tráfico del que el objetivo puede procesar, lo que hace que la víctima agote sus recursos. Mientras que los adversarios han utilizado tradicionalmente UDP para lanzar ataques de amplificación, ha habido un cambio a vectores de amplificación reflejados de TCP más nuevos que hacen uso de cajas intermedias.
Microsoft, en mayo de 2022, reveló que evitó alrededor de 175.000 ataques de amplificación reflejada de UDP durante el año pasado que estaban dirigidos a su infraestructura de Azure. También observó un ataque de amplificación reflejada de TCP en un recurso de Azure en Asia que alcanzó los 30 millones de paquetes por segundo (pps) y duró 15 minutos.
"Los ataques de amplificación reflejada llegaron para quedarse y representan un serio desafío para la comunidad de Internet", señaló el equipo de redes de Azure. "Continúan evolucionando y explotando nuevas vulnerabilidades en protocolos e implementaciones de software para eludir las contramedidas convencionales".
