Los ataques DDoS han experimentado un fuerte aumento global
La empresa francesa de computación en la nube OVHcloud dijo que en abril de 2024 mitigó un ataque récord de denegación de servicio distribuido (DDoS) que alcanzó una velocidad de 840 millones de paquetes por segundo (Mpps).
Esto está justo por encima del récord anterior de 809 millones de Mpps informado por Akamai en junio de 2020 como objetivo de un gran banco europeo.
Se dice que el ataque DDoS de 840 Mpps fue una combinación de una inundación de TCP ACK que se originó en 5.000 IP de origen y un ataque de reflexión de DNS que aprovechó alrededor de 15.000 servidores DNS para amplificar el tráfico.
"Si bien el ataque se distribuyó por todo el mundo, 2/3 del total de paquetes ingresaron desde solo cuatro [puntos de presencia], todos ubicados en los EE. UU. y 3 de ellos en la costa oeste", señaló OVHcloud. "Esto resalta la capacidad del adversario de enviar una enorme velocidad de paquetes a través de sólo unos pocos peerings, lo que puede resultar muy problemático".
La compañía dijo que ha observado un aumento significativo en los ataques DDoS en términos de frecuencia e intensidad a partir de 2023, y agregó que aquellos que alcanzan más de 1 terabit por segundo (Tbps) se han convertido en algo habitual.
Imagen: Ataque DDoS sin precedentes mitigado por OVHcloud que alcanza los 840 Mpps
"En los últimos 18 meses, pasamos de ataques de más de 1 Tbps que eran bastante raros, luego semanales, a casi diarios (con un promedio de una semana)", dijo Sebastien Meriot de OVHcloud. "La tasa de bits más alta que observamos durante ese período fue de ~2,5 Tbps".
A diferencia de los ataques DDoS típicos que se basan en enviar una avalancha de tráfico basura a los objetivos con el objetivo de agotar el ancho de banda disponible, los ataques a velocidad de paquetes funcionan sobrecargando los motores de procesamiento de paquetes de los dispositivos de red cercanos al destino, como los balanceadores de carga.
Los datos recopilados por la empresa muestran que los ataques DDoS que aprovechan velocidades de paquetes superiores a 100 Mpps han experimentado un fuerte aumento durante el mismo período, Muchos de ellos provienen de dispositivos MikroTik Cloud Core Router (CCR) comprometidos. Se puede acceder a hasta 99.382 routers MikroTik a través de Internet.
Imagen: Distribución de los modelos de dispositivos que se encuentran abiertos en Internet según Onyphe.
Estos routers, además de exponer una interfaz de administración, funcionan con versiones obsoletas del sistema operativo, lo que los hace susceptibles a vulnerabilidades de seguridad conocidas en RouterOS. Se sospecha que los actores de amenazas probablemente estén utilizando la función de prueba de ancho de banda del sistema operativo como arma para realizar los ataques.
Se estima que incluso secuestrar el 1% de los dispositivos expuestos en una botnet DDoS podría, en teoría, dar a los adversarios capacidades suficientes para lanzar ataques de capa 7 que alcancen los 2,28 mil millones de paquetes por segundo (Gpps).
Cabe señalar en esta etapa que los routers MikroTik se han aprovechado para construir potentes botnets como Mēris e incluso se han utilizado para lanzar operaciones de botnet como servicio.
"Dependiendo del número de dispositivos comprometidos y de sus capacidades reales, , esta podría ser una nueva era para los ataques a velocidad de paquetes: con botnets posiblemente capaces de emitir miles de millones de paquetes por segundo, podría desafiar seriamente cómo se construyen y escalan las infraestructuras anti-DDoS", dijo Meriot.