Recientemente una plataforma de criptomonedas fue objeto de uno de los mayores ataques de denegación de servicio distribuidos de la historia, después de que los actores de la amenaza la bombardearan con 15,3 millones de solicitudes.
Los ataques DDoS pueden medirse de varias formas, como el volumen de datos, el número de paquetes o el número de peticiones enviadas cada segundo. Los récords actuales son 3,4 terabits por segundo para los DDoS volumétricos (que intentan consumir todo el ancho de banda disponible para el objetivo), 809 millones de paquetes por segundo y 17,2 millones de peticiones por segundo. Estos dos últimos récords miden la potencia de los ataques a nivel de aplicación, que intentan agotar los recursos informáticos de la infraestructura del objetivo.
La reciente mitigación de DDoS alcanzó un máximo de 15,3 millones de peticiones por segundo. Aunque sigue siendo menor que el récord, su potencia fue más considerable porque el ataque se realizó a través de peticiones HTTPS en lugar de las peticiones HTTP utilizadas en el récord. Dado que las peticiones HTTPS son mucho más intensivas en términos informáticos que las peticiones HTTP, el último ataque tenía el potencial de poner mucha más presión sobre el objetivo.
Los recursos necesarios para realizar la avalancha de peticiones HTTPS también fueron mayores, lo que indica que los DDoS son cada vez más potentes. La red de bots responsable está compuesta por unos 6.000 bots, ha entregado datos de aplicativos de hasta 10 millones de peticiones por segundo. El ataque se originó en 112 países, con cerca del 15 por ciento de la potencia de fuego de Indonesia, seguido de Rusia, Brasil, India, Colombia y Estados Unidos.
"Dentro de esos países, el ataque se originó en más de 1.300 redes diferentes", escribieron los investigadores Omer Yoachimik y Julien Desgats. Dijeron que la avalancha de tráfico procedía principalmente de los centros de datos, ya que los DDoS se alejan de los ISP de redes residenciales para dirigirse a los ISP de computación en la nube. Entre las principales redes de centros de datos se encuentran el proveedor alemán Hetzner Online GmbH (número de sistema autónomo 24940), Azteca Comunicaciones Colombia (ASN 262186) y OVH en Francia (ASN 16276). Otras fuentes incluían routers domésticos y de pequeñas oficinas.
"En este caso, el atacante estaba utilizando servidores comprometidos en proveedores de alojamiento en la nube, algunos de los cuales parecen estar ejecutando aplicaciones basadas en Java. Esto es notable debido al reciente descubrimiento de una vulnerabilidad (CVE-2022-21449) que puede ser utilizada para eludir la autenticación en una amplia gama de aplicaciones basadas en Java", escribió el vicepresidente de producto de Cloudflare (empresa de mitigación de DDoSes), Patrick Donahue, en un correo electrónico. "También vimos un número significativo de routers MikroTik utilizados en el ataque, probablemente explotando la misma vulnerabilidad que la botnet Meris".
El ataque duró unos 15 segundos. Cloudflare lo mitigó utilizando sistemas en su red de centros de datos que detectan automáticamente los picos de tráfico y filtran rápidamente las fuentes. Cloudflare no identificó el objetivo, excepto que operaba una plataforma de lanzamiento de criptomonedas, una plataforma utilizada para ayudar a financiar proyectos financieros descentralizados.
Las cifras subrayan la carrera armamentística entre atacantes y defensores, ya que cada uno intenta superar al otro. No será sorprendente que se establezca un nuevo récord en los próximos meses.