Microsoft ha revelado que detuvo en noviembre lo que describió como el mayor ataque distribuido de denegación de servicio (DDoS) jamás reportado en la historia, que a 3,47 terabytes (Tbps) por segundo superó a un mega DDoS de 2,4 Tbps que frustró el año pasado y que entonces se pensaba. ser el DDoS más grande de la historia.
Los ataques DDoS aprovechan la conectividad de muchos dispositivos comprometidos y dirigen paquetes de datos a un objetivo específico, como un sitio web o un servicio de Internet, con el objetivo de desconectarlo.
Los ataques DDoS masivos medidos en Tbps son cada vez más comunes. Según Alethea Toh, gerente de producto del equipo de redes de Microsoft Azure, Microsoft detuvo otros dos ataques DDoS que superaron los 2,5 Tbps en diciembre.
VER: Una estrategia ganadora para la ciberseguridad (Informe especial de )
El ataque DDoS récord de 3,47 Tbps se originó en aproximadamente 10.000 fuentes de dispositivos conectados en los Estados Unidos, China, Corea del Sur, Rusia, Tailandia, India, Vietnam, Irán, Indonesia y Taiwán. “Creemos que este es el ataque más grande jamás reportado en la historia”, dijo Toh.
Los ataques más grandes del año pasado utilizaron el protocolo de datagramas de usuario (UDP), mientras que los ataques centrados en servidores de juegos se llevaron a cabo utilizando variantes del malware botnet Mirai DDoS, que se basa en PC y dispositivos de Internet de las cosas (IoT) comprometidos.
Al igual que el gran ataque DDoS del año pasado, el vector de ataque en el ataque DDoS de 3,47 Tbps fue un “ataque de reflexión” UDP, donde los paquetes de solicitud y respuesta UDP se reflejan dentro de una red local utilizando una dirección de Protocolo de Internet (IP) de origen que ha sido falsificada por el agresor.
Un atacante abusa de UDP al crear una solicitud UDP válida que enumera falsamente la dirección IP de un objetivo como la dirección IP de origen UDP. El atacante envía la solicitud UDP falsificada a un servidor intermediario, que envía una mayor cantidad de paquetes de respuesta UDP a la dirección IP del objetivo en lugar de a la dirección IP real del atacante. La técnica amplifica el tamaño de un ataque DDoS, pero UDP es solo uno de varios protocolos de Internet de los que se puede abusar para amplificación, incluidos el Sistema de nombres de dominio (DNS), el Protocolo de tiempo de red (NTP) y Memcached.
El ataque de reflexión UDP de 3,47 Tbps duró sólo 15 minutos, explica Toh en una publicación de blog. Los otros dos ataques que superaron los 2,5 Tbps también fueron ráfagas cortas dirigidas a servidores en Asia. En los tres casos se utilizó UDP. El protocolo ha demostrado ser popular para estos ataques porque los servidores de juegos en línea no pueden soportar ataques de gran volumen, ni siquiera en ráfagas cortas. Además, UDP se usa comúnmente en aplicaciones de juegos y transmisión.
“La mayoría de los ataques a la industria del juego han sido mutaciones de la botnet Mirai y ataques de protocolo UDP de bajo volumen. Una abrumadora mayoría fueron inundaciones de suplantación de UDP, mientras que una pequeña porción fueron ataques de amplificación y reflexión de UDP, en su mayoría SSDP, Memcached y NTP. “, señala Toh.
“Las cargas de trabajo que son muy sensibles a la latencia, como los servidores de juegos multijugador, no pueden tolerar ataques UDP de ráfagas tan cortas. Las interrupciones de sólo un par de segundos pueden afectar a las partidas competitivas, y las interrupciones que duran más de 10 segundos normalmente terminan una partida”, explica Toh. .
VER: Los ataques DDoS que vienen combinados con demandas de extorsión van en aumento
La industria del juego se ha visto afectada por múltiples ataques DDoS este año que afectaron a Titanfall, Escape from Tarkov, Dead by Daylight y Final Fantasy, señala Microsoft. Los proveedores de servicios de voz sobre IP (VoIP) fueron otro grupo muy objetivo de ataques DDoS.
Los otros dos ataques de diciembre que superaron los 2,5 Tbps fueron ataques UDP. Uno fue un ataque UDP en los puertos 80 y 443 en Asia que duró 15 minutos con cuatro picos principales, de 3,25 Tbps, 2,54 Tbps y 0,59 Tbps, y un pico final de 1,25 Tbps. El otro ataque duró sólo cinco minutos y fue una inundación UDP de 2,55 Tbps en el puerto 443 con un solo pico, señala Toh.
Alrededor del 55% de los ataques DDoS se basaron en la suplantación de identidad de UDP en 2021 y se convirtió en el principal vector en la segunda mitad de 2021.
Estados Unidos fue el objetivo del 54% de los ataques DDoS, seguido del 23% de los ataques dirigidos a India. Sin embargo, la actividad DDoS en Europa cayó del 19% en el primer semestre de 2021 a solo el 6% en el segundo semestre, colocándola detrás de Asia Oriental, que fue el objetivo del 8% de los ataques DDoS. El ataque de 2,4 Tbps del año pasado estaba dirigido a usuarios europeos de la nube Azure. Una vez más, la adopción de los juegos en el este de Asia los convirtió en un objetivo popular.