Cloudflare reportó que desde principios de septiembre pasado, sus sistemas de protección combatieron una campaña de un mes de duración de más de 100 ataques DDoS hipervolumétricos a las capas 3 y 4 (red y transporte).
De acuerdo con una publicación de blog, muchos de esos ataques superaron los 2,000 millones de paquetes por segundo y los tres terabits por segundo (Tb/s). El mayor alcanzó un máximo de 3.8 Tb/s con una duración de 1:05 minutos.
La firma de ciberseguridad señaló que se trata del mayor ataque revelado públicamente por una organización y agregó que la escala y frecuencia de la campaña no tiene precedentes. Su detección y mitigación fueron totalmente autónomas.
Debido a su gran tamaño y sus altas velocidades de bits/paquetes por segundo, detalló Cloudflare, los ataques tienen la capacidad de interrumpir tanto las propiedades de internet desprotegidas como las protegidas por equipos locales o por proveedores en la nube que simplemente carecen de la capacidad de red o de la cobertura global necesarias para gestionar estos volúmenes junto con el tráfico legítimo sin afectar al rendimiento.
Los mayores ataques DDoS
En octubre de 2023, Cloudflare junto con AWS y Google Cloud informaron sobre la explotación de una vulnerabilidad de día cero llamada “HTTP/2 Rapid Reset”, utilizada para ejecutar las campañas de DDoS más grandes jamás antes vistas. Tan solo la división de nube de Amazon indicó que mitigó un ataque con 155 millones de solicitudes por segundo (RPS, por sus siglas en inglés).
Meses atrás, en febrero de 2023, Cloudflare había informado que había detectado y mitigado un ataque de más de 71 millones RPS, un volumen 35% mayor que el que hasta entonces era el más grande.
En agosto de 2022, Google Cloud reveló que bloqueó el ataque DDoS de capa 7 (aplicaciones) más grande que alcanzó un máximo de 46 millones de solicitudes por segundo.
Ahora Cloudflare no dio detalles sobre el volumen de las RPS y mencionó las velocidades. En enero de 2022, Microsoft se refirió al ataque más grande que había mitigado, dirigido a uno de sus clientes de Azure en Asia, en los mismos términos: 3.47 Tb/s.
Ataques se originaron de enrutadores domésticos Asus
Sobre la campaña de ataques, Cloudflare señaló que estuvo dirigida a varios clientes de las industrias de servicios financieros, internet y telecomunicaciones, entre otras.
Indicó que utilizaron principalmente el protocolo de datagrama de usuario (UDP, por sus siglas en inglés) en un puerto fijo. La mayor parte provenían de Vietnam, Rusia, Brasil, España y Estados Unidos.
Los ataques de alta velocidad de paquetes parecen originarse en varios tipos de dispositivos en riesgo, como dispositivos MikroTik, DVR y servidores web, orquestados para trabajar en conjunto e inundar el objetivo con volúmenes de tráfico excepcionalmente grandes.
Los ataques de alta velocidad de bits parecen originarse en un gran número de enrutadores domésticos ASUS comprometidos, probablemente explotados mediante una vulnerabilidad CVE 9.8 (crítica) que Censys descubrió recientemente.
