La semana pasada nos sorprendió el silencio de Microsoft ante una oleada de fallos en sus servicios en la nube y denuncias de ataques DDoS por parte de un grupo hacktivista. Este fin de semana, Microsoft proporcionó los conocimientos esperados que confirman la ola de ataques.
Durante casi dos semanas, la editorial estadounidense ha sido víctima de una serie de fallas múltiples en sus servicios de Microsoft 365 y Azure. Incidentes que parecían denegaciones de servicio, especialmente porque, al mismo tiempo, un grupo pseudohacktivista llamado «Anonymous Sudan» se publicitó en línea burlándose del editor y afirmando ser el origen de ataques DDoS perturbadores para el funcionamiento de los servicios.
Mientras evaluamos estos incidentes la semana pasada, también comentamos sobre el extraño silencio de la respuesta aparentemente impasible de Microsoft a las acusaciones de los atacantes cibernéticos.
Pero el editor finalmente respondió este fin de semana en una publicación de blog donde confirmó que efectivamente había sufrido una serie de ataques DDoS masivos. » A principios de junio de 2023, identificamos picos de tráfico en algunos servicios que afectaron temporalmente su disponibilidad. Rápidamente abrimos una investigación y luego comenzamos a rastrear la actividad DDoS en curso por parte de un actor de amenazas que Microsoft identifica como Storm-1359. explican los expertos del MSRC. » Es probable que estos ataques se basen en el acceso a múltiples servidores privados virtuales (VPS) junto con infraestructura de nube arrendada, proxies abiertos y herramientas DDoS. » agregan para justificar el lado masivo de los ataques sufridos mientras que el editor generalmente tiene un ancho de banda considerable para sus servicios principales
El informe de MSRC luego entra en detalles sobre los ataques. Estos se han dirigido exclusivamente a la capa 7 del modelo ISO en lugar de las capas 3 y 4 que se usan más típicamente para realizar tales ataques DDoS. Por lo tanto, los piratas informáticos han favorecido ataques del tipo Inundación HTTPS (que consiste en abrumar al servidor con solicitudes HTTPS), Omisión de caché (sin pasar por la caché de CDN), Loris lento (ataque que consiste en solicitar un recurso sin acuse de recibo). El editor respondió reajustando los balanceadores de carga y reforzando las protecciones en la capa 7, en particular ajustando el firewall de la aplicación Azure WAF.
Cabe señalar que Microsoft se contenta con designar a un grupo de atacantes denominado “Storm-1359”, un identificador interno, sin confirmar que efectivamente es el grupo “Anonymous Sudan” quien se atribuyó la responsabilidad de los ataques. Según muchos expertos en ciberseguridad, este grupo no tiene nada que ver con Anonymous o Sudán, sino que está afiliado a grupos de atacantes rusos.
Además, Microsoft afirma que » no hemos visto evidencia de que se haya accedido o comprometido los datos del cliente ”, aunque el grupo exigió oficialmente un rescate a través de mensajes de Telegram. Como señalan los investigadores de MSRC, y hasta que se demuestre lo contrario, las acciones del grupo de atacantes parecen estar mucho más centradas en las interrupciones del servicio y su propia publicidad que en el reclamo financiero.
Lea también:
El extraño silencio de Microsoft ante los repetidos ataques DDoS contra Azure
Nuevo récord para un ataque DDoS…
Ataques DDoS: bloquee la suplantación de direcciones IP y controle el tráfico entrante…
Azure bloquea un nuevo ataque DDoS récord
¡Felicitaciones, se ha suscrito con éxito a nuestro boletín de noticias!
[