MADRID, 19 (Portaltic/EP)
Microsoft ha confirmado que ciberdelincuentes identificados como Storm-1359 han llevado a cabo diferentes ataques de denegación de servicio distribuido (DDoS), lo que provoco una interrupción de sus servicios a principios de junio, entre ellos Outlook y OneDrive.
Un ataque DDoS es un tipo de ciberataque que intenta hacer que un sitio web o recurso de red no esté disponible colapsándolo con tráfico malintencionado para que no pueda funcionar de la forma correcta y habitual.
La compañía ha comentado que a principios de este mes identificó «aumentos repentinos en el tráfico de algunos servicios» que afectaron temporalmente la disponibilidad de algunas de sus aplicaciones, como Outlook, OneDrive y Azure, según las actualizaciones que publicó entonces a través de Twitter.
Al conocer estos incidentes, Microsoft «abrió rápidamente una investigación y posteriormente comenzó a rastrear la actividad DDoS en curso por parte de un actor de amenazas», identificado como Storm-1359, tal y como ha confirmado en un comunicado.
Este grupo de ciberdelincuentes se denomina a sí mismo Anonymous Sudan, según recoge Bleeping Computer, advertido en enero de 2023, y que se centra en grandes organizaciones y agencias gubernamentales opuestos a las políticas de Sudán, aunque algunos investigadores los relacionan con Rusia.
Microsoft ha analizado Storm-1359 y ha determinado que tiene acceso a una colección de ‘botnets’ y herramientas que podrían permitirle lanzar ataques DDoS desde múltiples servicios, infraestructuras de proxy abiertas y desde la nube.
Con ello, ha determinado que la actividad de estos ciberdelincuentes es la de propagar publicidad e interrumpir los servicios que ofrece Microsoft. Asimismo, tiene como objetivo agotar los recursos del sistema con una gran carga de protocolos de enlace SSL/TLS y procesamiento de solicitudes HTTPS.
Otro de los ataques DDoS que ejecuta Storm-1359 busca eludir la capa dedicada a la entrega de contenido (CDN), lo que puede provocar la sobrecarga de los servidores de origen.
Finalmente, este grupo de ciberdelincuentes emplea el ataque ‘Slowris’, para el que abre una conexión a un servidor solicita un recurso (como puede ser una imagen) y después no reconoce la descarga o la acepta lentamente. De ese modo, obliga al servidor web a mantener abierta la conexión y el recurso solicitado en la memoria.
Desde la compañía han recomendado utilizar Azure Web Application Firewall (WAF) para proteger las aplicaciones web y crear reglas personalizadas de este solución para bloquear y clasificar automáticamente los ataques HTTP y HTTPS.
- Te recomendamos -
