Google Cloud bloquea el mayor ataque DDoS HTTPS de la historia

Google Cloud ha hecho público que ha bloqueado el mayor ataque DDoS de capa 7 (HTTPS) hasta la fecha, después de que un cliente de Cloud Armor fuera objeto de una serie de ataques que alcanzaron un máximo de 46 millones de peticiones por segundo (rps). El ataque, que se produjo el 1 de junio, era al menos un 76% mayor que el récord de DDoS HTTPS del que se había informado anteriormente y mostraba características que lo relacionaban con la familia de ataques Meris.

El gigante tecnológico señala que Cloud Armor Adaptive Protection fue capaz de detectar y analizar el tráfico en una fase temprana del ciclo de vida del ataque del cliente, bloqueando dicho ataque y asegurando que el servicio del cliente siguiera online. El ataque se produce en medio de una creciente actividad de DDoS dirigida a las organizaciones, ya que los atacantes emplean cada vez más infraestructura y diversidad en las campañas.

El ataque DDoS HTTPS alcanzó un máximo de 46 millones de peticiones por segundo

En una publicación del blog, Google indica que, alrededor de las 9.45 a.m. PT del 1 de junio de 2022, un ataque de más de 10.000 rps comenzó a dirigirse al equilibrador de carga HTTPS de un cliente. "Ocho minutos más tarde, el ataque creció hasta 100.000 peticiones por segundo", añade la firma. Cloud Armor generó una alerta que contenía la firma del ataque al evaluar el tráfico y una regla recomendada para bloquear sobre la firma maliciosa, declaró Google.

El equipo de seguridad de la red del cliente desplegó la regla recomendada en su política de seguridad, y comenzó a bloquear el tráfico de ataque. "Eligieron la acción de 'estrangulamiento' en lugar de una acción de 'denegación' para reducir la posibilidad de impacto en el tráfico legítimo, a la vez que limitaban severamente la capacidad de ataque al dejar caer la mayor parte del volumen de ataque en el borde de la red de Google", escribe Google.

"En los dos minutos siguientes, el ataque comenzó a aumentar, pasando de 100.000 rps a un pico de 46 millones de rps. Como Cloud Armor ya estaba bloqueando el tráfico de ataque, la carga de trabajo de destino siguió funcionando con normalidad." A continuación, el ataque comenzó a disminuir en tamaño, y finalmente terminó 69 minutos más tarde, a las 10:54 a.m. "Presumiblemente, el atacante probablemente determinó que no estaba teniendo el impacto deseado mientras incurría en gastos significativos para ejecutar el ataque", según Google.

"El ataque ilustra dos tendencias: que el tamaño de los ataques DDoS sigue creciendo exponencialmente y que los métodos de ataque siguen evolucionando, aprovechando nuevos tipos de servicios vulnerables desde los que lanzar los ataques", explica a CSO Emil Kiner, director de producto senior de Google Cloud.

El nuevo ataque empaña las campañas DDoS HTTPS anteriores

El ataque de 46 millones de rps empequeñece el mayor ataque DDoS HTTPS registrado anteriormente. En junio de 2022, Cloudfare detectó y mitigó un ataque de 26 millones de rps que se originó en una pequeña pero potente red de bots de 5.067 dispositivos. En 2021, la misma empresa frustró un ataque DDoS entonces récord que alcanzó un máximo de 17,2 millones de rps, antes de detener un ataque ligeramente menor (15 millones de rps) en abril de 2022.

Características destacables del mayor ataque DDoS HTTPS, enlaces a la botnet Meris

Junto con un volumen de tráfico significativamente alto, Google cita varias características dignas de mención en el ataque. Identificó 5.256 IPs de origen de 132 países que contribuyeron al ataque, con los cuatro primeros países contribuyendo aproximadamente al 31% del tráfico total. Kiner explica a CSO que estos países eran Brasil, India, Rusia e Indonesia. Además, el ataque aprovechó las peticiones encriptadas, que habrían necesitado más recursos informáticos para generarse.

"Aunque la terminación del cifrado fue necesaria para inspeccionar el tráfico y mitigar eficazmente el ataque, el uso de la canalización HTTP requirió que Google completara relativamente pocos apretones de manos TLS", añade la compañía. Google calcula que el 22% (1.169) de las IP de origen correspondían a nodos de salida de Tor, aunque el volumen de peticiones procedentes de esos nodos representaba sólo el 3% del tráfico del ataque. "Aunque creemos que la participación de Tor en el ataque fue incidental debido a la naturaleza de los servicios vulnerables, incluso con un 3% del pico (mayor de 1,3 millones de rps) nuestro análisis muestra que los nodos de salida de Tor pueden enviar una cantidad significativa de tráfico no deseado a aplicaciones y servicios web", escribe Google.

Lo más interesante es que Google ha declarado que la distribución geográfica y los tipos de servicios no seguros aprovechados coinciden con la familia de ataques Meris, conocida por sus campañas de DDoS que baten récords y abusan de los proxies no seguros para ocultar el verdadero origen de los ataques.

Los ataques DDoS aumentan y presentan una rica mezcla de volumen y duración

En general, la actividad de DDoS está aumentando, afectando a organizaciones de todos los sectores y geografías. El Informe de Análisis de Amenazas Globales 2022 de Radware descubrió que, en los primeros seis meses de 2022, el número de eventos DDoS maliciosos mitigados por cliente creció un 203% en comparación con los primeros seis meses de 2021, y un 239% si se compara con los últimos seis meses de 2021.

"Las tendencias de los ataques DDoS tienden a ser algo cíclicas en su formato, aunque hay una tendencia subyacente a lo largo del tiempo de aumento del volumen, ya sea en bits por segundo (bps), paquetes por segundo (pps) o solicitudes por segundo (rps)", explica a CSO Rik Turner, analista principal senior de Omdia. Esta tendencia al alza se explica en parte por la capacidad de los atacantes de aprovechar cada vez más infraestructura -es decir, mayor cantidad de bots desde los que lanzar los ataques- y la disponibilidad de DDoS como servicio, que ofrece infraestructura que puede alquilarse para montar un ataque durante el tiempo que desee el atacante, añade.

"Dicho esto, los ataques volumétricos son sólo una variedad de exploits, y aunque su tamaño global sigue aumentando con nuevos volúmenes récord anunciados casi anualmente, no es el caso de que el porcentaje de ataques DDoS que son volumétricos esté aumentando linealmente", continúa Turner. Algunos años el porcentaje de ataques volumétricos desciende, aunque los volúmenes máximos sigan aumentando, porque los atacantes pueden estar probando nuevas variantes de la metodología de ataque, señala.

"También merece la pena vigilar la duración media de un ataque DDoS, ya que a menudo puede ocurrir que un volumen monstruosamente grande se libere solo durante un par de minutos, solamente para mostrar de lo que son capaces los atacantes, y después se pida un rescate". Otros tipos de ataque, incluidos los de la capa de aplicación (capa 7), suelen ser bajos y lentos porque quieren evitar la detección y descubrir qué defensas tiene el objetivo y cuánto tiempo tardan en activarse, dice Turner. "En última instancia, los ataques DDoS presentan una rica mezcla de volumen y duración, lo que hace más difícil defenderse de ellos, ya que nunca se sabe con certeza qué tipos llegarán a su infraestructura".