Durante las últimas 24 horas, Cloudflare ha observado ataques DDoS HTTP contra sitios web de universidades australianas. Las universidades han sido el primero de varios grupos contra los que el grupo de hackers prorruso Killnet y su afiliado AnonymousSudan han lanzado ataques públicamente, como ha revelado una publicación reciente de Telegram. Los actores de la amenaza hicieron un llamamiento a lanzar ataques adicionales contra los sitios web de 8 universidades, 10 aeropuertos y 8 hospitales de Australia, a partir del martes 28 de marzo.
Killnet es un grupo poco estructurado de personas que colaboran mediante Telegram. Sus canales de Telegram proporcionan un espacio donde los simpatizantes prorrusos pueden contribuir con sus conocimientos a lanzar ciberataques contra intereses occidentales.
No es la primera vez que Cloudflare ha denunciado la actividad de Killnet. El 2 de febrero de 2023 comentamos en una publicación que el grupo de hacktivistas prorruso (declarando formar parte de Killnet) estaba atacando diversas organizaciones sanitarias de Estados Unidos. En octubre de 2022, Killnet lanzó un llamamiento a atacar los sitios web de aeropuertos de Estados Unidos, y el mes siguiente atacó el Departamento del Tesoro de los Estados Unidos.
Como hemos observado en los ataques anteriores llevados a cabo por este grupo, estos ataques más recientes no parecen tener su origen en una única botnet. Además, los métodos de ataque y los orígenes parecen variar, lo que sugiere la implicación de varios actores de amenaza individuales con diversos niveles de capacidad.
Los ataques de denegación de servicio distribuido (DDoS) suelen ser noticia debido a su capacidad para interrumpir servicios críticos. Cloudflare anunció recientemente que había bloqueado el mayor ataque registrado hasta la fecha, que alcanzó una velocidad de 71 millones de solicitudes por segundo (rps), un 54 % superior al mayor ataque anterior registrado en junio de 2022.
Los ataques DDoS están diseñados para saturar las redes con enormes cantidades de tráfico malicioso y, cuando tienen éxito, pueden interrumpir servicios y causar desconexiones de las redes. El tamaño, la sofisticación y la frecuencia de los ataques han ido en aumento durante los últimos meses.
¿Qué es Killnet y AnonymousSudan?
Killnet no es un grupo de hackeo tradicional. No cuenta con herramientas ni infraestructura, ni opera para obtener beneficios económicos. Killnet es un espacio donde los simpatizantes "hacktivistas" prorrusos pueden contribuir con sus conocimientos a lanzar ciberataques contra intereses occidentales. Esta colaboración tiene lugar exclusivamente de forma abierta mediante Telegram, donde cualquiera que desee participar es bien recibido.
Killnet se formó poco después de la creación del Ejército de tecnología de la información (TI) de Ucrania, y probablemente como respuesta a este hecho, e imita sus tácticas. La mayoría de los días, los administradores del canal de Telegram de Killnet lanzarán un llamamiento a que los voluntarios ataquen algún objetivo concreto. Los participantes comparten muchas herramientas y técnicas distintas para lanzar ataques con éxito. Además, los miembros con más experiencia suelen enseñar a los más neófitos cómo lanzar los ciberataques.
AnonymousSudan es otro grupo de hackeo no tradicional similar a Killnet, formado al parecer por "hacktivistas" sudaneses. Los dos grupos han empezado hace poco a colaborar para atacar diversos intereses occidentales.
Los atacantes, incluidos los de estos grupos, son cada vez más audaces en lo que se refiere al tamaño y la escala de las organizaciones contra las que los lanzan. Lo que esto implica para las empresas, especialmente para aquellas con ciberrecursos limitados, es un nivel de amenaza cada vez mayor contra las redes vulnerables.
Todas las organizaciones, independientemente de su tamaño, deben estar preparadas para la eventualidad de un ataque DDoS importante contra sus redes. Idealmente, la detección y la mitigación de los ataques debería estar automatizada lo máximo posible, ya que depender exclusivamente de las personas para la mitigación en tiempo real otorga el control a los atacantes.
¿Cómo debería proteger a mi organización contra los ataques DDoS?
Los clientes de Cloudflare están protegidos contra los ataques DDoS. Nuestros sistemas han estado detectando y mitigando automáticamente el ataque. Nuestro equipo continúa supervisando la situación e implementará contramedidas según sea necesario.
Como medida de precaución adicional, recomendamos que los clientes de los sectores de la educación, los viajes y la sanidad sigan las recomendaciones siguientes.
- Asegúrate de que todas las otras reglas administradas de DDoS se hayan establecido en los ajustes predeterminados (nivel de alta sensibilidad y acciones de mitigación).
- Los clientes Enterprise con Advanced DDoS deberían considerar la opción de activar la protección flexible contra DDoS.
- Implementa reglas de firewall y reglas de limitación de velocidad para aplicar un modelo combinado de seguridad positiva y seguridad negativa. Reduce el tráfico que se permite a tu sitio web según tu uso conocido.
- Activa el modo Bot Fight o el nivel equivalente (SBFM, Gestión de bots (plan Enterprise)) que tengas disponible.
- Asegúrate de que tu origen no está expuesto a la red pública (es decir, permite solo el acceso a las direcciones IP de Cloudflare).
- Activa el almacenamiento en caché tanto como sea posible para reducir la sobrecarga de tus servidores de origen. Asimismo, cuando utilices Workers, evita sobrecargar tu servidor de origen con más subconsultas de las necesarias.
- Activa las alertas DDoS.
A pesar de lo fácil que ahora les resulta a los atacantes lanzar ataques DDoS, queremos asegurarnos de que es aún más fácil, y gratuito, para los defensores de las organizaciones, sea cual sea su tamaño, protegerse contra los ataques DDoS de cualquier tipo. Hemos proporcionado protección contra DDoS ilimitada y sin coste relativo al uso de forma gratuita a todos nuestros clientes desde 2017. La misión de Cloudflare es ayudar a mejorar Internet, y eso significa garantizar una red de Internet más rápida y confiable para todas las personas, incluso ante los ataques DDoS.
Si quieres saber más sobre las principales tendencias de DDoS, descarga el informe sobre amenazas DDoS de Cloudflare para obtener información cada trimestre.