En junio de 2022, informamos del mayor ataque DDoS HTTPS que hemos mitigado hasta ahora, un ataque de 26 millones de solicitudes por segundo, el mayor de todos los tiempos. Nuestros sistemas lo detectaron y mitigaron de manera automática, al igual que otros muchos más. Desde entonces, hemos estado siguiendo la pista de esta botnet, a la que hemos bautizado con el nombre de "Mantis", y sus ataques contra casi 1000 clientes de Cloudflare.
Los clientes que usan el WAF y la CDN de Cloudflare están protegidos contra los ataques DDoS HTTP, incluidos los de Mantis. Consulta la parte inferior de este blog para saber más sobre la mejor manera de proteger tus propiedades de Internet contra los ataques DDoS.
¿Conoces a Mantis?
Llamamos "Mantis" a la botnet que lanzó el ataque DDoS de 26 millones de solicitudes por segundo debido a su parecido con la "gamba Mantis", pequeña, pero voraz. Las gambas Mantis, también conocidas como "boxeadoras", son muy pequeñas, su longitud es inferior a 10 cm, pero sus pinzas son tan potentes que pueden generar una onda expansiva con una fuerza de 1500 newtons a velocidades de 83 km/h desde el principio. De forma parecida, la botnet Mantis opera con un pequeño ejército de aproximadamente 5000 bots, pero juntos generan una fuerza inmensa, responsable de los mayores ataques DDoS HTTP que hayamos observado.
Mantis shrimp. Source: Wikipedia.
Gamba Mantis. Fuente: Wikipedia.
La botnet Mantis fue capaz de generar un ataque de 26 millones de solicitudes HTTPS por segundo utilizando solo 5000 bots, repito, 26 millones de solicitudes HTTPS por segundo con solo 5000 bots. Eso supone una media de 5200 solicitudes HTTPS por bot. Generar 26 millones de solicitudes HTTP ya es un trabajo titánico sin la sobrecarga adicional de establecer una conexión segura, pero Mantis lo hizo a través de HTTPS. Los ataques DDoS HTTPS son más caros debido a los recursos informáticos que requieren, ya que establecer una conexión segura y encriptada TLS conlleva un coste muy elevado, lo que destaca y recalca la fuerza única de esta botnet.
A diferencia de las botnets "tradicionales" que están formadas por dispositivos IoT (Internet de las cosas) como DVR, cámaras de circuito cerrado o detectores de humo, Mantis utiliza máquinas virtuales y servidores potentes pirateados. Esto significa que cada bot dispone de muchos más recursos informáticos, lo que se traduce en esta fuerza combinada para noquear a sus objetivos.
Mantis es la evolución de la botnet Meris, que se basaba en dispositivos MikroTik, pero Mantis se ha expandido para incluir una variedad de plataformas de máquinas virtuales. Además, admite la ejecución de varios proxies HTTP para lanzar ataques. El nombre de Mantis se eligió por su parecido con "Meris" para reflejar su origen, y demostrar su evolución para derrumbar a sus objetivos a gran velocidad. En las últimas semanas, Mantis ha estado especialmente activa contra casi 1000 clientes de Cloudflare.
¿A quién ataca Mantis?
En nuestro último informe sobre las tendencias de los ataques DDoS, señalamos la tendencia al alza de los ataques DDoS HTTP. En el último trimestre, los ataques DDoS HTTP aumentaron un 72 % y, sin duda, Mantis ha contribuido a ese crecimiento. En el último mes, Mantis ha lanzado más de 3000 ataques DDoS HTTP contra clientes de Cloudflare.
Si echamos un vistazo a los objetivos de Mantis, podemos ver que Internet y el sector de las telecomunicaciones fueron los más afectados, con un 36 % de la cuota de ataque. El segundo principal objetivo fue el sector de la información, medios de comunicación y editorial, seguido por el sector de los videojuegos y finanzas.
Si nos fijamos en la ubicación, podemos ver que más del 20 % de los ataques DDoS tuvieron como objetivo a empresas con sede en Estados Unidos, más del 15 % se dirigieron contra empresas rusas, y menos del 5 % fueron ataques contra empresas de Turquía, Francia, Polonia, Ucrania, etc.
Cómo protegerse contra Mantis y otros ataques DDoS
El sistema de protección DDoS automatizado de Cloudflare aprovecha la huella digital dinámica para detectar y mitigar los ataques DDoS. El sistema se presenta a los clientes como el conjunto de reglas administradas de DDoS HTTP, que está habilitado y aplica acciones de mitigación por defecto, así que si no has hecho ningún cambio, no te preocupes, no tienes que hacer nada, estás protegido. También puedes revisar nuestras guías "Prácticas recomendadas: medidas preventivas de DDoS" y "Cómo responder a los ataques DDoS" si deseas consejos y recomendaciones adicionales sobre cómo optimizar tus configuraciones de Cloudflare.Si solo utilizas Magic Transit o Spectrum, pero también operas con aplicaciones HTTP que no están protegidas por Cloudflare, te recomendamos que las incluyan en el servicio WAF/CDN de Cloudflare para beneficiarte de la protección a la capa 7.