Suscríbete para recibir notificaciones de nuevas publicaciones:

Mantis, la botnet más potente de la historia

2022-07-14

3 min de lectura
Esta publicación también está disponible en English, 繁體中文, Рyсский, Polski y 简体中文.

En junio de 2022, informamos del mayor ataque DDoS HTTPS que hemos mitigado hasta ahora, un ataque de 26 millones de solicitudes por segundo, el mayor de todos los tiempos. Nuestros sistemas lo detectaron y mitigaron de manera automática, al igual que otros muchos más. Desde entonces, hemos estado siguiendo la pista de esta botnet, a la que hemos bautizado con el nombre de "Mantis", y sus ataques contra casi 1000 clientes de Cloudflare.

Mantis - the most powerful botnet to date

Los clientes que usan el WAF y la CDN de Cloudflare están protegidos contra los ataques DDoS HTTP, incluidos los de Mantis. Consulta la parte inferior de este blog para saber más sobre la mejor manera de proteger tus propiedades de Internet contra los ataques DDoS.

¿Conoces a Mantis?

Llamamos "Mantis" a la botnet que lanzó el ataque DDoS de 26 millones de solicitudes por segundo debido a su parecido con la "gamba Mantis", pequeña, pero voraz. Las gambas Mantis, también conocidas como "boxeadoras", son muy pequeñas, su longitud es inferior a 10 cm, pero sus pinzas son tan potentes que pueden generar una onda expansiva con una fuerza de 1500 newtons a velocidades de 83 km/h desde el principio. De forma parecida, la botnet Mantis opera con un pequeño ejército de aproximadamente 5000 bots, pero juntos generan una fuerza inmensa, responsable de los mayores ataques DDoS HTTP que hayamos observado.

Mantis shrimp. Source: Wikipedia.

Image of the Mantis shrimp from Wikipedia

Gamba Mantis. Fuente: Wikipedia.

La botnet Mantis fue capaz de generar un ataque de 26 millones de solicitudes HTTPS por segundo utilizando solo 5000 bots, repito, 26 millones de solicitudes HTTPS por segundo con solo 5000 bots. Eso supone una media de 5200 solicitudes HTTPS por bot. Generar 26 millones de solicitudes HTTP ya es un trabajo titánico sin la sobrecarga adicional de establecer una conexión segura, pero Mantis lo hizo a través de HTTPS. Los ataques DDoS HTTPS son más caros debido a los recursos informáticos que requieren, ya que establecer una conexión segura y encriptada TLS conlleva un coste muy elevado, lo que destaca y recalca la fuerza única de esta botnet.

Graph of the 26 million requests per second DDoS attack

A diferencia de las botnets "tradicionales" que están formadas por dispositivos IoT (Internet de las cosas) como DVR, cámaras de circuito cerrado o detectores de humo, Mantis utiliza máquinas virtuales y servidores potentes pirateados. Esto significa que cada bot dispone de muchos más recursos informáticos, lo que se traduce en esta fuerza combinada para noquear a sus objetivos.

Mantis es la evolución de la botnet Meris, que se basaba en dispositivos MikroTik, pero Mantis se ha expandido para incluir una variedad de plataformas de máquinas virtuales. Además, admite la ejecución de varios proxies HTTP para lanzar ataques. El nombre de Mantis se eligió por su parecido con "Meris" para reflejar su origen, y demostrar su evolución para derrumbar a sus objetivos a gran velocidad. En las últimas semanas, Mantis ha estado especialmente activa contra casi 1000 clientes de Cloudflare.

Graphic design of a botnet

¿A quién ataca Mantis?

En nuestro último informe sobre las tendencias de los ataques DDoS, señalamos la tendencia al alza de los ataques DDoS HTTP. En el último trimestre, los ataques DDoS HTTP aumentaron un 72 % y, sin duda, Mantis ha contribuido a ese crecimiento. En el último mes, Mantis ha lanzado más de 3000 ataques DDoS HTTP contra clientes de Cloudflare.

Si echamos un vistazo a los objetivos de Mantis, podemos ver que Internet y el sector de las telecomunicaciones fueron los más afectados, con un 36 % de la cuota de ataque. El segundo principal objetivo fue el sector de la información, medios de comunicación y editorial, seguido por el sector de los videojuegos y finanzas.

Si nos fijamos en la ubicación, podemos ver que más del 20 % de los ataques DDoS tuvieron como objetivo a empresas con sede en Estados Unidos, más del 15 % se dirigieron contra empresas rusas, y menos del 5 % fueron ataques contra empresas de Turquía, Francia, Polonia, Ucrania, etc.

Cómo protegerse contra Mantis y otros ataques DDoS

El sistema de protección DDoS automatizado de Cloudflare aprovecha la huella digital dinámica para detectar y mitigar los ataques DDoS. El sistema se presenta a los clientes como el conjunto de reglas administradas de DDoS HTTP, que está habilitado y aplica acciones de mitigación por defecto, así que si no has hecho ningún cambio, no te preocupes, no tienes que hacer nada, estás protegido. También puedes revisar nuestras guías "Prácticas recomendadas: medidas preventivas de DDoS" y "Cómo responder a los ataques DDoS" si deseas consejos y recomendaciones adicionales sobre cómo optimizar tus configuraciones de Cloudflare.Si solo utilizas Magic Transit o Spectrum, pero también operas con aplicaciones HTTP que no están protegidas por Cloudflare, te recomendamos que las incluyan en el servicio WAF/CDN de Cloudflare para beneficiarte de la protección a la capa 7.

Protegemos redes corporativas completas, ayudamos a los clientes a desarrollar aplicaciones web de forma eficiente, aceleramos cualquier sitio o aplicación web, prevenimos contra los ataques DDoS, mantenemos a raya a los hackers, y podemos ayudarte en tu recorrido hacia la seguridad Zero Trust.

Visita 1.1.1.1 desde cualquier dispositivo para empezar a usar nuestra aplicación gratuita y beneficiarte de una navegación más rápida y segura.

Para saber más sobre nuestra misión para ayudar a mejorar Internet, empieza aquí. Si estás buscando un nuevo rumbo profesional, consulta nuestras ofertas de empleo.
Botnet (ES)DDoSTrends (ES)

Síguenos en X

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

Publicaciones relacionadas

20 de noviembre de 2024, 22:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...

06 de noviembre de 2024, 8:00

Exploring Internet traffic shifts and cyber attacks during the 2024 US election

Election Day 2024 in the US saw a surge in cyber activity. Cloudflare blocked several DDoS attacks on political and election sites, ensuring no impact. In this post, we analyze these attacks, as well Internet traffic increases across the US and other key trends....