Noticias

El ataque DDoS que desactivó Twitter fue causado por 100.000 dispositivos IoT de la red zombi Mirai

El servidor de Internet Dyn, que el viernes pasado sufrió un ataque DDoS que interrumpió el funcionamiento de grandes sitios de Internet como Twitter, Reddit y Spotify, ha publicado información que aclara algunos detalles sobre el ataque y sus atacantes.

Ante la gran magnitud del ataque, el primer impulso de Dyn fue sospechar que había sido realizado por ciberatacantes con respaldo gubernamental. Sin embargo, las investigaciones posteriores de Dyn realizadas con la ayuda de la empresa de seguridad FlashPoint revelaron que el ataque fue lanzado por cibercriminales sin grandes recursos ni conocimientos técnicos avanzados.

Aunque al principio Dyn declaró que el ataque había sido realizado por una red zombi de decenas de millones de equipos, las investigaciones posteriores indican que en realidad fueron cientos de miles de dispositivos comprometidos del Internet de las Cosas como cámaras web y routers. Los dispositivos forman parte de la red zombi Mirai, que durante los últimos meses ha estado ganando notoriedad por sus ataques a sitios como el del experto en seguridad Brian Krebs. El código de Mirai se hizo público a finales del mes pasado y ahora está a disposición de cualquier ciberatacante que quiera usarlo.

Dyn explicó que los atacantes inundaron sus servidores con tráfico TCP y UDP en el puerto 53. Los informes iniciales calcularon que el ataque se realizó a 1,3 Tbps, pero todavía no se ha confirmado con exactitud cuál fue la magnitud del ataque.

La compañía explicó cómo fue posible que una red zombi tan pequeña causara tanto daño y por qué los cálculos de su magnitud actuales difieren tanto de los iniciales: “Durante un DDoS que emplea el protocolo DNS puede ser difícil distinguir entre el tráfico legítimo y el del ataque. Por ejemplo, el ataque probocó una oleada de intentos adicionales de conexión legítimos cuando los servidores afectados intentaban reiniciar sus cachés, lo que generó un volumen de tráfico entre 10 a 20 veces mayor que el normal desde un gran número de direcciones IP. Cuando sucede este congestionamiento de tráfico DNS, los intentos de reconexión legítimos pueden contribuir al volumen de tráfico (…). Parece que los ataques maliciosos provenía de al menos una red zombi, pero la tormenta de intentos de reconexión hizo que la cantidad de equipos atacantes pareciera mucho mayor de lo que en realidad fue”.

Fuentes

Chicago Tribune

IB Times

InfoSecurity Magazine

El ataque DDoS que desactivó Twitter fue causado por 100.000 dispositivos IoT de la red zombi Mirai

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada