BLOG

Los servicios de nube distribuida de F5 resisten los ataques DDoS de capa 7 emergentes.

Miniatura de Sudhir Patamsetti
Sudhir Patamsetti
Publicado el 10 de febrero de 2023

F5 lanzó Distributed Cloud Services en 2022, brindando protección de API y aplicação web para organizaciones empresariales que necesitan seguridad basada en el borde que pueda consumirse como servicio. En el mundo interconectado de hoy, las amenazas cibernéticas están en aumento y las organizaciones deben estar preparadas para proteger su infraestructura crítica de los nuevos tipos de ataques en evolución. Uno de los tipos más comunes de ciberataques es el ataque de denegación de servicio distribuido (DDoS), que puede hacer caer incluso los sitios web y servicios en línea más grandes.

Recientemente, un destacado grupo hacktivista prorruso conocido como Killnet lanzó un sofisticado ataque DDoS L7 contra una gran organización europea. El ataque tenía como objetivo saturar los servidores de la empresa con cantidades masivas de tráfico, dificultando a los usuarios el acceso al sitio web con un tráfico de ataque que alcanzaba un máximo de 120 000 RPS. Sin embargo, gracias a los esfuerzos del Centro de Operaciones de Seguridad (SOC) de F5 y las capacidades avanzadas de mitigación de DDoS de F5 Distributed Cloud Services, el ataque se está mitigando con éxito y el sitio web ha permanecido operativo durante todo el ataque. Este ataque es parte de varias campañas DDoS que han estado ocurriendo durante las últimas semanas originadas por este grupo.

Nota: Se trata de una campaña de ataque activa que ha estado ocurriendo durante más de una semana, y estamos mitigando estos ataques con éxito mientras se escribe esta publicación del blog.

Este ataque DDoS específico se originó en múltiples ubicaciones alrededor del mundo. Los puntos grises en el mapa de arriba representan los orígenes de los ataques y los cuadros rojos representan los puntos de presencia de F5 Red Global donde se filtra el tráfico de ataque de la aplicación y se permite el tráfico legítimo.

Una de las características clave de los ataques de Killnet es su enfoque en la capa de aplicação (L7). Estos ataques son particularmente difíciles de detectar y mitigar, ya que a menudo implican imitar el comportamiento normal del usuario (lo que hace que sea difícil distinguirlos del tráfico legítimo), múltiples vectores de ataque de aplicação y la capacidad de reequiparse, incluido el ciclo a través de diferentes ubicaciones de origen, IP y otros componentes de ataque.

Principales IP de origen del ataque. El tráfico del ataque se observa en varias direcciones IP distribuidas alrededor del mundo.
La huella digital TLS responsable de la mayor parte del tráfico de ataque en este escenario.

El tráfico de ataque se origina desde solo 3 huellas digitales TLS diferentes, aunque la fuente del tráfico se distribuye entre 35 direcciones IP diferentes y 19 países. Estamos viendo que el 72% del tráfico de ataque se origina en una huella TLS que se muestra en la imagen de arriba. Esta huella digital se ha asociado con el malware Tofsee , donde los sistemas infectados con Tofsee se utilizan como parte de una botnet DDoS.

Los atacantes aprovecharon diferentes geografías con la esperanza de encontrar una brecha en las protecciones de geolocalización.
El ataque afectó a diferentes métodos HTTP y combinaciones de URL.

El SOC F5 está empleando una variedad de estrategias para defenderse del ataque, incluido el filtrado de tráfico, la inteligencia de IP y la limitación de velocidad. Esto permite al equipo identificar y bloquear únicamente el tráfico malicioso y permitir que el tráfico legítimo continúe llegando al sitio web. Otro componente clave para una mitigación exitosa es el uso por parte del equipo de inteligencia de amenazas en tiempo real y de capacidades de mitigación automática de DDoS L7, que han bloqueado elementos de este ataque en tiempo real sin necesidad de intervención humana. Esta información permite al equipo mantenerse a la vanguardia de los atacantes y ajustar rápidamente sus defensas a medida que el ataque evoluciona a través de geografías, diferentes direcciones IP y nuevas rutas de ataque.

La mitigación exitosa de los ataques DDoS L7 por parte de Killnet y otros grupos representa una nueva normalidad: consulte más información sobre ataques DDoS en nuestro informe Tendencias de ataques DDoS 2023 de F5 Labs . Este resumen del ataque destaca la importancia de contar con una infraestructura de seguridad de múltiples capas y un equipo de seguridad bien capacitado y listo para brindar apoyo en tiempo real. Al utilizar una combinación de filtrado de tráfico, limitación de velocidad, limpieza de DDoS basada en la nube, inteligencia de amenazas en tiempo real y un sólido plan de recuperación ante desastres, las organizaciones pueden protegerse incluso contra los ataques DDoS más sofisticados dirigidos a su infraestructura y aplicações.

Si está experimentando un ataque disruptivo y necesita una incorporación de emergencia a F5 Distributed Cloud Services, comuníquese con nuestra línea de soporte de emergencia al: (866) 329-4253 o +1 (206) 272-7969