OVHcloud ha revelado nuevos detalles sobre cómo pudo salvar 840 millones de paquetes por segundo (Mpps) de ataques distribuidos de denegación de servicio (Ataques distribuidos de denegación de servicio) ataque a principios de este año.
en nuevo Entrada en el blogLa compañía dijo que ha observado que los actores de amenazas están utilizando dispositivos de red subyacentes durante estas incursiones, lo que hace que los ataques DoS sean más poderosos y más difíciles de combatir.
La compañía ha nombrado dos modelos de dispositivos Mikrotik: el CCR1036-8G-2S+ y el CCR1072-1G-8S+, que aparentemente se utilizaron como núcleos para redes pequeñas y medianas y que, según se informa, expusieron sus interfaces a Internet, aunque estaban obsoletas. firmware, habilitación… Lo convierte en un objetivo principal para los ciberdelincuentes.
Robots plaga
OVHcloud dijo que ha observado cerca de 100.000 dispositivos Mikrotik conectados a Internet, pero es difícil determinar cuántos han sido comprometidos. Un ataque DDoS estándar se originó a partir de 5.000 direcciones IP de origen, y dos tercios de los paquetes se enrutaron a través de solo cuatro puntos de presencia (PoP), todos en los Estados Unidos.
Debido a que estos dispositivos tienen una alta potencia de procesamiento (muchos tienen CPU de 36 núcleos), secuestrar incluso el 1% de ellos en una botnet podría provocar ataques DDoS a una velocidad de 2,28 mil millones de paquetes por segundo (Gpps).
No se ha revelado la identidad de los atacantes ni el malware que utilizaron para insertar estos dispositivos en la botnet. En su informe, Computadora sangrante Dijo que los dispositivos Mikrotik habían sido atacados en el pasado por operadores de botnets Mēris.
La mejor manera de protegerse contra este tipo de ataque de malware es actualizar los dispositivos con el firmware y el software más recientes y, si es posible, mantenerlos alejados de la Internet pública. Aparentemente, Mikrotik ha advertido a sus usuarios, en múltiples ocasiones, que actualicen RouterOS (el sistema operativo que alimenta los dispositivos) a una versión segura, pero muchos de ellos todavía ejecutan una versión anterior y más vulnerable.
OVHcloud afirma que se ha puesto en contacto con la empresa para conocer los detalles de sus hallazgos, pero aún no ha recibido respuesta.