Un ataque distribuido de denegación de servicio (DDoS) dirigido a una institución financiera en los Emiratos Árabes Unidos estableció récords en cuanto a duración del ciberataque y volumen sostenido de solicitudes.
L’attaque, attribuée au groupe de hackers pro-palestiniens BlackMeta, également connu sous le nom de DarkMeta, a duré six jours et a impliqué plusieurs vagues de requêtes Web d’une durée allant de quatre à vingt heures, ciblant le site de l ‘institución financiera. En total, duró más de 100 horas, con un promedio de 4,5 millones de solicitudes por segundo, dijo la firma de ciberseguridad Radware en un aviso publicado esta semana.
El ataque DDoS representa una desviación significativa de los tradicionales ataques de denegación de servicio de los piratas informáticos, afirma Pascal Geenens, director de inteligencia de amenazas de Radware.
“Estos ataques duraron entre 60 segundos y cinco minutos: sucedieron, golpearon fuerte y desaparecieron al cabo de uno a cinco minutos”, explica. “En el caso de este ataque, la campaña duró seis días en total, y durante esos seis días, el 70% del tiempo, este cliente recibió un promedio de 4,5 millones de solicitudes. »
BlackMeta, también conocido como SN_BlackMeta, surgió en noviembre de 2023 y se atribuyó la responsabilidad de ataques a organizaciones en Israel, Emiratos Árabes Unidos y Estados Unidos. En mayo, el grupo se atribuyó la responsabilidad de un ataque de varios días. Ataque de denegación de servicio en Internet Archive con sede en San Francisco. En abril, el grupo afirmó haber atacado La infraestructura del Grupo Orange, proveedor francés de servicios de telecomunicaciones en Europa, Oriente Medio y África, con sede en Israel, también ha apuntado a organizaciones en Arabia Saudita, Canadá y Emiratos Árabes Unidos.
Ataques DDoS por 500 dólares al mes
El grupo BlackMeta anunció en Telegram su intención de atacar a la entidad financiera en los días previos a la operación. El ciberataque inundó de solicitudes el sitio web de la empresa financiera, reduciendo el porcentaje de solicitudes legítimas al 0,002%, con una media del 0,12%. Los ataques continuaron el 70% del tiempo durante el período de seis días.
Capturas de ancho de banda que muestran el ataque durante seis días. Fuente: Radware
Los atacantes utilizaron un servicio de cibercrimen conocido como InfraShutdown, que permite a los atacantes atacar sitios por entre 500 y 625 dólares por semana. según la opinión de Radware.
BlackMeta está motivado principalmente por una ideología pro-palestina, pero al igual que Anonymous Sudan, tiene una postura antioccidental y parece tener vínculos con Rusia, y utiliza árabe, inglés y ruso en sus publicaciones, dijo Radware.
«El grupo considera sus ataques como una forma de represalia por las injusticias percibidas contra palestinos y musulmanes», dijo la empresa. “Sus objetivos suelen incluir infraestructura crítica como sistemas bancarios, servicios de telecomunicaciones, sitios web gubernamentales y grandes empresas de tecnología, lo que refleja una estrategia para desbaratar entidades consideradas cómplices o que apoyan a sus adversarios. »
¿Cómo aprovechar el servicio DDoS?
BlackMeta es probablemente un cambio de marca de Anonymous Sudan, un grupo que se hizo un nombre el año pasado. atacar objetivos con el grupo prorruso Killnet, según los investigadores. Anónimo Sudán Organizaciones israelíes atacadas Y el servicio de mensajería cifrada Telegram en 2023. La comparación del número de ataques reclamados por mes durante el último año y medio muestra que la actividad de Anonymous Sudan disminuyó al mismo tiempo que se intensificó la actividad de BlackMeta.
Anonymous Sudan ha promocionado su servicio de ataque DDoS InfraShutdown en ataques anteriores, instando a otros atacantes potenciales a registrarse, lo que significa que el grupo probablemente se esté beneficiando financieramente de su «hacktivismo».
«Si los actores detrás [BlackMeta] están conectados de alguna manera con Anonymous Sudan o apoyan a Anonymous Sudan, el servicio premium InfraShutdown probablemente esté detrás de los 14,7 millones [requests-per-second]»Campaña de ataque de 100 horas», dijo Radware en su aviso
La limitación de la tasa de ancho de banda durante tales ataques no es una solución para los ataques sostenidos a la capa de aplicaciones, ya que una empresa debería poder diferenciar entre los 1,5 mil millones de solicitudes legítimas que llegan al sitio web en un período de seis días y los 1,25 mil millones de solicitudes legítimas que llegan al sitio web durante un período de seis días. período de seis días. mil billones solicitudes maliciosas dirigidas al sitio, explica Geenens.
«Con los ataques dirigidos a la capa 7 (la capa de aplicación), el problema ha cambiado», explica. “Antes de que estuviéramos en el nivel de red, podíamos usar un firewall, pero eso requería demasiada potencia de procesamiento, por lo que pasamos a la protección de red. Pero cuando subes una capa [to Layer 7]pueden apuntar a páginas específicas y aleatorizar las consultas que ingresan, para que parezcan publicaciones legítimas. «
