Cloudflare dijo el martes que mitiga automáticamente los ataques de negación de servicio (DDoS) de volumen récord, que alcanzó su punto máximo en 11.5 terabits por segundo (TBP).
«En las últimas semanas, hemos bloqueado de forma autónoma cientos de ataques DDoS de ultrasonido que alcanzan sus picos de 5.1 BPP y 11.5 TBP.
Todo el ataque duró solo unos 35 segundos, pero la compañía dice que «la defensa está trabajando horas extras».
Los ataques DDoS de medición de volumen están diseñados para abrumar objetivos con tsunamis de tráfico, lo que hace que los servidores se desaceleren o falle. Estos ataques generalmente dan como resultado congestión de la red, pérdida de paquetes e interrupción del servicio.
Dichos ataques se realizan utilizando malware, como computadoras, dispositivos IoT u otras máquinas, para enviar solicitudes de Botnets bajo control de actores de amenaza después de infectar el dispositivo.
«El impacto inicial de un ataque de volumen es crear congestión que pueda degradar el rendimiento de las conexiones de red a Internet, servidores y protocolos y causar interrupciones», dijo Akamai en una nota descriptiva.
«Sin embargo, los atacantes pueden usar ataques de volumen como una cubierta de exploit más refinada, que se llama ataques de» pantalla de humo «. A medida que los equipos de seguridad trabajan diligentemente para mitigar los ataques de volumen, los atacantes pueden lanzar ataques adicionales (múltiples vectores).
El desarrollo solo tomará dos meses desde que Cloudflare dijo que alcanzó su pico a 7.3 Tbps a mediados de mayo de 2025, bloqueando los ataques DDoS dirigidos a proveedores de alojamiento no identificados.
En julio de 2025, la compañía dijo que se dispararía en el segundo trimestre de 2025, escalando un nuevo máximo de 6,500 en comparación con el ataque DDoS de alto voltaje Q1 2025, excediendo los ataques DDoS de alto voltaje (ataques L3/4 DDoS) o 1 TBP.
Este desarrollo ocurrió cuando Bitsight detalló la cadena Rapperbot Kill. Se dirige a las grabadoras de video de red (NVR) y otros dispositivos IoT con el objetivo de participar en botnets que pueden llevar a cabo ataques DDoS. La infraestructura de Botnet se eliminó el mes pasado como parte de las operaciones de aplicación de la ley.
En el ataque documentado por una compañía de seguridad cibernética, se dice que los actores de amenaza explotaron las fallas de seguridad en el NVR para obtener acceso inicial y descargaron la siguiente etapa de la carga útil de botes de envoltura al instalarlo y ejecutarlo con un sistema de archivos NFS remoto («104.194.9 (.) 127»).
Esto se logra mediante la falla transversal de la ruta de un servidor web, filtrando credenciales de administración válidas y utilizándola para impulsar actualizaciones falsas de firmware que ejecutan un conjunto de comandos bash que montan compartir y ejecutar binarios de Rapperbot en función de la arquitectura del sistema.
«No es de extrañar que un atacante elija usar un soporte NFS para funcionar de esa parte. Con este firmware NVR tan limitado, instalar un NFS es en realidad una opción muy inteligente», dijo el investigador de seguridad Pedro Umberino. «Por supuesto, esto significa que los atacantes tuvieron que investigar a fondo esta marca y modelo y diseñar hazañas que pudieran funcionar en estas condiciones limitadas».
Luego, el malware recupera los registros DNS TXT asociados con el conjunto de dominios de codificación dura («Iranistrash (.) Libre» y «Pool.rentCheapcars (.) SBS» para obtener la lista real de direcciones IP del servidor de comando y control (C2) reales.
La dirección IP C2 se asigna al dominio C2 donde los nombres de dominio totalmente calificados (FQDN) se generan utilizando un algoritmo de generación de dominio simplificado (DGA) que consiste en una combinación de cuatro dominios, cuatro subdominios y dos dominios de nivel superior (TLDS). FQDNS se resuelve utilizando un servidor DNS codificado.
RapperBot establecerá una conexión encriptada con el dominio C2 utilizando una descripción válida del registro DNS TXT que ha recibido los comandos necesarios para lanzar el ataque DDoS. El malware también puede dirigirlo para escanear el Internet del puerto abierto para transmitir aún más infecciones.
«Su metodología es simple: hacen que Internet sea ejecutado por dispositivos de borde errático (como DVR o enrutadores), fuerza bruta o explotándolos para ejecutar malware Botnet», dijo Bitsite. «La realidad es que está escaneada e infectada una y otra vez, y no requiere persistencia porque los dispositivos vulnerables continúan siendo expuestos allí y son más fáciles de detectar que nunca».
Source link
