Los ataques DDoS contra las financieras en el 2021

• martes 24 agosto, 2021

Según el último informe publicado por el equipo de investigación de amenazas de Radware, el primer trimestre de 2021 registró un aumento en el volumen de ataques DDoS en un 30%. Más allá del gran volumen, la evolución de la tecnología trae nuevos medios de ataques DDoS. Las técnicas de ataque son cada vez más sofisticadas y los volúmenes aumentan. Para los atacantes cibernéticos, ningún negocio es demasiado grande o demasiado pequeño.

Durante el último mes, ha habido una ola de ataques dirigidos específicamente a instituciones financieras de todo el mundo. Una de las últimas víctimas fue un banco europeo global que fue blanco de un ataque multivectorial.

El banco, clasificado como uno de los 15 principales bancos de Europa, con más de un billón de dólares en activos, tiene centros de datos en todo el mundo. Durante la segunda semana de junio de 2021, fue víctima de tres grandes ráfagas de tráfico, que se repitieron de forma persistente. Este ataque ha alcanzado más de 200 gigabytes de volumen en total.

El primer ataque comenzó alrededor de la noche y alcanzó un máximo de 80 Gbps en segundos. Cuando comenzó el ataque, el equipo ERT de Radware se involucró de inmediato para garantizar una mitigación completa e inmediata.

Una hora más tarde, los atacantes lanzaron el segundo y tercer ataque que siguieron. Esta ola de ataques alcanzó su punto máximo a 45 Gbps y 24 Gbps.

Los vectores de ataque y la defensa por Radware.

Los tres ataques fueron ataques de múltiples vectores, incluidos los siguientes:

1  Inundación de red ipv4 UDP-FRAG
2  Inundación de red ipv4 UDP
3  DOSS-tcp-zero-seq
4  Inundación de red ipv4 ICMP
5  DOSS-ip-proto-rareza
6  ICMP-BlackNurse-Attack
7  Violación del protocolo de enlace de TCP. El primer paquete no es SYN
8  DOSS-IP-GGP-Protocol-Flood
9  DOSS-DNS-Ref-L4-Arriba-3000
10  Memcached-Server-Reflejado

Ataques DDoS de amplificación utilizando servidores MemCached expuestos

El último vector se dirige a los servidores MemCached que se utilizan para fines internos y no están destinados a estar expuestos a Internet. Cuando se exponen, pueden explotarse para lanzar ataques amplificados que potencialmente abruman los recursos de la víctima. Dicho exploit se utilizó para lanzar el ataque DDoS masivo en GitHub en 2018. El hecho de que los servidores no tengan autenticación nativa facilitó el lanzamiento de ataques amplificados contra las víctimas.

Cuando comenzó el ataque al banco, la tecnología de detección de comportamiento de Radware se activó de inmediato. Permite el análisis del tráfico y diferencia con precisión entre tráfico legítimo y malicioso. Como resultado, solo tomó unos segundos generar firmas para bloquear el ataque. En paralelo, todo el tráfico que contenía anomalías, como paquetes con una longitud de encabezado IP no válida o un valor de puerto establecido en cero, se bloqueó automáticamente.

Todos los centros de datos del banco están protegidos por los servicios en la nube siempre activos de Radware. Todo el tráfico se desvía constantemente a uno de los 14 centros de limpieza de Radware a nivel mundial en una configuración de este tipo. Una vez que el tráfico se limpia y se limpia, continúa hacia su destino original.

Mitigado, como si nunca hubiera sucedido

Cuando se encuentran bajo este tipo de ataques, del lado del banco, una cosa es crucial: proteger el SLA y la experiencia del usuario asegurando absolutamente ningún impacto en la red.

Si bien un ataque tan persistente y de gran volumen se desarrolló en el banco, no se causó ningún impacto en la red. Todos los usuarios legítimos que intentaron acceder a la red durante el ataque pudieron hacerlo, y no se informaron interrupciones ni siquiera durante un segundo.

Cómo elegir el proveedor de seguridad adecuado

El año pasado, el 86% de las empresas se vieron afectadas por un ataque DDoS (informe anual de seguridad de Radware); ahora más que nunca, no hay lugar para errores al elegir la tecnología y el enfoque de seguridad. Las empresas deben asegurarse de que el proveedor seleccionado sea realmente capaz de defender su red de las ráfagas y los ataques de múltiples vectores que se vuelven tan actuales.

¿Las tres preguntas principales para hacerle a su proveedor?

• ¿Puede el proveedor garantizar la continuidad del negocio bajo ataque?
• ¿Cuánto tiempo después del ataque estará disponible un contacto del equipo de respuesta a emergencias para brindar apoyo?
• ¿Qué sucede si el volumen aumenta un cierto umbral?

Las organizaciones deben asegurarse de estar preparadas ahora, para no descubrir lo contrario en las peores circunstancias.

By Radware