Microsoft atribuyó el viernes una serie de interrupciones del servicio dirigidas a Azure, Outlook y OneDrive a principios de este mes a un clúster sin clasificar que rastrea bajo el nombre Tormenta-1359.
«Es probable que estos ataques dependan del acceso a múltiples servidores privados virtuales (VPS) junto con infraestructura de nube alquilada, proxies abiertos y herramientas DDoS», dijo el gigante tecnológico. dicho en una publicación el viernes.
Storm-#### (anteriormente DEV-####) es una designación temporal que el fabricante de Windows asigna a grupos desconocidos, emergentes o en desarrollo cuya identidad o afiliación aún no se ha establecido definitivamente.
Si bien no hay evidencia de que se haya accedido o comprometido ningún dato del cliente, la compañía señaló que los ataques «afectaron temporalmente la disponibilidad» de algunos servicios. Redmond dijo que observó además el lanzamiento del actor de amenazas ataques DDoS de capa 7 desde múltiples servicios en la nube e infraestructuras de proxy abierto.
Esto incluye ataques de inundación HTTP(S), que bombardean los servicios de destino con un gran volumen de solicitudes HTTP(S); omisión de caché, en la que el atacante intenta eludir la capa CDN y sobrecargar los servidores de origen; y una técnica conocida como Slowloris.
«Este ataque es donde el cliente abre una conexión a un servidor web, solicita un recurso (por ejemplo, una imagen) y luego no reconoce la descarga (o la acepta lentamente)», dijo el Centro de Respuesta de Seguridad de Microsoft (MSRC). «Esto obliga al servidor web a mantener la conexión abierta y el recurso solicitado en la memoria».
Servicios de Microsoft 365 como Outlook, Teams, SharePoint Online y OneDrive for Business bajó a principios de mes, y la empresa declaró posteriormente que había detectado una «anomalía con un aumento de las tasas de solicitud».
«El análisis de tráfico mostró un pico anómalo en las solicitudes HTTP que se emitieron contra los orígenes del portal de Azure, omitiendo las medidas preventivas automáticas existentes y activando la respuesta de servicio no disponible», dijo. dicho.
Microsoft caracterizó además al «advenedizo turbio» como centrado en la interrupción y la publicidad. Un grupo hacktivista conocido como Sudán anónimo tiene se atribuyó la responsabilidad por los ataques. Sin embargo, vale la pena señalar que la compañía no ha vinculado explícitamente a Storm-1359 con Anonymous Sudan.
¿Quién es Anónimo Sudán?
Anonymous Sudan ha causado sensación en el panorama de las amenazas con una serie de ataques DDoS contra organizaciones suecas, holandesas, australianas y alemanas desde principios de año.
Un análisis de Trustwave SpiderLabs a fines de marzo de 2023 indicado que el adversario es probablemente una rama del grupo de actores de amenazas pro-ruso KillNet que ganó notoriedad por primera vez durante el conflicto ruso-ucraniano el año pasado.
“Se ha alineado públicamente con el grupo ruso KillNet, pero por razones que solo sus operadores conocen, prefiere usar la historia de la defensa del Islam como la razón detrás de sus ataques”, dijo Trustwave.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
KillNet también ha llamado la atención por su Ataques DDoS a entidades sanitarias alojados en Microsoft Azure, que han aumentado de 10 a 20 ataques en noviembre de 2022 a 40 a 60 ataques diarios en febrero de 2023.
El colectivo afiliado al Kremlin, que surgió por primera vez en octubre de 2021, ha establecido además una «empresa privada de piratería militar» llamada Habilidades negras en un intento de dar a sus actividades de mercenario cibernético un brillo corporativo.
Las conexiones rusas de Anonymous Sudan también se han vuelto evidente en el despertar de su colaboración con KillNet y REvil para formar un «parlamento DARKNET» y orquestar ataques cibernéticos contra instituciones financieras europeas y estadounidenses. «La tarea número uno es paralizar el trabajo de RÁPIDO”, decía un mensaje publicado el 14 de junio de 2023.
«KillNet, a pesar de su agenda nacionalista, se ha visto impulsada principalmente por motivos financieros, utilizando el entusiasta apoyo del ecosistema de medios pro-Kremlin ruso para promover sus servicios DDoS de alquiler», Flashpoint dicho en un perfil del adversario la semana pasada.
«KillNet también se ha asociado con varios proveedores de botnets, así como con Deanon Club, un grupo de amenazas asociado con el que KillNet creó Infinity Forum, para apuntar a los mercados de darknet centrados en los narcóticos».