Solo ha pasado una semana desde que GitHub recibiera el mayor ataque DDoS hasta la fecha que, con picos de hasta 1,35 Tbit/s de tráfico, superaba la barrera de 1 Tbit/s y provocaba que su web estuviera caída durante unos minutos. Al mismo tiempo, en OVH detectamos otro ataque DDoS dirigido a uno de nuestros clientes que también superaba los 1,3 Tbit/s, aunque, en este caso, pudo ser mitigado por el VAC de OVH sin que se produjeran cortes del servicio. Ahora, un nuevo ataque de 1,7 Tbit/s contra un proveedor de servicios de Estados Unidos, detectado y mitigado por Arbor Networks, ha vuelto a batir el récord.
Analizamos el origen de estos ataques, que tenían algo en común: el uso en todo el mundo de servicios Memcached mal configurados para lanzar ataques por amplificación.
Memcached es un sistema de caché distribuida de código abierto que se utiliza habitualmente para mejorar el rendimiento de los sitios o aplicaciones web. Sin embargo, parece haberse convertido en una potente arma a través de la que los piratas informáticos lanzan ataques DDoS amplificados, aprovechando un fallo en su configuración. Al instalar Memcached, la aplicación escucha por defecto en la interfaz de red pública, de modo que, si no se configuran reglas de firewall, cualquiera puede acceder a Memcached desde la IP pública del servidor.
Un ataque de amplificación consiste en generar una respuesta mucho mayor que la petición. Además, para aprovechar todo el potencial de este fenómeno, los hackers malintencionados combinan este mecanismo de amplificación con otro de reflexión, que consiste en usurpar una dirección IP, para que la respuesta amplificada se envíe a esa tercera IP ya usurpada.
Un nuevo ataque de 1,7 Tbit/s contra un proveedor de servicios de Estados Unidos ha vuelto a batir récord
Como resultado de las investigaciones realizadas, desde OVH afirman que Memcached se estaba utilizando desde hacía días para amplificar los ataques. También hemos visto que una IP concreta estaba recibiendo ataques regularmente de manera muy sincronizada mediante amplificación, con intervalos de duración distintos —desde unos segundos hasta pocos minutos—. Todo apunta a que esa IP era utilizada para medir en tiempo real la eficacia del DDoS.
En solo una semana, las cosas han cambiado mucho. Aunque parece que en un principio la idea de la amplificación Memcached proviene de un único booter, otros administradores no han tardado en implementar la funcionalidad para comercializarla entre sus clientes. Además, también se han detectado mensajes en los que se exige el pago de 50 XMR, una popular criptomoneda conocida como Monero.
