En los últimos 30 días, los investigadores de la firma de ciberseguridad Radware han visto un aumento en las campañas criminales de denegación de servicio distribuido (DDoS) que llevan a cabo ataques DDoS de aplicación TCP contra corporaciones. Los investigadores observaron varias de esas campañas dirigidas a Amazon, la filial de IBM SoftLayer, Eurobet Italia SRL, Korea Telecom, HZ Hosting y SK Broadband.
Un escenario de ataque de Aplicación (reflexión) TCP SYN-ACK involucra a un atacante que envía un paquete SYN falsificado, con la IP de origen original reemplazada por la dirección IP de la víctima, a una amplia gama de direcciones IP de reflexión aleatorias o preseleccionadas.
“Los servicios en las direcciones de reflexión responden con un paquete SYN-ACK a la víctima del ataque fraudulento. Si bien su típico handshake de tres vías podría suponer que un solo paquete SYN-ACK se entregue a la víctima, cuando la víctima no responde con el último paquete ACK, el servicio de reflexión continuará retransmitiendo el paquete SYN-ACK, lo que dará como resultado la amplificación ", Según Radware.
Un aumento en la actividad DDoS se detectó en octubre cuando un importante ataque DDoS paralizó la red de la sucursal italiana del sitio web de apuestas deportivas en línea Eurobet. El ataque duró varios días y también afectó a otras redes de apuestas. Luego, más tarde ese mismo mes, en medio de una serie de ataques DDoS dirigidos a compañías en casi todas las verticales del mundo, Radware detectó otra campaña de vectores múltiples a gran escala dirigida a la industria financiera y de telecomunicaciones en Turquía, que mostró similitudes con campañas anteriores. Este ataque en particular se notó debido a la naturaleza reflexiva de uno de los vectores de ataque.
“En un período de 24 horas, se detectaron millones de paquetes TCP-SYN de casi 7,000 direcciones IP de origen distintas que forman parte de AS12903 (Garanti Bilisim Teknolojisi ve Ticaret TR.AS) a nivel mundial y específicamente dirigidos a los puertos 22, 25, 53, 80 y 443 . "
“En los últimos 30 días, Radware ha observado una serie de campañas criminales que han estado abusando de la implementación de TCP al realizar ataques de reflexión TCP contra grandes corporaciones. Los ataques no solo afectaron las redes objetivo, sino que también interrumpieron las redes de reflexión en todo el mundo, creando una lluvia de sospechas de ataques de inundación SYN por parte de muchas empresas ", dijeron los investigadores.
Según la firma, la campaña comenzó en 2018 y se dirigió a corporaciones grandes y con buenos recursos y a pequeñas empresas y propietarios de viviendas. Como señalaron los investigadores, las organizaciones que no están preparadas para los picos en el tráfico TCP sufren interrupciones secundarias, "con las inundaciones SYN uno de los efectos secundarios percibidos por las víctimas colaterales".
En los ataques de reflexión TCP más recientes, los atacantes aprovecharon una gran mayoría del espacio de direcciones IPv4 de Internet como reflector, con una fuente falsificada originada en bots o servidores alojados en subredes o proveedores que no implementan BCP 38 para evitar la suplantación de direcciones de fuente IP en sus servidores o redes.
