Microsoft ha confirmado oficialmente que las recientes interrupciones en los portales web de Azure, Outlook y OneDrive fueron causadas por ataques DDoS (Distributed Denial of Service) dirigidos a los servicios de la compañía. Estos ataques, que tuvieron lugar en un corto periodo de tiempo, afectaron a numerosos usuarios en todo el mundo, generando dificultades para acceder a las cuentas y limitando la funcionalidad de estas populares herramientas en línea.
Los ataques han sido atribuidos a un actor de amenazas identificado por Microsoft bajo el alias de Storm-1359, quien se autodenomina como «Anonymous Sudan«. Se presume que este grupo forma parte de una red de hacktivistas; sin embargo, sus acciones parecen estar más motivadas por ideologías políticas y religiosas que por la promoción de actos sociales, lo cual difiere del enfoque adoptado por el colectivo Anonymous durante los años 2010 y 2015.
Se tiene evidencia que Anonymous Sudan tiene fuertes vínculos con grupos Rusos, principalmente, Killnet y supuestamente… ¿REvil Ransomware?
Las interrupciones ocurrieron a principios de junio, con el portal web de Outlook.com como objetivo el 7 de junio, OneDrive el 8 de junio y Microsoft Azure Portal el 9 de junio. Generando algo de incertidumbre sobre los hechos ocurridos.
Microsoft no compartió en ese momento que estaban siendo atacados, pero insinuó que ellos eran la causa, afirmando que en algunos incidentes estaban «aplicando procesos de equilibrio de carga para mitigar el problema«.
En un informe preliminar sobre la causa raíz publicado la semana pasada, Microsoft sugirió también que los ataques DDoS podrían estar detrás del incidente. La compañía afirmó que un incremento significativo en el tráfico de red fue el responsable de las interrupciones experimentadas en Azure, lo cual es consistente con el patrón típico de este tipo de ataques cibernéticos.
«Identificamos un aumento en el tráfico de la red que afectó la capacidad de administrar el tráfico a estos sitios y resultó en problemas para que los clientes accedan a estos sitios«, explicó Microsoft.
En una publicación del Centro de respuesta de seguridad de Microsoft publicada el viernes, Microsoft ahora confirma que estas interrupciones fueron causadas por un ataque DDoS de Capa 7 contra sus servicios por parte de un actor de amenazas que rastrean como Storm-1359.
«A partir de principios de junio de 2023, Microsoft identificó aumentos repentinos en el tráfico contra algunos servicios que afectaron temporalmente la disponibilidad. Microsoft abrió rápidamente una investigación y posteriormente comenzó a rastrear la actividad DDoS en curso por parte del actor de amenazas que Microsoft rastrea como Storm-1359«, confirmó Microsoft .
«Es probable que estos ataques dependan del acceso a múltiples servidores privados virtuales (VPS) junto con infraestructura de nube alquilada, proxies abiertos y herramientas DDoS«.
«No hemos visto evidencia de que se haya accedido o comprometido los datos de los clientes«.
Un ataque «DDoS de Capa 7» se produce cuando los actores de amenazas se enfocan en el nivel de aplicación, inundando los servicios con un volumen masivo de solicitudes. Esto provoca que los servicios se vean sobrecargados y colapsen, ya que son incapaces de procesar la enorme cantidad de peticiones recibidas de manera simultánea.
Microsoft dice que Anonymous Sudan utiliza tres tipos de ataques DDoS de capa 7: ataques de inundación HTTP (S), omisión de caché y Slowloris. Cada método DDoS abruma un servicio web, utilizando todas las conexiones disponibles para que ya no puedan aceptar nuevas solicitudes.
Tenemos sospechas que este tipo de ataques no serán los últimos en ser llevador por grupos similares a Anonymous Sudan o Killnet.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
