La compañía Microsoft ha confirmado que las recientes interrupciones en los portales web de Azure, Outlook y OneDrive se debieron a ataques DDoS de capa 7 contra los servicios de la empresa. Los ataques fueron atribuidos a un actor de amenazas conocido como Storm-1359, que se hace llamar Anonymous Sudan.
Las interrupciones tuvieron lugar a principios de junio, con el portal web de Outlook.com como objetivo el 7 de junio, OneDrive el 8 de junio y Microsoft Azure Portal el 9 de junio. En ese momento, Microsoft no compartió información sobre los ataques DDoS, pero insinuó que eran la causa, mencionando la aplicación de procesos de equilibrio de carga para mitigar los problemas.
-Microsoft confirma cortes de Azure y Outlook causados por ataques DDoS
En un informe preliminar publicado la semana pasada, Microsoft indicó que un aumento en el tráfico de la red provocó las interrupciones en Azure.
Ahora, en una publicación reciente del Centro de respuesta de seguridad de Microsoft, la compañía confirma que estas interrupciones fueron causadas por un ataque DDoS de capa 7 realizado por el actor de amenazas Storm-1359.
El informe señala que el ataque dependió del acceso a múltiples servidores privados virtuales (VPS), infraestructura de nube alquilada, proxies abiertos y herramientas DDoS. Afortunadamente, Microsoft no ha encontrado evidencia de que se haya accedido o comprometido los datos de los clientes.
Un ataque DDoS de capa 7 se caracteriza por apuntar al nivel de la aplicación, abrumando los servicios con un volumen masivo de solicitudes que los hace colapsar debido a la incapacidad para procesarlas todas.
Microsoft revela que Anonymous Sudan utiliza tres tipos de ataques DDoS de capa 7: inundación HTTP (S), omisión de caché y Slowloris. Cada uno de estos métodos abruma un servicio web utilizando todas las conexiones disponibles, lo que impide que puedan aceptar nuevas solicitudes.
Cabe mencionar que Anonymous Sudan es conocido por sus ataques a diversas organizaciones y agencias gubernamentales en todo el mundo. Desde mayo, el grupo se ha centrado en grandes organizaciones, exigiendo pagos para detener los ataques. En el caso de Microsoft, Anonymous Sudan atacó los portales web de Outlook, Azure y OneDrive, exigiendo un pago de 1 millón de dólares para detener los ataques.
Aunque el grupo afirmó que los ataques eran en protesta por la participación de Estados Unidos en la política sudanesa, algunos investigadores de ciberseguridad creen que podría tratarse de una bandera falsa y que el grupo podría estar vinculado a Rusia.
Recientemente, Anonymous Sudan ha afirmado la formación de un «parlamento DARKNET» con otros grupos prorrusos. Además, han advertido sobre posibles ataques a la infraestructura bancaria europea. Aunque no se han reportado ataques en los sistemas bancarios hasta ahora, las instituciones financieras deben estar en alerta ante cualquier posible interrupción.
Estos ataques DDoS destacan la importancia de la ciberseguridad y la necesidad de que las empresas y organizaciones implementen medidas robustas para protegerse contra estas amenazas en evolución constante.