A finales de junio de 2021, Qrator Labs identificó un nuevo tipo de ataque DDoS, un tipo de botnet nunca antes vista.
Qrator Labs y Yandex unieron esfuerzos para analizar la amenaza emergente. Durante los últimos 5 años la industria de Ciberseguridad no detectó ataques a escala global a nivel de capa de aplicación –Application Layer-, sin embargo, Qrator detectó 30 mil dispositivos vulnerados, en tanto que Yandex logró identificar 56 mil ataques similares.
A principios de septiembre de 2021, diversos sitios relacionados con Ciberseguridad dieron a conocer al mundo la existencia de una nueva Botnet, que ha roto todos los records de estructuras similares anteriores, convirtiendose en la más grande hasta ahora registrada, bautizada con el nombre Mēris que en lengua letona significa Plaga. Mēris logró superar dos veces al mayor ataque DDoS conocido, logrando dejar fuera de línea a equipos importantes al realizar grandes cantidades de solicitudes por segundo – Request per secound (RPS)-.
Los ataques DDoS suelen identificarse como de un solo tipo, sin embargo, existen tres clases:
- Ataque volumétrico (Gbps): conocidos también como “inundaciones” ya que se basan en inundar recursos con solicitudes. Se suelen medir en bps –bits per secound- o gbps –Gigabits per second-. El concepto es muy sencillo, ya que se basa en enviar la mayor cantidad de tráfico posible a un sitio, sobrepasando su capacidad y dejandolo prácticamente fuera de línea. Estos ataques han sido facilitados gracias a la IOT –Internet Of Things-.
- Ataque protocolo de red (pps): centrada en el protocolo TCP/IP , que busca sobrepasar la capacidad de memoria asignadas a los paquetes transmitidos, generando una denegación de servicio.
- Ataque capa de aplicación (rps): se enfoncan en servidores que ejecutan aplicaciones web, por ejemplo WordPress. Estos ataques son dificiles de detectar, ya que los atacantes hacen solicitudes teoricamente legitimas. Los ataques se miden en rps –request per second- , que tiene por objetivo sobrepasar la memoria y la capacidad del procesador. El ataque se centra en afectar el servidor, ejecutar código PHP o utilizar la base de datos para agenerar páginas web, de tal forma que una simple solicitud puede generar tantas solicitudes internas que logran afectar el rendimiento del sistema cuando este proceso se realiza miles de veces.
El mayor ataque tipo DDoS conocido anterioermente fue la Botnet Mirai, que se basó en la modalidad de ataque volumétrico, centrado en dispositivos unidos bajo el esquema command & control –C2C-. Algunos consideran que la nueva Botnet es el retorno de Mirai, sin embargo, los análisis de Yandex y Qrator concluyen que se trata de algo completamente nuevo. En lugar de realizar ataques mediante solicitudes de gran tamaño, utiliza muchas solicitudes de un tamaño no sospechoso, reforzada con una gran cantidad de bots. Se tienen registro que actualmente el ataque registra hasta 21.8 millones de solicitudes por segundo.
Mēris ha logrado dejar fuera de linea a diversos servicios en Rusia, Reino Unido, Estados Unidos y Nueva Zelanda. Hasta el momento ha demostrado su fuerza y