Una red de red recientemente descubierta que comprende aproximadamente 30,000 cámaras web y grabadoras de video, con la concentración más grande en los Estados Unidos, ha estado entregando lo que probablemente sea el mayor ataque de denegación de servicio jamás visto, dijo un investigador de seguridad dentro de Nokia.
La botnet, rastreada bajo el nombre de Eleven11bot, salió a la luz por primera vez a fines de febrero cuando los investigadores dentro del equipo de respuesta de emergencia de Deepfield de Nokia observado Gran número de direcciones IP geográficamente dispersas que ofrecen "ataques hiper-volumétricos". Eleven11bot ha estado entregando ataques a gran escala desde entonces.
Las ddosas volumétricas cierran los servicios al consumir todo el ancho de banda disponible, ya sea dentro de la red específica o su conexión a Internet. Este enfoque funciona de manera diferente a las ddosas de agotamiento, lo que excesiva los recursos informáticos de un servidor. Los ataques hipervolumétricos son ddosis volumétricas que ofrecen cantidades asombrosas de datos, típicamente medidas en los terabits por segundo.
Johnny-Come-desacontar Botnet establece un nuevo disco
Con 30,000 dispositivos, el Eleven11bot ya era excepcionalmente grande (aunque algunas botnets exceden más de 100,000 dispositivos). La mayoría de las direcciones IP participantes, el investigador de Nokia, Jérôme Meyer, me dijo que nunca se había visto participando en ataques DDoS.
Además de una botnet de 30,000 nodos que parece aparecer durante la noche, otra característica sobresaliente de Eleven11bot es el volumen de datos de tamaño registrado que envía sus objetivos. El más grande que Nokia ha visto desde once11bot hasta ahora ocurrió hasta ahora el 27 de febrero y alcanzó su punto máximo a aproximadamente 6.5 terabits por segundo. El récord anterior de un ataque volumétrico fue reportado en enero a 5.6 tbps.
"Eleven11bot ha apuntado a diversos sectores, incluidos los proveedores de servicios de comunicaciones y la infraestructura de alojamiento de juegos, aprovechando una variedad de vectores de ataque", escribió Meyer. Si bien en algunos casos los ataques se basan en el volumen de datos, otros se centran en inundar una conexión con más paquetes de datos de los que una conexión puede manejar, con números que van desde "pocos cientos de miles a varios cientos de paquetes por segundo". La degradación del servicio causada en algunos ataques ha durado varios días, y algunos restantes en curso hasta el momento en que esta publicación se puso en marcha.
Un desglose mostró que la mayor concentración de direcciones IP, con 24.4 por ciento, se encontraba en los EE. UU. Taiwán fue el siguiente con el 17.7 por ciento, y el Reino Unido con 6.5 por ciento.
En una entrevista en línea, Meyer hizo los siguientes puntos:
