Así opera Eleven11Bot, la gigantesca red de bots tras ataques DDoS sin precedentes
Una botnet recién descubierta, la cual está compuesta por 30 mil cámaras web y grabadoras de vídeo aproximadamente, la mayor concentración en los Estados Unidos ha estado lanzando lo que probablemente sea el mayor ataque de denegación de servicio (DDoS), según declaraciones de investigadores de seguridad.
La botnet, que ha sido rastreada bajo el nombre de “Eleven11bot”, se descubrió a finales del mes de febrero, cuando investigadores observaron un gran número de direcciones IP geográficamente dispersas, las cuales lanzaban ataques hipervolumétricos, por lo que Eleven11bor ha estado lanzando ataques a gran escala desde entonces.
Los ataques DDoS volumétricos bloquean los servicios consumiendo todo el ancho de banda disponible, ya sea dentro de la red objetivo o en su conexión a Internet. Este enfoque funciona de manera diferente a los ataques DDoS por agotamiento, los cuales sobrecargan los recursos informáticos de un servidor.
Entretanto, los ataques hipervolumétricos son ataques DDoS volumétricos que entregan cantidades masivas de datos, normalmente medidos en terabits por segundo. Por esta razón, la botnet recién descubierta ha establecido un récord.
Con más de 30 mil dispositivos, Eleven11bot ya era excepcionalmente grande, según los investigadores, ya que la mayoría de las IP comprometidas nunca habían participado en ataques DDoS.
Además de una botnet de tantos nodos que parece surgir de la noche a la mañana, añadiendo otra características de Eleven11bot, es el volumen récord de datos que envía a sus objetivos. El mayor ataque de esta botnet que los expertos han detectado hasta la fecha ocurrió hace pocas semanas y alcanzó un máximo de 6.5 terabits por segundo, siendo los 5.6 Tbps el récord anterior.
TIC Defense es una empresa que se enfoca en la protección total contra amenazas cibernéticas, desde la prevención hasta la respuesta rápida a incidentes maliciosos. Contamos con un conjunto de herramientas, servicios, productos y soluciones que se adaptan a las necesidades de tu empresa.
Esta botnet se ha dirigido a diversos sectores, incluyendo proveedores de servicios de comunicaciones e infraestructuras de alojamiento de juegos, aprovechando diversos vectores de ataque. Si bien en algunos casos los ataques se basan en el volumen de datos, otros se centran en saturar una conexión con más paquetes de datos de lo que esta puede gestionar.
Se refiere a cifras que van desde unos pocos cientos de miles hasta varios cientos de millones de paquetes por segundo. La degradación del servicio causada por algunos ataques ha durado varios días, y algunos pueden seguir activos en estos momentos.
Según publicaciones actualizadas por diversas firmas de ciberseguridad, es probable que Eleven11bot sea una variante de Mirai, un malware que se emplea para infectar cámaras web y otros dispositivos del Internet de las Cosas (IoT).
El malware Mirai debutó en el año 2016, cuando decenas de miles de dispositivos IoT infectados lanzaron lo que en ese momento fueron ataques DDoS récord de aproximadamente 1 Tbps, paralizando el sitio web de noticias de seguridad llamado KrebsOnSecurity durante casi 1 semana.
Poco después, los desarrolladores de Mirai publicaron su código fuente, lo que facilitó a imitadores de todo el mundo la realización de los mismos ataques masivos. Investigadores señalaron que la variante que impulsa a Eeleven11bot emplea un nuevo exploit para infectar grabadoras de vídeo digitales.
