Microsoft asegura que un ataque DDoS causó la caída de Outlook y OneDrive a principios de junio

Microsoft ha confirmado que ciberdelincuentes identificados como Storm-1359 han llevado a cabo diferentes ataques de denegación de servicio distribuido (DDoS), lo que provoco una interrupción de sus servicios a principios de junio, entre ellos Outlook y OneDrive.

Un ataque DDoS es un tipo de ciberataque que intenta hacer que un sitio web o recurso de red no esté disponible colapsándolo con tráfico malintencionado para que no pueda funcionar de la forma correcta y habitual.

MIRA: Omegle: pasamos 4 horas en el sitio web de chat y estos fueron los peligros que encontramos

La compañía ha comentado que a principios de este mes identificó “aumentos repentinos en el tráfico de algunos servicios” que afectaron temporalmente la disponibilidad de algunas de sus aplicaciones, como Outlook, OneDrive y Azure, según las actualizaciones que publicó entonces a través de Twitter.

Al conocer estos incidentes, Microsoft “abrió rápidamente una investigación y posteriormente comenzó a rastrear la actividad DDoS en curso por parte de un actor de amenazas”, identificado como Storm-1359, tal y como ha confirmado en un comunicado.

MIRA: Más de 100 apps para Android están infectadas: revisa la lista completa y si tienes una bórrala ya

Este grupo de ciberdelincuentes se denomina a sí mismo Anonymous Sudan, según recoge Bleeping Computer, advertido en enero de 2023, y que se centra en grandes organizaciones y agencias gubernamentales opuestos a las políticas de Sudán, aunque algunos investigadores los relacionan con Rusia.

Microsoft ha analizado Storm-1359 y ha determinado que tiene acceso a una colección de ‘botnets’ y herramientas que podrían permitirle lanzar ataques DDoS desde múltiples servicios, infraestructuras de proxy abiertas y desde la nube.

Con ello, ha determinado que la actividad de estos ciberdelincuentes es la de propagar publicidad e interrumpir los servicios que ofrece Microsoft. Asimismo, tiene como objetivo agotar los recursos del sistema con una gran carga de protocolos de enlace SSL/TLS y procesamiento de solicitudes HTTPS.

MIRA: Un hacker estaría robando criptomonedas a cientos de agentes rusos para transferirlas a Ucrania

Otro de los ataques DDoS que ejecuta Storm-1359 busca eludir la capa dedicada a la entrega de contenido (CDN), lo que puede provocar la sobrecarga de los servidores de origen.

Finalmente, este grupo de ciberdelincuentes emplea el ataque ‘Slowris’, para el que abre una conexión a un servidor solicita un recurso (como puede ser una imagen) y después no reconoce la descarga o la acepta lentamente. De ese modo, obliga al servidor web a mantener abierta la conexión y el recurso solicitado en la memoria.

Desde la compañía han recomendado utilizar Azure Web Application Firewall (WAF) para proteger las aplicaciones web y crear reglas personalizadas de este solución para bloquear y clasificar automáticamente los ataques HTTP y HTTPS.