Cloudflare, fournisseur de services de sécurité et de performance Web, a annoncé cette semaine qu'il a atténué une attaque par déni de service distribué (DDoS) qui a atteint le chiffre record de 26 millions de requêtes par seconde (RPS). L'attaque proviendrait principalement de fournisseurs de service cloud plutôt que de fournisseurs de services Internet résidentiels, ce qui explique sa taille et suggère que des machines virtuelles détournées et des serveurs puissants ont été utilisés abusivement pendant l'assaut. Considérée comme la plus grande attaque DDoS HTTPS jamais enregistrée, l'assaut aurait été lancé par un botnet d'environ 5 000 appareils.Dans un billet de blogue mardi, l'entreprise a déclaré que cette attaque record s'est produite la semaine dernière et visait l'un des clients de Cloudflare utilisant le plan Free. La société a déclaré que l'attaque était particulièrement agressive, notamment en raison des ressources engagées, et qu'il s'agissait de la plus grande attaque DDOS jamais enregistrée. Cloudflare estime que l'attaquant a probablement utilisé des serveurs et des machines virtuelles détournés, car l'attaquant s'est appuyé sur des fournisseurs de services cloud et non sur des appareils de l'Internet des objets (IoT) plus faibles provenant de fournisseurs de services Internet résidentiels compromis.
L'attaquant aurait ainsi utilisé un botnet assez petit, mais très puissant de 5 067 appareils, chacun capable de générer environ 5 200 RPS en pointe. « Pour contraster la taille de ce botnet, nous avons suivi un autre botnet beaucoup plus grand, mais moins puissant de plus de 730 000 dispositifs. Ce dernier botnet, plus important, n'était pas en mesure de générer plus d'un million de requêtes par seconde, soit environ 1,3 RPS en moyenne par appareil. En clair, de l'attaquant était, en moyenne, 4 000 fois plus puissant en raison de son utilisation de machines et de serveurs virtuels », a expliqué Omer Yoachimik, chef de produit chez Cloudflare.
Selon Cloudflare, en 30 secondes environ, le botnet aurait généré plus de 212 millions de requêtes HTTPS provenant de plus de 1 500 réseaux situés dans 121 pays. L'Indonésie, les États-Unis, le Brésil et la Russie seraient les principaux pays sources. En outre, le français OVH, l'indonésien Telkomnet, l'américain iboss et le libyen Ajeel étaient les principaux réseaux sources. « Il est intéressant de noter que cette attaque s'est déroulée en HTTPS. Les attaques DDoS par HTTPS sont plus coûteuses en matière de ressources informatiques requises en raison du coût plus élevé de l'établissement d'une connexion chiffrée TLS sécurisée », précise Cloudflare.
Les attaques DDoS menées via des connexions chiffrées coûteraient plus cher à l'attaquant et à la victime. Cette attaque est survenue environ deux mois après qu'un client de Cloudflare a été visé par une attaque DDoS HTTPS de 15,3 millions de RPS. En août 2021, la société a déclaré avoir atténué une attaque de 17,2 millions de RPS menée via HTTP. « Toutes ces attaques ont été automatiquement détectées et atténuées par notre ensemble de règles de gestion des attaques DDoS HTTP, alimenté par notre système de protection DDoS autonome », explique la société. Dans le cas présent, environ 3 % de l'attaque serait passée par des nœuds Tor.
Microsoft a également signalé avoir atténué en novembre 2021 une autre attaque DDoS massive et record de 3,47 térabits par seconde (Tb/s) qui a inondé de paquets malveillants les serveurs utilisés par un client Azure en Asie. En effet, les attaques par déni de service distribué ont considérablement augmenté au cours de ces dernières années et les acteurs de la menace ont "modernisé et renforcé" leurs outils et méthodes d'attaque. En août dernier, des chercheurs universitaires ont découvert une nouvelle méthode puissante pour mettre des sites hors ligne (ou lancer des attaques par déni de service distribué).
Les acteurs de la menace s'appuient en effet sur une flotte de serveurs mal configurés, forts de plus plus de 100 000 unités, capables d'amplifier des flots de données indésirables à des tailles autrefois impensables. Dans de nombreux cas, ces attaques peuvent aboutir à une boucle de routage infinie qui provoque un déluge de trafic autoperpétué. En mars, le réseau de diffusion de contenu Akamai a indiqué que des cybercriminels exploitent les serveurs pour cibler des sites dans les secteurs de la banque, des voyages, des jeux, des médias, etc. Ces serveurs, appelés "middleboxes", seraient déployés par des États-nations tels que la Chine et la Russie.
Cela leur permet de censurer les contenus, et les grandes entreprises les utiliseraient également pour bloquer les sites qui proposent des contenus pour adultes, des jeux d'argent et des téléchargements pirates. Les serveurs ne respectent pas les spécifications du protocole de contrôle de la transmission qui se fait en trois étapes. Par ailleurs, en juin 2021, la société de cybersécurité NETSCOUT a révélé que, pour faire paniquer les victimes d'attaques de ransomware et les forcer à payer la rançon, les cybercriminels utilisent une nouvelle méthode bien particulière : combiner une attaque de ransomware avec une attaque DDoS.
« Comme tout entrepreneur avisé, les acteurs de la menace savent que le succès de leur entreprise dépend de leur dernière innovation. Et lorsqu'il s'agit de soutirer de l'argent à des organisations non sécurisées, ces innovations ne s'arrêtent jamais », a écrit NETSCOUT dans un rapport. La dernière en date consiste à intégrer des attaques dans un portefeuille de ransomware-as-a-service (RaaS) pour créer ce qu'on appelle une triple attaque de cyberextorsion. Il s'agit d'un peu de rançons, d'un peu d'extorsions et de beaucoup d'autres problèmes. NETSCOUT affirme que de nombreuses organisations ont déjà été victimes de ce type d'attaque.
Pour se préserver de ce type d'attaque, NETSCOUT a déclaré que les organisations devraient chercher à déployer des solutions de cybersécurité spécialisées qui peuvent aider à contrecarrer toutes les facettes d'une triple attaque d'extorsion.
Source : Cloudflare
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous de l'attaque DDoS décrite par Cloudflare ? Que pensez-vous de la méthode utilisée par l'acteur de la menace pour lancer l'attaque ?Voir aussi
Les DDoS utilisent une nouvelle méthode puissante pour lancer des attaques d'une ampleur inimaginable, l'armement des boîtes intermédiaires pour l'amplification par réflexion TCP Comment les acteurs des ransomwares ajoutent des attaques DDoS à leur arsenal pour augmenter la pression sur les victimes Linkt lance sa solution de protection "Anti-DDoS" destinée à détecter les attaques informatiques sur les plateformes Web, et ainsi proposer une sécurisation de des systèmes informatiques L'espace Internet occupé par Parler confisqué à DdoS-Guard, son nouvel hébergeur Web, la société ne respectant pas les politiques du registre Internet régional LACNIC 
