Cloudflare, fournisseur de services de scurit et de performance Web, a annonc cette semaine qu’il a attnu une attaque par dni de service distribu (DDoS) qui a atteint le chiffre record de 26 millions de requtes par seconde (RPS). L’attaque proviendrait principalement de fournisseurs de service cloud plutt que de fournisseurs de services Internet rsidentiels, ce qui explique sa taille et suggre que des machines virtuelles dtournes et des serveurs puissants ont t utiliss abusivement pendant l’assaut. Considre comme la plus grande attaque DDoS HTTPS jamais enregistre, l’assaut aurait t lanc par un botnet d’environ 5 000 appareils.
Dans un billet de blogue mardi, l’entreprise a dclar que cette attaque record s’est produite la semaine dernire et visait l’un des clients de Cloudflare utilisant le plan Free. La socit a dclar que l’attaque tait particulirement agressive, notamment en raison des ressources engages, et qu’il s’agissait de la plus grande attaque DDOS jamais enregistre. Cloudflare estime que l’attaquant a probablement utilis des serveurs et des machines virtuelles dtourns, car l’attaquant s’est appuy sur des fournisseurs de services cloud et non sur des appareils de l’Internet des objets (IoT) plus faibles provenant de fournisseurs de services Internet rsidentiels compromis.
L’attaquant aurait ainsi utilis un botnet assez petit, mais trs puissant de 5 067 appareils, chacun capable de gnrer environ 5 200 RPS en pointe. Pour contraster la taille de ce botnet, nous avons suivi un autre botnet beaucoup plus grand, mais moins puissant de plus de 730 000 dispositifs. Ce dernier botnet, plus important, n’tait pas en mesure de gnrer plus d’un million de requtes par seconde, soit environ 1,3 RPS en moyenne par appareil. En clair, de l’attaquant tait, en moyenne, 4 000 fois plus puissant en raison de son utilisation de machines et de serveurs virtuels , a expliqu Omer Yoachimik, chef de produit chez Cloudflare.
Selon Cloudflare, en 30 secondes environ, le botnet aurait gnr plus de 212 millions de requtes HTTPS provenant de plus de 1 500 rseaux situs dans 121 pays. L’Indonsie, les tats-Unis, le Brsil et la Russie seraient les principaux pays sources. En outre, le franais OVH, l’indonsien Telkomnet, l’amricain iboss et le libyen Ajeel taient les principaux rseaux sources. Il est intressant de noter que cette attaque s’est droule en HTTPS. Les attaques DDoS par HTTPS sont plus coteuses en matire de ressources informatiques requises en raison du cot plus lev de l’tablissement d’une connexion chiffre TLS scurise , prcise Cloudflare.
Les attaques DDoS menes via des connexions chiffres coteraient plus cher l’attaquant et la victime. Cette attaque est survenue environ deux mois aprs qu’un client de Cloudflare a t vis par une attaque DDoS HTTPS de 15,3 millions de RPS. En aot 2021, la socit a dclar avoir attnu une attaque de 17,2 millions de RPS mene via HTTP. Toutes ces attaques ont t automatiquement dtectes et attnues par notre ensemble de rgles de gestion des attaques DDoS HTTP, aliment par notre systme de protection DDoS autonome , explique la socit. Dans le cas prsent, environ 3 % de l’attaque serait passe par des nuds Tor.
Microsoft a galement signal avoir attnu en novembre 2021 une autre attaque DDoS massive et record de 3,47 trabits par seconde (Tb/s) qui a inond de paquets malveillants les serveurs utiliss par un client Azure en Asie. En effet, les attaques par dni de service distribu ont considrablement augment au cours de ces dernires annes et les acteurs de la menace ont « modernis et renforc » leurs outils et mthodes d’attaque. En aot dernier, des chercheurs universitaires ont dcouvert une nouvelle mthode puissante pour mettre des sites hors ligne (ou lancer des attaques par dni de service distribu).
Les acteurs de la menace s’appuient en effet sur une flotte de serveurs mal configurs, forts de plus plus de 100 000 units, capables d’amplifier des flots de donnes indsirables des tailles autrefois impensables. Dans de nombreux cas, ces attaques peuvent aboutir une boucle de routage infinie qui provoque un dluge de trafic autoperptu. En mars, le rseau de diffusion de contenu Akamai a indiqu que des cybercriminels exploitent les serveurs pour cibler des sites dans les secteurs de la banque, des voyages, des jeux, des mdias, etc. Ces serveurs, appels « middleboxes », seraient dploys par des tats-nations tels que la Chine et la Russie.
Cela leur permet de censurer les contenus, et les grandes entreprises les utiliseraient galement pour bloquer les sites qui proposent des contenus pour adultes, des jeux d’argent et des tlchargements pirates. Les serveurs ne respectent pas les spcifications du protocole de contrle de la transmission qui se fait en trois tapes. Par ailleurs, en juin 2021, la socit de cyberscurit NETSCOUT a rvl que, pour faire paniquer les victimes d’attaques de ransomware et les forcer payer la ranon, les cybercriminels utilisent une nouvelle mthode bien particulire : combiner une attaque de ransomware avec une attaque DDoS.
Comme tout entrepreneur avis, les acteurs de la menace savent que le succs de leur entreprise dpend de leur dernire innovation. Et lorsqu’il s’agit de soutirer de l’argent des organisations non scurises, ces innovations ne s’arrtent jamais , a crit NETSCOUT dans un rapport. La dernire en date consiste intgrer des attaques dans un portefeuille de ransomware-as-a-service (RaaS) pour crer ce qu’on appelle une triple attaque de cyberextorsion. Il s’agit d’un peu de ranons, d’un peu d’extorsions et de beaucoup d’autres problmes. NETSCOUT affirme que de nombreuses organisations ont dj t victimes de ce type d’attaque.
Pour se prserver de ce type d’attaque, NETSCOUT a dclar que les organisations devraient chercher dployer des solutions de cyberscurit spcialises qui peuvent aider contrecarrer toutes les facettes d’une triple attaque d’extorsion.
Source : Cloudflare
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de l’attaque DDoS dcrite par Cloudflare ?
Que pensez-vous de la mthode utilise par l’acteur de la menace pour lancer l’attaque ?
Voir aussi