Mantis, la botnet más poderosa nunca antes vista.
Cuando escuchamos el nombre mantis, nos imaginamos un pequeño insecto que podríamos ser capaces de aplastar con la suela de nuestros zapatos. Lo que se sabe sobre este insecto, es que tiene un tamaño insignificante de no más de 10 cm de largo, pero una fuerza de 1500 newtons a una velocidad de 85 km/h, capaz de perforar cristales de acuarios.
La razón por la cual le dieron este nombre a una botnet, es que con solo 5000 bots lograron ejecutar cerca de 26 millones de peticiones por segundo; lo interesante fue que lo llevaron a cabo sobre el protocolo HTTPS. Como muchos saben, el hecho de realizar este tipo de ataques es más complejo a nivel computacional debido a que se requiere establecer una sesión a través de TLS.
Se identificó que la botnet mantis es una evolución de meris, con la diferencia de que en lugar de usar dispositivos de IoT (CCT, DVRs, entre otros), se utilizan servidores con grandes capacidades de procesamiento para lograr el objetivo. Se cree que en la actualidad usan servidores virtuales y diferentes tipos de proxies para realizar sus ataques.
Según datos proporcionados por CloudFare, las organizaciones que más ataques han recibido de esta botnet pertenecen al sector telecomunicaciones, seguido de noticias y en tercer lugar videojuegos.
Y entonces, ¿cómo me protejo ante estas amenazas?
Para empezar, es importante saber si contamos con algún dispositivo o servicio de protección anti-DDoS en nuestra organización.
Una vez validado, es importante realizar un ajuste correcto de las reglas de detección y bloqueo en el anti-DDoS.
Puede ser una buena idea limitar la cantidad de sesiones para servicios que se encuentren en internet. Esto debe ser analizado antes de limitar, para evitar bloquear tráfico válido.
Forzar a que todos los servicios se encuentren montados sobre protocolos de cifrado como HTTPS, FTPS, SSH, entre otros, así como crear redirecciones de peticiones de servicios no cifrados. Por ejemplo, si un cliente solicita el HTTP, hacer que siempre llegue al servicio por HTTPS.
Habilitar la mayor cantidad de bitácoras posibles a recabar dentro de las consolas de anti-DDoS y en los servidores. Además, es importante mantener la dirección IP original del cliente dentro de dichas bitácoras; eso siempre ayudará en labores de investigación.
Por último, siempre contar con un plan para el restablecimiento del servicio en caso de un ataque de DDoS.
Referencias:
https://www.bleepingcomputer.com/news/security/mantis-botnet-behind-the-record-breaking-ddos-attack-in-june/
https://www.securityweek.com/powerful-mantis-ddos-botnet-hits-1000-organizations-one-month
https://blog.cloudflare.com/mantis-botnet/