“Mayday, mayday, mayday”- Tenemos un ataque de denegación de servicio…

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) advirtió sobre los continuos ataques de denegación distribuida de servicio (DDoS, por sus siglas en inglés) después de que organizaciones de ese país, en múltiples sectores de la industria, fueran atacadas, lo que fue confirmado diferentes fuentes a nivel mundial.

La denegación de servicio es un ataques cibernético en el que se intenta sobrecargar un sistema o red con una gran cantidad de tráfico malicioso, con el objetivo de hacer que los servicios se vuelvan inaccesibles para los usuarios legítimos. Estos ataques pueden tener un impacto significativo en diversos sectores de la industria; con altos costos en tiempo y dinero para una organización, además de que pueden implicar costos de reputación mientras los recursos y servicios son inaccesibles.

Recientemente se ha identificado un aumento descomunal en la cantidad de víctimas de este tipo de ciberataques, y el sector de la aviación no es una excepción. Entre algunos de los actores de amenazas (en lo sucesivo referidos como TA, por sus siglas en inglés) que han sido identificados detrás de estas campañas de denegación de servicio, se encuentran los siguientes:

  • TA Anonymous Sudan, asociado con ataques dirigidos hacia empresas de gran tamaño como Microsoft, Scandinavian Airlines (SAS), Tinder y Lyft, así como varios hospitales en los Estados Unidos.
  • TA Turk hack team, en ataques dirigidos hacia México, Latinoamérica y Europa.
  • TA NDT SEC, asociado con ataques dirigidos hacia aeropuertos de Tailandia.
  • TA Net Worked, visto en ataques a aeropuertos de Estambul y Antalya (Turquía).
  • TA UserSec y Anonymous Russia, asociado con ataques dirigidos hacia aeropuertos de Varsovia (Polonia).
  • TA UserSec, en ataques a KCCA (Autoridad de Aviación Civil de Kenia).
  • TA NoName057(16), asociado con ataques dirigidos hacia Air Dolomiti (aerolínea italiana).

En el sector de la aviación, los ataques DDoS podrían tener consecuencias graves, ya que muchas de las operaciones y sistemas críticos dependen de la conectividad y la disponibilidad en línea. Algunos posibles escenarios y áreas afectadas podrían incluir la reservación de vuelos y sistemas de compras de boletos, paneles de control de tráfico aéreo, operaciones en el aeropuerto, plataformas de información a los pasajeros, comunicaciones y sistemas de seguridad, por citar sólo algunos.

En términos de la infraestructura utilizada por los TA, se ha identificado que gran parte de estos ataques volumétricos provienen de servicios de alojamiento en la nube, que utilizan ataques disruptivos (como los DDoS) para crear una “cortina de humo” como táctica de distracción para encubrir otros tipos de amenazas/ciberataques en curso; siendo estos últimos los que realmente propicien el punto de acceso y explotación de los sistemas internos de la víctima.

El uso de soluciones anti-DDoS avanzadas, firewalls de nivel aplicación (WAF, por sus siglas en inglés), estrategias coordinadas para redirigir el tráfico malicioso entrante a través de los servicios de protección DoS con los proveedores de servicios de Internet (ISP, por sus siglas en inglés) y planes de recuperación de desastres y de continuidad de negocio, podrían coadyuvar en la resiliencia ante este tipo de ciberataques, dándole a los equipos de respuesta a incidentes y equipos de ciberseguridad tiempo adicional para concentrarse en indagar si sus sistemas informáticos fueron o están siendo víctimas de otras amenazas/ciberataques.

Fuentes:

https://www.bleepingcomputer.com/news/security/cisa-issues-ddos-warning-after-attacks-hit-multiple-us-orgs/

https://cybernews.com/security/microsoft-outlook-outage-anonymous-sudan/

https://www.cisa.gov/sites/default/files/publications/understanding-and-responding-to-ddos-attacks_508c.pdf

https://www.cybersecasia.net/newsletter/ddos-attacks-may-be-a-smokescreen-for-other-concurrent-cyber-activity