Microsoft ha confirmado que las interrupciones de sus servicios de Azure y Outlook fueron causadas por ataques DDoS, que la empresa atribuye al actor de amenazas que rastrea como Storm-1359.
Esto sigue la nueva nomenclatura de amenazas del gigante tecnológico, en la que Storm denota un grupo que está en desarrollo.
También conocido como Anonymous Sudan, se dice que es una pandilla sudanesa políticamente motivada de autoproclamados “hacktivistas”, que ya han tenido enfrentamientos con Francia, Dinamarca y Suecia en lo que va del año.
Actor de amenazas sudanés detrás de los ataques DDoS de Microsoft
Microsoft dice que Storm-1359 lanzó varios tipos de ataques DDoS de capa 7, incluido un ataque de inundación HTTP (S) que ve una gran carga de protocolos de enlace SSL / TLS y solicitudes HTTP (S) que hacen que la CPU y la memoria del backend se agoten. En este caso, se cree que se realizaron millones de solicitudes simultáneamente.
El grupo también usó tácticas de omisión de caché que obligan a la capa frontal a dirigir las solicitudes al origen en lugar de recuperar los contenidos almacenados en caché, y slowloris, que obliga a un servidor web a mantener abierta la conexión al no reconocer una descarga.
“Es probable que estos ataques dependan del acceso a múltiples servidores privados virtuales (VPS) junto con infraestructura de nube alquilada, proxies abiertos y herramientas DDoS”, dijo Microsoft en el comunicado. anuncio.
En última instancia, aunque los servicios se interrumpieron en el transcurso de una serie de días a principios de junio, Microsoft dice que «no ha visto evidencia de que se haya accedido o comprometido los datos de los clientes».
La compañía también ha proporcionado algunos pasos que los clientes pueden tomar para reducir su impacto en los ataques DDoS de capa 7 en el futuro, que se describen en su sitio web.