Aunque no reconoció desde el primer momento que se trataba de un problema a causa del aumento de tráfico, durante la primera quincena de junio Microsoft declaró en su blog que estaba teniendo problemas continuos con sus servicios basados en la nube, Microsoft 365, incluyendo Teams, Outlook en la web y OneDrive, y Azure Portal, que afectaron temporalmente la disponibilidad para miles de usuarios.
Días más tarde, la empresa dijo que los problemas fueron causados por un ataque distribuido de denegación de servicio, y publicó: “Estos ataques probablemente dependen del acceso a múltiples servidores privados virtuales (VPS) junto con infraestructura de nube alquilada, proxies abiertos y herramientas DDoS”.
“No hemos visto evidencia de que los datos de los clientes hayan sido accedidos o comprometidos”, aclaró Microsoft, para llevar tranquilidad a los usuarios.
“Esta actividad DDoS reciente se dirigió a la capa 7 en lugar de a la capa 3 o 4. Microsoft reforzó las protecciones de capa 7, incluido el ajuste de Azure Web Application Firewall (WAF) para proteger mejor a los clientes del impacto de ataques DDoS similares”, explicó la compañía.
Un ataque DDoS de capa 7 consiste en el envío masivo de solicitudes al nivel de aplicación, lo que hace que los servidores se saturen y no puedan procesarlas.
“Estamos empezando a imponer sanciones a los sistemas europeos de transferencia bancaria SEPA, IBAN, WIRE, SWIFT, WISE", anunciaron los ciberdelincuentes.
Quienes son los hackers
Las investigaciones de Microsoft revelaron que detrás de los ataques está un actor de amenazas identificado como Storm-1359, también conocido como el grupo hacktivista Anonymous Sudan, reporta cybernews.
La banda se atribuyó la responsabilidad del ataque en su canal cifrado de Telegram, después de declarar el inicio de una nueva campaña dedicada a atacar a las empresas y la infraestructura estadounidenses.
Anonymous Sudan comenzó sus actividades en enero de 2023, advirtiendo que llevarían a cabo ataques contra cualquier país que se opusiera a Sudán, según un seguimiento que publica bleepingcomputer. Los bloqueos se dirigieron primero a Scandinavian Airlines, y los hackers exigieron 3500 dólares para detener los ataques DDoS.
Más tarde, el grupo apuntó a compañías estadounidenses, como Tinder, Lyft y varios hospitales en todo Estados Unidos. Y a principios de junio, se produjo el ataque a Microsoft. Luego de esto, amenazó con atacar ChatGPT de OpenAI.
"No ha podido repeler el ataque que ha continuado durante horas, así que ¿qué tal si nos paga 1.000.000 USD y enseñamos a sus expertos en seguridad cibernética cómo repeler el ataque y detenemos el ataque de nuestra parte? 1 millón de dólares es un cacahuete para una empresa como usted", exigió Anonymous Sudan.
El grupo justificó sus ataques “debido a la declaración del Secretario de Estado de los Estados Unidos que dice que existe la posibilidad de una invasión estadounidense de Sudán”. Aunque investigadores de ciberseguridad consideran que es una falsa bandera para ocultar los vínculos de esta banda con Rusia.
En los últimos días, desde su canal de Telegram, el grupo anunció la conformación de un "parlamento DARKNET" junto a otros grupos pro-rusos, como KILLNET y "REvil".
Y amenazaron: “Estamos empezando a imponer sanciones a los sistemas europeos de transferencia bancaria SEPA, IBAN, WIRE, SWIFT, WISE".
Aunque aún no se han registrado ataques a estos sistemas, los expertos creen que Anonymous Sudan tiene los recursos necesarios para hacerlo, y podrían esperarse interrupciones.