Botnet di balik serangan penolakan layanan (DDoS) terdistribusi HTTPS terbesar pada Juni 2022 telah dikaitkan dengan serentetan serangan yang ditujukan pada hampir 1.000 pelanggan Cloudflare.
Memanggil botnet yang kuat belalangkinerja web dan perusahaan keamanan mengaitkannya dengan lebih dari 3.000 serangan HTTP DDoS terhadap penggunanya.
Vertikal industri yang paling banyak diserang termasuk internet dan telekomunikasi, media, game, keuangan, bisnis, dan belanja, di mana lebih dari 20% serangan menargetkan perusahaan yang berbasis di AS, diikuti oleh Rusia, Turki, Prancis, Polandia, Ukraina, Inggris, Jerman, Belanda, dan Kanada.
Bulan lalu, perusahaan mengatakan telah mengurangi serangan DDoS yang memecahkan rekor yang ditujukan pada situs web pelanggan yang tidak disebutkan namanya menggunakan paket Gratisnya yang mencapai 26 juta permintaan per detik (RPS), dengan setiap node menghasilkan sekitar 5.200 RPS.
Tsunami lalu lintas sampah berlangsung kurang dari 30 detik dan menghasilkan lebih dari 212 juta permintaan HTTPS dari lebih dari 1.500 jaringan di 121 negara, diikuti oleh Indonesia, AS, Brasil, Rusia, dan India.
“Bonet Mantis mengoperasikan armada kecil sekitar 5.000 bot, tetapi dengan mereka dapat menghasilkan kekuatan besar — bertanggung jawab atas serangan HTTP DDoS terbesar yang pernah kami amati,” kata Omer Yoachimik dari Cloudflare.
Mantis menonjol karena sejumlah alasan. Yang pertama adalah kemampuannya untuk melakukan serangan HTTPS DDoS, yang sifatnya mahal karena sumber daya komputasi yang diperlukan untuk membuat koneksi terenkripsi TLS yang aman.
Kedua, tidak seperti botnet tradisional lainnya yang mengandalkan perangkat IoT seperti DVR dan router, Mantis memanfaatkan mesin virtual yang dibajak dan server yang kuat, melengkapinya dengan lebih banyak sumber daya.
Serangan volumetrik ini bertujuan untuk menghasilkan lebih banyak lalu lintas daripada yang dapat diproses oleh target, menyebabkan korban menghabiskan sumber dayanya. Sementara musuh secara tradisional menggunakan UDP untuk meluncurkan serangan amplifikasi, telah terjadi pergeseran ke vektor amplifikasi refleksi TCP yang lebih baru yang memanfaatkan middlebox.
Microsoft, pada Mei 2022, mengungkapkan bahwa itu mencegah sekitar 175.000 UDP mencerminkan serangan amplifikasi selama setahun terakhir yang ditujukan pada infrastruktur Azure-nya. Itu juga mengamati serangan amplifikasi yang tercermin TCP pada sumber daya Azure di Asia yang mencapai 30 juta paket per detik (pps) dan berlangsung selama 15 menit.
“Serangan amplifikasi yang direfleksikan akan tetap ada dan menimbulkan tantangan serius bagi komunitas internet,” kata Tim Jaringan Azure. “Mereka terus berevolusi dan mengeksploitasi kerentanan baru dalam protokol dan implementasi perangkat lunak untuk melewati tindakan pencegahan konvensional.”