Microsoft confirma que los servicios Azure, Outlook y OneDrive se interrumpieron debido a un ataque DDoS.

Microsoft afirma que estos ataques utilizan el acceso a múltiples servidores privados virtuales (VPS) en combinación con alquileres de infraestructura en la nube, servidores proxy y herramientas de denegación de servicio distribuido (DDoS). Storm-#### (anteriormente DEV-####) es una designación temporal que el propietario de Windows asigna a grupos no identificados, emergentes o en desarrollo cuya identidad o afiliación no se ha establecido con claridad.

Si bien no hubo evidencia de acceso ilegal a datos de clientes, Microsoft afirmó que los ataques afectaron temporalmente la disponibilidad de algunos servicios. La compañía con sede en Redmond indicó haber observado además al grupo lanzando ataques DDoS de capa 7 desde múltiples servicios en la nube e infraestructuras de proxy abiertas.

Se trata de ataques masivos a servicios objetivo con un gran volumen de solicitudes HTTP(S); el atacante intenta eludir la capa CDN y sobrecargar los servidores utilizando una técnica conocida como Slowloris.

El Centro de Respuesta de Seguridad de Microsoft (MSRC) afirmó que estos ataques DDoS se originan cuando los clientes abren conexiones a servidores web, solicitan recursos (por ejemplo, imágenes) pero no confirman las descargas o demoran la aceptación, lo que obliga al servidor a mantener la conexión abierta y los recursos solicitados en la memoria.

Como resultado, servicios de Microsoft 365 como Outlook, Teams, SharePoint Online y OneDrive para la Empresa sufrieron interrupciones a principios de mayo. La compañía afirmó haber detectado una anomalía en el aumento de solicitudes. El análisis de tráfico reveló que un gran número de solicitudes HTTP eludieron las protecciones automáticas existentes y activaron respuestas de indisponibilidad del servicio.

El grupo de hackers Anonymous Sudan se atribuyó la responsabilidad de los ataques, pero Microsoft no los relacionó con Storm-1359. Anonymous Sudan ya había lanzado ataques DDoS contra organizaciones en Suecia, Países Bajos, Australia y Alemania desde principios de año.

Los analistas de Trustwave afirmaron que el grupo se vincula abiertamente con la red rusa KillNet, que a menudo utiliza la narrativa de proteger al islam como justificación para sus ataques. KillNet también captó la atención por los ataques DDoS dirigidos a organizaciones sanitarias alojadas en Microsoft Azure, que registraron casi 60 ataques diarios en febrero de 2023.

Anonymous Sudan colaboró ​​con KillNet y REvil para formar el "parlamento de la DARKNET" y orquestó ciberataques contra instituciones financieras en Europa y EE. UU., con el objetivo principal de paralizar las operaciones de SWIFT. Los registros de Flashpoint indican que los motivos de KillNet eran principalmente financieros, utilizando el apoyo ruso para promocionar sus servicios DDoS alquilados.