Informe sobre LameDuck: análisis de las operaciones de amenaza de Anonymous Sudan

Informe sobre amenazas - 31 de octubre de 2024

Tabla de contenido

Resumen ejecutivo

¿Quiénes son LameDuck?

Objetivos y victimología de LameDuck

Tácticas y técnicas de LameDuck

Recomendaciones

Productos relacionados

Protección contra DDoS

Firewall de aplicaciones web

Limitación de velocidad

CDN

El Departamento de Justicia de Estados Unidos ha presentado recientemente una acusación de cargos en la que se describen los esfuerzos para desmantelar Anonymous Sudan, un destacado grupo al que Cloudflare ha identificado como LameDuck, conocido por su aparente hacktivismo político y su importante participación en ataques de denegación de servicio distribuido (DDoS). Esta amplia iniciativa para llevar ante la justicia a los principales miembros del grupo supone un importante paso para mejorar la seguridad en Internet, y ha sido posible gracias a los esfuerzos coordinados entre fuerzas de seguridad internacionales y entidades del sector privado, incluido Cloudflare. Subraya la importancia de la asociación entre todas las partes interesadas para combatir las ciberamenazas más avanzadas en la actualidad, al tiempo que demuestra el valor que aporta la transparencia para mejorar la información sobre amenazas. Por lo tanto, Cloudflare está deseando compartir los conocimientos obtenidos a partir de nuestra experiencia en el seguimiento y la interrupción de las operaciones de LameDuck para ayudarte a reforzar tus defensas contra amenazas similares.


Resumen ejecutivo

  • El Departamento de Justicia ha presentado recientemente una acusación que revela los cargos contra dos hermanos sudaneses por orquestar las operaciones de ataques DDoS a gran escala de LameDuck desde enero de 2023 hasta marzo de 2024. La acusación fue posible gracias a los esfuerzos coordinados de fuerzas del orden público y del sector privado, como Cloudflare.

  • LameDuck desarrolló y gestionó "Skynet Botnet", una herramienta de ataque en la nube distribuida, que le permitió llevar a cabo más de 35 000 ataques DDoS confirmados en el plazo de un año, al tiempo que se beneficiaba económicamente de la venta de sus servicios DDoS a posiblemente más de 100 clientes.

  • Las operaciones de este grupo de amenaza revelaron una combinación inusual de motivos, así como un amplio abanico de sectores y gobiernos objetivo en todo el mundo.

  • Cloudflare observó una coincidencia en el tiempo entre acontecimientos geopolíticos y los ataques de LameDuck contra objetivos destacados, acorde con una ideología antioccidental.

¿Quiénes son LameDuck?

LameDuck es un grupo de amenaza que surgió en enero de 2023 y que se presenta como un colectivo antioccidental y proislámico con motivaciones políticas. El grupo es conocido por lanzar miles de ataques DDoS contra una amplia variedad de objetivos globales vinculados a infraestructuras críticas (aeropuertos, hospitales, proveedores de telecomunicaciones, bancos), proveedores de nube, organizaciones sanitarias, instituciones académicas, medios de comunicación y entidades gubernamentales.

LameDuck obtuvo notoriedad al amplificar sus exitosos ataques contra organizaciones ampliamente reconocidas a través de las redes sociales, al tiempo que ofrecía servicios DDoS por encargo. Sus operaciones han incluido no solo el lanzamiento con éxito de ataques DDoS a gran escala, sino también ataques DDoS de extorsión o DDoS de rescate. El objetivo del grupo de obtener ganancias monetarias ha puesto en duda su énfasis en una narrativa política o religiosa, y muchas de sus operaciones se asemejan más a la ciberdelincuencia con fines financieros.

Motivos contradictorios

Para agravar aún más la complejidad de las motivaciones de este grupo de amenaza, la actividad realizada por LameDuck revelaba una combinación dispar de operaciones, en las que se lanzaron ataques de gran repercusión mediática contra una gran variedad de objetivos en un autoproclamado apoyo a una extraña combinación de sentimientos antiisraelíes, prorrusos y nacionalistas sudaneses. Sin embargo, es posible que estos ataques estuvieran motivados simplemente por la necesidad de reforzar su reputación y de lograr notoriedad. De hecho, LameDuck aprovechó en gran medida su propia presencia en las redes sociales para emitir advertencias públicas y difundir su narrativa con el fin de atraer la atención generalizada.

Atribución

La inusual combinación de motivos de LameDuck, junto con su retórica religiosa y sus aparentes alianzas con otros grupos hacktivistas (p. ej., su colaboración con Killnet, Türk Hack Team, SiegedSec, y su participación en las campañas hacktivistas #OpIsreal y #OPAustralia), intensificó la especulación sobre sus verdaderos orígenes y objetivos. Las teorías anteriores sobre su atribución sugerían que LameDuck era un grupo financiado por Rusia que se hacía pasar por nacionalistas sudaneses. Sin embargo, la presentación de la acusación de cargos del Departamento de Justicia reveló que quienes orquestaban las operaciones de los prolíficos y extremadamente perjudiciales ataques DDoS de LameDuck no eran, de hecho, rusos, sino dos hermanos sudaneses.

Los cargos criminales contra los líderes sudaneses de LameDuck no descartan necesariamente la posible participación de Rusia en las operaciones del grupo. Es difícil ignorar las ideologías que comparten, el uso del idioma ruso y la inclusión de la retórica prorrusa en los mensajes de LameDuck, la selección de objetivos acordes con los intereses rusos y la coordinación del grupo con colectivos "hacktivistas" prorrusos como Killnet.

Objetivos y victimología de LameDuck

LameDuck solía llevar a cabo operaciones contra objetivos destacados y de gran repercusión mediática para captar más la atención y amplificar el impacto de sus ataques. Sus objetivos abarcaban muchas áreas geográficas, como Estados Unidos, Australia y países de Europa, Oriente Medio, el sur de Asia y África. Los objetivos de LameDuck también incluían muchos sectores y verticales de la industria. Algunos de los más destacados fueron:

  • Políticas gubernamentales y política exterior

  • Infraestructura crítica

  • Investigación policial

  • Noticias y medios de comunicación

  • Sector tecnológico

Esta lista representa solo una parte de los sectores afectados, lo que pone de relieve la gran variedad de sectores afectados por las operaciones de LameDuck.

LameDuck podía elegir sus objetivos por varias razones, por ejemplo:

  • La organización o entidad objetivo era opuesta a las creencias ideológicas de LameDuck.

  • LameDuck podría elegir atacar una infraestructura específica debido a su potencial para afectar a un número mayor de usuarios, amplificando así la interrupción causada y aumentado la notoriedad del grupo.

  • La facilidad para ejecutar con éxito ataques DDoS a infraestructuras específicas, debido a vulnerabilidades o a prácticas de seguridad deficientes.

Objetivos por motivos políticos

Cloudflare observó que un volumen considerable de los objetivos de LameDuck está en línea con su autoproclamada identidad como grupo "hacktivista" sudanés promusulmán. En concreto, el conflicto en Sudán y sus repercusiones políticas parecen definir un subconjunto de sus objetivos. Por ejemplo, los ataques contra organizaciones kenianas podrían explicarse por las relaciones cada vez más tensas entre el gobierno sudanés y Kenia, que culminaron en enero con la retirada del embajador de Sudán en Kenia. Los ataques por motivos políticos tenían como objetivo empresas del sector privado como Microsoft y OpenAI, ya que LameDuck anunció planes para atacar indiscriminadamente a empresas estadounidenses mientras el gobierno de EE. UU. siguiera "interviniendo en los asuntos internos de Sudán". Aparte del conflicto, LameDuck llevó a cabo operaciones que revelaron el apoyo a los sentimientos nacionalistas sudaneses, como sus ataques contra los proveedores de acceso a Internet egipcios, que, según afirmaron, tenían como objetivo "enviar un mensaje al gobierno egipcio de que debe responsabilizar a cualquiera que insulte a los sudaneses en las redes sociales, al igual que hacemos en Sudán con los que insultan a los egipcios".

La postura promusulmana de LameDuck también les llevó a atacar a organizaciones consideradas islamófobas. Por ejemplo, declararon que el gran número de ataques contra organizaciones suecas era un castigo por la quema de coranes. Asimismo, LameDuck anunció la incorporación de Canadá y Alemania a su lista de objetivos tras considerar que se habían realizado insultos contra los musulmanes en estos países.

LameDuck también se centró más en objetivos proisraelíes tras el ataque de Hamás del 7 de octubre de 2023 y la posterior acción militar israelí. Cloudflare observó operaciones generalizadas contra organizaciones israelíes en varios sectores. En octubre de 2023, los ataques se centraron, por ejemplo, en los principales medios de comunicación estadounidenses e internacionales, acusándolos de "falsa propaganda". Cloudflare no solo observó y mitigó los ataques contra varias organizaciones. También se convirtió en un objetivo. El pasado noviembre, LameDuck "declaró oficialmente la guerra" a Cloudflare, afirmando que el ataque se debía a nuestra condición de empresa estadounidense y al uso de nuestros servicios para proteger sitios web israelíes.

En otros casos, Cloudflare observó que LameDuck lanzaba importantes ataques contra Ucrania, en concreto contra organizaciones estatales, o contra infraestructuras de transporte críticas en los países bálticos. Estas actividades han alimentado las especulaciones sobre la participación de Rusia en las operaciones de LameDuck, ya que no hay grupos sudaneses activos en Ucrania. Sin embargo, los acontecimientos geopolíticos en Sudán no están desligados de la guerra de agresión rusa en Ucrania, ya que tanto las fuerzas rusas como las ucranianas han estado activas en Sudán. Además, el verano pasado Rusia cambió su apoyo a las Fuerzas Armadas Sudanesas y ha sido sancionada por suministrar armas a Sudán a cambio del acceso a un puerto. Se ha descartado la idea errónea anterior sobre el origen del grupo y se ha llegado a comprender en cierta medida la diversidad de sus motivaciones, pero la disparidad de sus objetivos y sus operaciones aparentemente en línea con los sentimientos prorrusos siguen planteando dudas sobre posibles vinculaciones.

Objetivos de los ciberdelincuentes

Además de los ataques por motivos políticos de LameDuck, el grupo participó en delitos cibernéticos con fines financieros, como los servicios DDoS por encargo. Aunque es más fácil asociar los ataques por motivos ideológicos con LameDuck, a menudo la atribución de las operaciones con fines económicos no ha resultado tan sencilla. Los servicios DDoS por encargo que brinda el grupo dificultan la diferenciación entre sus ataques y los de sus clientes. Tras la presentación de la acusación de cargos del Departamento de Justicia, descubrimos que LameDuck tenía más de 100 usuarios de sus capacidades DDoS, utilizadas en ataques contra numerosas víctimas en todo el mundo.

LameDuck también era conocido por participar en ataques DDoS de extorsión, donde exigían un pago a sus víctimas a cambio de detener los ataques. Al igual que otras operaciones de LameDuck, estos intentos de extorsión tenían una amplia variedad de objetivos. En julio de 2023, el grupo atacó el sitio de fanficción Archive of our own y exigió 30 000 dólares en bitcoins para retirar el ataque. Con un objetivo mucho más amplio, LameDuck se atribuyó en mayo de este año un ataque al proveedor de acceso a Internet Zein de Bahréin, declarando públicamente que si querían que detuvieran el ataque se pusieran en contacto con ellos en InfraShutdown_bot para llegar a un acuerdo. Este, por supuesto, no fue su único objetivo destacado. El grupo inició una ola de ataques DDoS contra Microsoft, y poco después exigió 1 millón de dólares para detener su operación y evitar nuevos ataques. Otro objetivo destacado fue Scandinavian Airlines, que sufrió una serie de ataques que causaron la interrupción de varios de sus servicios en línea. Los intentos de LameDuck de extorsionar a la aerolínea comenzaron con demandas de 3500 dólares y luego escalaron a la alarmante cantidad de 3 millones de dólares. Tengan éxito o no, estas demandas de extorsión son inusuales para un grupo autoproclamado hacktivista y ponen de relieve aún más el uso de la combinación de tácticas por parte de LameDuck y su aparente necesidad de atención.

Tácticas y técnicas de LameDuck

En su primer año operativo, LameDuck llevó a cabo más de 35 000 ataques DDoS confirmados mediante el desarrollo y el uso de una potente herramienta DDoS conocida por varios nombres, entre ellos "Godzilla Botnet", "Skynet Botnet" e "InfraShutdown". A pesar de que sus muchos nombres sugieren que se trata de una botnet, la herramienta DDoS que utiliza LameDuck es de hecho una herramienta de ataque en la nube distribuida (DCAT), que consta de tres componentes principales:

  1. Un servidor de mando y control (C2)

  2. Servidores basados en la nube que reciben comandos del servidor C2 y los reenvían a solucionadores de proxy abiertos

  3. Solucionadores de proxy abiertos ejecutados por terceros no vinculados, que luego transmiten el tráfico de ataque DDoS a los objetivos de LameDuck

LameDuck utilizó esta infraestructura de ataque para sobrecargar el sitio web o la infraestructura web de una organización víctima con una avalancha de tráfico malicioso. Sin las protecciones adecuadas, este tráfico puede afectar gravemente, o incluso obstaculizar por completo, la capacidad de un sitio web para responder a las solicitudes legítimas, impidiendo el acceso a los usuarios reales. Desde su aparición a principios de 2023, LameDuck ha empleado diversas tácticas y técnicas utilizando sus capacidades DCAT. Los patrones identificados son, entre otros:

  • Lanzamiento de ataques a la capa 7 mediante inundación HTTP. El tipo de ataque de inundación que detectamos y mitigamos fue un ataque HTTP GET, en el que el atacante envía miles de solicitudes HTTP GET al servidor objetivo desde miles de direcciones IP únicas. El servidor de la víctima se ve inundado con solicitudes y respuestas entrantes, lo que provoca la denegación de servicio para el tráfico legítimo. También sabemos que LameDuck utilizaba ataques multivector (p. ej., una combinación de ruta directa basada en TCP y varios vectores de reflexión o amplificación UDP).

  • Uso de una infraestructura de pago. A diferencia de muchos otros grupos de ataque, la investigación indica que LameDuck no utilizó una botnet de dispositivos personales e IoT en riesgo para llevar a cabo los ataques. En su lugar, el grupo utilizó un grupo de servidores alquilados (que pueden generar más tráfico que los dispositivos personales) para lanzar los ataques. El hecho de que LameDuck dispusiera de los recursos financieros necesarios para alquilar estos servidores es otra razón por la que algunos investigadores creyeron que el grupo no era el grupo de hacktivistas locales que afirmaban ser.

  • Generación de tráfico y anonimato. LameDuck utilizaba la infraestructura de servidores de nube pública para generar tráfico, y también aprovechaba la infraestructura de proxy gratuita y abierta para aleatorizar y ocultar el origen de los ataques. Las pruebas indican que, en algunos casos, el grupo también utilizaba proxies de pago para ocultar su identidad.

  • Puntos finales de alto coste. En algunos casos, las operaciones de LameDuck iban dirigidas a puntos finales de alto coste de la infraestructura objetivo (es decir, puntos finales responsables del procesamiento intensivo de recursos). Es mucho más perjudicial atacar estos puntos finales que eliminar varias docenas de puntos finales de computación menos intensiva y de bajo coste.

  • Períodos de alta demanda. En el caso de determinados objetivos, LameDuck sincronizó cuidadosamente sus ataques con periodos de alta demanda para el objetivo. Por ejemplo, ataques durante los periodos de mayor consumo para intentar causar la máxima interrupción.

  • Estrategia relámpago. Sabemos que LameDuck iniciaba simultáneamente una serie de ataques concentrados en varias interfaces de su infraestructura objetivo.

  • Sobrecarga de los subdominios. Un concepto similar a la técnica de ataque anterior, en la que LameDuck atacaba simultáneamente muchos subdominios del dominio de la víctima.

  • RPS bajo. Las solicitudes por segundo (RPS) del ataque eran relativamente bajas para intentar camuflar el tráfico de ataque con el tráfico legítimo y evitar así la detección.

  • Amenazas mediante anuncios públicos y propaganda. LameDuck amenazaba a menudo a sus objetivos antes de ejecutar los ataques, y a veces hacía amenazas que nunca se cumplían. Probablemente los motivos de este modus operandi eran llamar la atención acerca de sus motivos ideológicos y sembrar la incertidumbre entre sus objetivos potenciales.

Recomendaciones

Cloudflare ha defendido con éxito a muchos clientes contra ataques de LameDuck, tanto los que el grupo realizó directamente como los iniciados por particulares que utilizaban sus servicios DDoS por encargo. Es importante tener en cuenta que las capacidades DDoS avanzadas de LameDuck les permitieron afectar gravemente a las redes y los servicios que no contaban con las protecciones adecuadas. Dicho esto, lamentablemente este grupo es solo uno de los muchos que emplean con éxito los ataques DDoS a gran escala, que crecen en tamaño y sofisticación. Las organizaciones pueden protegerse contra ataques como los lanzados por LameDuck y adversarios avanzados similares siguiendo un conjunto estándar de prácticas recomendadas de mitigación de DDoS.

  • Uso de mitigación de DDoS especializada y siempre activa. Un servicio de mitigación de DDoS utiliza una gran capacidad de ancho de banda, un análisis continuo del tráfico de red y cambios de política personalizables para absorber el tráfico DDoS e impedir que llegue a la infraestructura objetivo. Las organizaciones deben asegurarse de que disponen de protección contra DDoS para el tráfico de Capa de aplicación, el tráfico de Capa 3 y el DNS

  • Uso de una aplicación web Firewall (WAF). Un WAF utiliza políticas personalizables para filtrar, inspeccionar y bloquear el tráfico HTTP malicioso entre la aplicación web y el contenido

  • Configurar la limitación de velocidad. La limitación de velocidad restringe los volúmenes de tráfico de la red durante un período de tiempo específico, lo que esencialmente impide que los servidores del web se sobrecarguen con solicitudes de direcciones IP concretas

  • de caché de Internet en una CDN. Un caché almacena copias de los contenidos solicitados y las sirve en lugar de un servidor de origen. El almacenamiento en caché de recursos en una red de distribución de contenidos (CDN ) puede reducir la presión sobre los servidores de una organización durante un ataque DDoS

  • Establecimiento de procesos internos para responder a los ataques. Esto incluye comprender la protección y las capacidades de seguridad existentes, identificar superficies de ataque innecesarias, analizar los registros para buscar patrones de ataque y disponer de procesos para saber dónde buscar y qué hacer cuando comienza un ataque.

Conoce con más detalle las estrategias de mitigación de DDoS.

Acerca de Cloudforce One

La misión de Cloudflare es ayudar a mejorar Internet. Y solo es posible mejorar Internet con iniciativas que detecten, detengan y destruyan a los agentes maliciosos que desean socavar la confianza y manipular Internet para sus propios beneficios, personales o políticos. Aquí es donde entra en juego Cloudforce One. Este equipo dedicado de Cloudflare, compuesto por investigadores mundialmente reconocidos en el campo de las amenazas, se encarga de publicar información sobre amenazas para brindar a los equipos de seguridad el contexto necesario para que puedan tomar decisiones de forma rápida y segura. Identificamos los ataques y te protegemos contra ellos gracias a información que solo está a nuestra disposición.

Nuestra visibilidad se basa en la red global de Cloudflare, una de las más grandes del mundo, que abarca aproximadamente el 20 % de Internet. Millones de usuarios de Internet de todo el mundo han adoptado nuestros servicios, lo que nos brinda una visibilidad inigualable de los eventos globales, incluidas las actividades maliciosas. Esta posición estratégica permite que Cloudforce One lleve a cabo reconocimientos en tiempo real, detenga los ataques desde el punto de lanzamiento y transforme la información en un éxito táctico.

Recibe actualizaciones de Cloudforce One

Suscribirse

Recursos relacionados

Disrupting FlyingYeti's campaign targeting Ukraine - illustration
Dañina campaña de FlyingYeti contra Ucrania

Informe sobre amenazas

Freight fraud surge: global supply chain compromises
Aumento del fraude en el transporte de mercancías: amenazas a la cadena de suministro global

Resumen de la campaña

Impersonation is fooling the enterprise
La suplantación de identidad es la técnica empleada por los ciberdelincuentes para engañar a las empresas

Resumen de la campaña

Primeros pasos

Recursos

Soluciones

Comunidad

Asistencia

Empresa

© 2025 Cloudflare, Inc.Política de privacidadCondiciones de usoInformar sobre problemas de seguridadConfianza y seguridadMarca