Informe sobre LameDuck: análisis de las operaciones de amenazas de Anonymous Sudan

Informe sobre amenazas - 31 de octubre de 2024

Tabla de contenido

Resumen ejecutivo

¿Quiénes son LameDuck?

Objetivos y victimología de LameDuck

Tácticas y técnicas de LameDuck

Recomendaciones

Productos relacionados

Protección DDoS

Firewall de aplicaciones web

Limitación de velocidad

CDN

El Departamento de Justicia de Estados Unidos recientemente ha hecho pública una acusación en la que se describen los intentos para desmantelar Anonymous Sudan, un famoso grupo al que Cloudflare ha identificado como LameDuck, reconocido por su evidente hacktivismo político y su importante participación en ataques de denegación de servicio distribuido (DDoS). Esta amplia iniciativa para llevar ante la justicia a los principales miembros del grupo supone un importante paso para mejorar la seguridad en Internet, y ha sido posible gracias a las tareas coordinadas entre fuerzas de seguridad internacionales y entidades del sector privado, incluido Cloudflare. Destaca la importancia de la asociación entre todas las partes interesadas para luchar contra las ciberamenazas más avanzadas de la actualidad, y al mismo tiempo demuestra el valor que aporta la transparencia para mejorar la información sobre amenazas. Por lo tanto, Cloudflare desea compartir los conocimientos obtenidos a partir de nuestra experiencia para el seguimiento y la interrupción de las operaciones de LameDuck, y para ayudarte a reforzar tu protección contra amenazas similares.


Resumen ejecutivo

  • El Departamento de Justicia reveló recientemente una acusación contra dos hermanos sudaneses por organizar las operaciones DDoS a gran escala de LameDuck desde enero de 2023 hasta marzo de 2024. La acusación fue posible gracias a las iniciativas coordinadas de las fuerzas de orden público y del sector privado, como Cloudflare

  • LameDuck desarrolló y gestionó "Skynet Botnet", una herramienta de ataque en la nube distribuida, que le permitió lanzar más de 35 000 ataques DDoS en el plazo de un año, al tiempo que obtenía beneficios económicos con la venta de sus servicios DDoS a posiblemente más de 100 clientes

  • Las operaciones de estos ciberdelincuentes revelaron una combinación inusual de motivos, y una amplia variedad de sectores y gobiernos objetivo de todo el mundo

  • Cloudflare observó una correlación puntual entre los acontecimientos geopolíticos y los ataques de LameDuck contra objetivos de alto perfil, que se alinea con una ideología antioccidental

¿Quiénes son LameDuck?

LameDuck es un grupo de ciberdelincuentes que surgió en enero de 2023 y que se presenta como un colectivo antioccidental y proislámico con motivaciones políticas. El grupo es reconocido por lanzar miles de ataques DDoS contra una amplia variedad de objetivos globales con infraestructuras críticas (aeropuertos, hospitales, proveedores de servicios de telecomunicaciones, bancos), proveedores de servicios en la nube, organizaciones de atención médica, instituciones académicas, medios de comunicación y agencias gubernamentales.

LameDuck obtuvo notoriedad al amplificar sus exitosos ataques contra organizaciones muy reconocidas a través de las redes sociales, al mismo tiempo que ofrecía servicios DDoS por encargo. Sus operaciones no solo han incluido ataques DDoS exitosos a gran escala, sino también ataques DDoS de extorsión o de rescate. El objetivo del grupo de obtener beneficios económicos ha puesto en duda su énfasis en una narrativa política o religiosa, y muchas de sus operaciones se asemejan más a la ciberdelincuencia con fines financieros.

Diversos motivos

Para agravar aún más la complejidad de sus motivaciones, las actividades de LameDuck revelaron una combinación de diferentes operaciones, en las que se lanzaron ataques de gran repercusión mediática contra una gran variedad de objetivos en un autoproclamado apoyo a una extraña combinación de posturas antiisraelíes, prorrusas y nacionalistas sudaneses. Sin embargo, es posible que estos ataques estuvieran motivados simplemente por la necesidad de fortalecer su reputación y de lograr notoriedad. De hecho, LameDuck aprovechó en gran medida su propia presencia en las redes sociales para lanzar advertencias públicas y difundir su narrativa con el fin de atraer la atención generalizada.

Atribución

La combinación inusual de motivos de LameDuck, su retórica religiosa y sus aparentes alianzas con otros grupos hacktivistas (p. ej., su colaboración con Killnet, Türk Hack Team, SiegedSec, y su participación en las campañas hacktivistas #OpIsreal y #OPAustralia), aumentó la especulación sobre sus verdaderos orígenes y objetivos. Las teorías anteriores sobre la atribución sugerían que LameDuck era un grupo financiado por el estado ruso que se hacían pasar por nacionalistas sudaneses. Sin embargo, la revelación de la acusación por parte del Departamento de Justicia demostró que las personas que organizaban los prolíficos y sumamente disruptivos ataques DDoS de LameDuck no eran rusos, sino dos hermanos sudaneses.

En los cargos penales contra los líderes sudaneses de LameDuck no se descarta la posible participación de Rusia en las operaciones del grupo. Es difícil ignorar las ideologías que comparten, el uso del idioma ruso y la inclusión de la retórica prorrusa en los mensajes de LameDuck, la selección de objetivos que se alinean con los intereses rusos y la coordinación del grupo con colectivos "hacktivistas" prorrusos como Killnet.

Objetivos y victimología de LameDuck

LameDuck solía operar contra objetivos destacados y de gran repercusión mediática para captar más la atención y amplificar el impacto de sus ataques. Sus objetivos abarcaban muchas áreas geográficas, como Estados Unidos, Australia y países de Europa, Oriente Medio, el sur de Asia y África. Los objetivos de LameDuck también incluyeron varios sectores e industrias específicos. Estos fueron algunos de los más destacados:

  • Políticas gubernamentales y política exterior

  • Infraestructura crítica

  • Investigación policial

  • Noticias y medios de comunicación

  • Sector tecnológico

Esta lista representa solo una parte de los sectores afectados, lo que demuestra la gran variedad de sectores afectados por las operaciones de LameDuck.

Posibles razones de los objetivos de LameDuck:

  • La organización o entidad objetivo representaba creencias ideológicas opuestas a las de LameDuck

  • LameDuck podría haber elegido atacar una infraestructura específica por su potencial de afectar a una mayor cantidad de usuarios, lo que amplificaba la interrupción y aumentaba la notoriedad del grupo

  • La facilidad para ejecutar con éxito ataques DDoS a infraestructuras específicas, debido a vulnerabilidades o a prácticas de seguridad deficientes

Objetivos por motivos políticos

Cloudflare observó que un volumen considerable de los objetivos de LameDuck está en línea con su autoproclamada identidad como grupo "hacktivista" sudanés promusulmán. En especial, el conflicto en Sudán y sus repercusiones políticas parecen definir a un subconjunto de sus objetivos. Por ejemplo, los ataques contra organizaciones de Kenia podrían explicarse por las relaciones cada vez más tensas entre el gobierno de Sudán y Kenia, que culminaron en enero con la retirada del embajador de Sudán en Kenia. Los ataques por motivos políticos tenían como objetivo a empresas del sector privado como Microsoft y OpenAI, ya que LameDuck anunció planes para atacar indiscriminadamente a empresas estadounidenses mientras el gobierno de EE. UU. siguiera "interviniendo en los asuntos internos de Sudán". Además del conflicto, LameDuck llevó a cabo operaciones que revelaron el apoyo a las posturas nacionalistas sudanesas, como sus ataques contra los proveedores de acceso a Internet egipcios, que, según afirmaron, tenían como objetivo "enviar un mensaje al gobierno egipcio de que debe responsabilizar a cualquiera que insulte a los sudaneses en las redes sociales, al igual que hacemos en Sudán con los que insultan a los egipcios".

La postura promusulmana de LameDuck también hizo que atacaran a organizaciones percibidas como islamófobas. Por ejemplo, declararon que el gran número de ataques contra organizaciones suecas era un castigo por la quema de Coranes. Además, LameDuck anunció la incorporación de Canadá y Alemania a su lista de objetivos tras considerar que se había insultado a los musulmanes en estos países.

LameDuck también se centró más en objetivos proisraelíes tras el ataque de Hamás del 7 de octubre de 2023 y la posterior acción militar de Israel. Cloudflare observó operaciones generalizadas contra organizaciones israelíes en varios sectores. En octubre de 2023, los ataques se centraron, por ejemplo, en los principales medios de comunicación estadounidenses e internacionales, acusándolos de "falsa propaganda". Cloudflare no solo advirtió y mitigó los ataques contra varias organizaciones, sino que también se convirtió en un objetivo. El pasado noviembre, LameDuck "declaró oficialmente la guerra" a Cloudflare, y afirmó que el ataque se debía a nuestra condición de empresa estadounidense y al uso de nuestros servicios para proteger sitios web israelíes.

En otros casos, Cloudflare observó que LameDuck lanzaba fuertes ataques contra Ucrania, en particular contra organizaciones estatales, o contra infraestructuras de transporte críticas en los países bálticos. Estas actividades han impulsado las especulaciones sobre la participación rusa en las operaciones de LameDuck, ya que no hay grupos sudaneses activos en Ucrania. Sin embargo, los acontecimientos geopolíticos en Sudán no están desligados de la guerra de agresión rusa en Ucrania, ya que tanto las fuerzas rusas como las ucranianas han estado activas en Sudán. Además, el verano pasado Rusia cambió su apoyo a las Fuerzas Armadas Sudanesas y ha sido sancionada por suministrar armas a Sudán a cambio del acceso a un puerto. Si bien se han descartado las anteriores ideas erróneas sobre el origen del grupo y se ha llegado a comprender la existencia de motivaciones mixtas, la disparidad de objetivos y operaciones que parecen alinearse con las posturas prorrusas aún plantean dudas sobre posibles vinculaciones.

Objetivos de los ciberdelincuentes

Además de los ataques por cuestiones políticas, LameDuck cometió delitos cibernéticos con fines financieros, como los servicios DDoS por encargo. Si bien es más fácil relacionar a LameDuck con ataques por cuestiones ideológicas, la atribución de las operaciones con fines económicos no ha resultado tan sencilla. Los servicios DDoS por encargo que ofrece el grupo dificultan la diferenciación entre sus ataques y los de sus clientes. Tras la revelación de la acusación del Departamento de Justicia, descubrimos que LameDuck tenía más de 100 usuarios de sus capacidades DDoS, utilizadas en ataques contra numerosas víctimas de todo el mundo.

LameDuck también era conocido por participar en ataques DDoS de extorsión, donde exigían un pago a sus víctimas a cambio de detener los ataques. Al igual que otras operaciones de LameDuck, estos intentos de extorsión tenían una amplia variedad de objetivos. En julio de 2023, el grupo atacó el sitio de fanficción Archive of our own y exigió USD 30 000 en bitcoins para retirar el ataque. En mayo de este año, LameDuck se atribuyó el ataque al ISP Zain de Bahrein, y declaró públicamente que "si quieres que dejemos de hacerlo, ponte en contacto con nosotros en InfraShutdown_bot y podemos llegar a un acuerdo". Este, por supuesto, no fue su único objetivo importante. El grupo inició una ola de ataques DDoS contra Microsoft, y poco después exigió 1 millón de dólares para detener sus operaciones y evitar nuevos ataques. Otro objetivo importante fue Scandinavian Airlines, que sufrió una serie de ataques que interrumpieron varios de sus servicios en línea. Los intentos de LameDuck de extorsionar a la aerolínea comenzaron con demandas de USD 3500 y luego llegaron a la alarmante cantidad de USD 3 millones. Estas demandas de extorsión, ya sean exitosas o no, son inusuales para un grupo que se autoproclama hacktivista y ponen aún más de relieve el uso de la combinación de tácticas por parte de LameDuck y su aparente necesidad de atención.

Tácticas y técnicas de LameDuck

En su primer año de operaciones, LameDuck lanzó más de 35 000 ataques DDoS mediante el desarrollo y el uso de una potente herramienta DDoS que recibe varios nombres, entre ellos "Godzilla Botnet", "Skynet Botnet" e "InfraShutdown". A pesar de que los diferentes nombres sugieren que se trata de una botnet, la herramienta DDoS que utiliza LameDuck es una herramienta de ataque en la nube distribuida (DCAT), que tiene tres componentes principales:

  1. Un servidor de comando y control (C2)

  2. Servidores en la nube que reciben comandos del servidor C2 y los reenvían a resoluciones de proxy abiertas

  3. Resoluciones de proxy abiertas ejecutadas por terceros no vinculados, que luego transmiten el tráfico de ataque DDoS a los objetivos de LameDuck

LameDuck utilizó esta infraestructura de ataque para sobrecargar el sitio web o la infraestructura web de una organización víctima con una avalancha de tráfico malicioso. Sin las protecciones adecuadas, este tráfico puede afectar gravemente, o incluso obstaculizar por completo, la función de un sitio web para responder a las solicitudes legítimas, e impedir el acceso a los usuarios reales. Desde su aparición a principios de 2023, LameDuck ha utilizado diversas tácticas y técnicas utilizando sus funciones DCAT. Varios patrones identificados incluyen lo siguiente:

  • Lanzamiento de ataques a la capa de aplicación 7 mediante inundación HTTP. El tipo de ataque de inundación que detectamos y mitigamos fue un ataque HTTP GET, en el que el atacante envía miles de solicitudes HTTP GET al servidor objetivo desde miles de direcciones IP únicas. El servidor de la víctima se ve inundado de solicitudes y respuestas entrantes, lo que genera una denegación de servicio para el tráfico legítimo. También sabemos que LameDuck utilizaba ataques multivector (p. ej., una combinación de ruta directa basada en TCP y varios vectores de reflexión o amplificación UDP).

  • Uso de una infraestructura de pago. A diferencia de muchos otros grupos de ataque, la investigación indica que LameDuck no utilizó una botnet de dispositivos personales e IoT en riesgo para llevar a cabo los ataques. En su lugar, el grupo utilizó un grupo de servidores alquilados (que pueden generar más tráfico que los dispositivos personales) para lanzar los ataques. El hecho de que LameDuck dispusiera de los recursos financieros necesarios para alquilar estos servidores es otra razón por la que algunos investigadores creyeron que el grupo no era el grupo de hacktivistas locales que afirmaban ser.

  • Generación de tráfico y anonimato. LameDuck utilizaba la infraestructura de servidores de nube pública para generar tráfico, y también aprovechaba la infraestructura de proxy gratuita y abierta para aleatorizar y ocultar el origen de los ataques. Las pruebas indican que, en algunos casos, el grupo también utilizaba proxies de pago para ocultar su identidad.

  • Puntos finales de alto costo. En algunos casos, las operaciones de LameDuck iban dirigidas a puntos finales de alto costo de la infraestructura objetivo (es decir, puntos finales responsables del procesamiento intensivo de recursos). Es mucho más perjudicial atacar estos puntos finales que eliminar varias docenas de puntos finales de computación menos intensiva y de bajo costo.

  • Períodos de alta demanda. Para algunos objetivos, LameDuck sincronizó cuidadosamente sus ataques con periodos de alta demanda para el objetivo. Por ejemplo, ataques durante los periodos de mayor consumo para intentar causar la máxima interrupción.

  • Estrategia relámpago. Sabemos que LameDuck iniciaba simultáneamente una serie de ataques concentrados en varias interfaces de su infraestructura objetivo.

  • Sobrecarga de los subdominios. Un concepto similar a la técnica de ataque anterior, en la que LameDuck atacaba simultáneamente muchos subdominios del dominio de la víctima.

  • RPS bajo. Las solicitudes por segundo (RPS) del ataque eran relativamente bajas para intentar camuflar el tráfico de ataque con el tráfico legítimo y evitar así la detección.

  • Amenazas mediante anuncios públicos y propaganda. LameDuck amenazaba a sus objetivos antes de lanzar los ataques, y a veces hacía amenazas que nunca se cumplían. Probablemente los motivos de este modus operandi eran llamar la atención acerca de sus motivos ideológicos y sembrar la incertidumbre entre sus objetivos potenciales.

Recomendaciones

Cloudflare ha defendido con éxito a muchos clientes contra ataques de LameDuck, tanto los que el grupo lanzó directamente como los iniciados por particulares que utilizaban sus servicios DDoS por encargo. Es importante tener en cuenta que las funciones de DDoS avanzadas de LameDuck afectaron gravemente las redes y los servicios que no tenían la protección adecuada. Lamentablemente este grupo es solo uno de los tantos que lanzan de manera exitosa ataques DDoS a gran escala, que no hacen más que crecer en tamaño y sofisticación. Las organizaciones pueden protegerse contra ataques como los lanzados por LameDuck y adversarios avanzados similares con una serie de prácticas recomendadas estándar de mitigación de DDoS.

  • Uso de mitigación de DDoS especializada y siempre activa. Un servicio de mitigación de DDoS utiliza una gran capacidad de ancho de banda, un análisis continuo del tráfico de red y cambios de política personalizables para absorber el tráfico DDoS e impedir que llegue a la infraestructura objetivo. Las organizaciones deben asegurarse de que disponen de protección contra DDoS para el tráfico de Capa de aplicación, el tráfico de Capa 3 y el DNS

  • Uso de una aplicación web Firewall (WAF). Un WAF utiliza políticas personalizables para filtrar, inspeccionar y bloquear el tráfico HTTP malicioso entre la aplicación web y el contenido

  • Configurar la limitación de velocidad. La limitación de velocidad restringe los volúmenes de tráfico de la red durante un período de tiempo específico, lo que esencialmente impide que los servidores del web se sobrecarguen con solicitudes de direcciones IP concretas

  • de caché de Internet en una CDN. Un caché almacena copias de los contenidos solicitados y las sirve en lugar de un servidor de origen. El almacenamiento en caché de recursos en una red de distribución de contenidos (CDN ) puede reducir la presión sobre los servidores de una organización durante un ataque DDoS

  • Establecimiento de procesos internos para responder a los ataques. Esto incluye comprender la protección y las capacidades de seguridad existentes, identificar superficies de ataque innecesarias, analizar los registros para buscar patrones de ataque y disponer de procesos para saber dónde buscar y qué hacer cuando comienza un ataque.

Conoce con más detalle las estrategias de mitigación de DDoS.

Acerca de Cloudforce One

La misión de Cloudflare es ayudar a mejorar el servicio de Internet para todos. Y una mejor Internet solo puede existir con iniciativas que detecten, interrumpan y destruyan a los agentes maliciosos que buscan erosionar la confianza y utilizar Internet para obtener beneficios personales o políticos. Ingresa a Cloudforce One – el equipo exclusivo de Cloudflare de investigadores de amenazas de reconocimiento mundial, que se encargan de publicar información sobre amenazas para brindar a los equipos de seguridad el contexto necesario para tomar decisiones rápidas y seguras. Identificamos los ataques y te protegemos contra ellos gracias a información que solo nosotros disponemos.

Nuestra visibilidad se basa en la red global de Cloudflare –una de las más grandes del mundo– que abarca aproximadamente el 20 % de Internet. Millones de usuarios de Internet de todo el mundo han adoptado nuestros servicios, lo que nos brinda una visibilidad inigualable de los acontecimientos globales, incluso de las actividades maliciosas. Esta posición estratégica permite que Cloudforce One haga reconocimientos en tiempo real, detenga los ataques desde el punto de lanzamiento y transforme la información en un éxito táctico.

Recibe actualizaciones de Cloudforce One

Subscribirse

Recursos relacionados

Disrupting FlyingYeti's campaign targeting Ukraine - illustration
Campaña perjudicial de FlyingYeti contra Ucrania

Informe sobre amenazas

Freight fraud surge: global supply chain compromises
Aumento del fraude en fletes: amenazas a la cadena de suministro global

Resumen de la campaña

Impersonation is fooling the enterprise
La suplantación de identidad es la técnica empleada por los ciberdelincuentes para engañar a las empresas

Resumen de la campaña

Primeros pasos

Recursos

Soluciones

Comunidad

Soporte

Empresa

© 2025 Cloudflare, Inc.Política de privacidadTérminos de usoInformar sobre problemas de seguridadConfianza y seguridadMarca comercial