Durante los últimos días las páginas web de varias compañías fueron afectadas por una serie de ataques de denegación de servicio distribuido (DDoS) que las llevó a permanecer fuera de servicio por un periodo de tiempo. Entre estas destacan cinco reconocidas plataformas de correo electrónico: ProtonMail, Hushmail, Runbox, VFEMail y Zoho.
Un ataque de denegación de servicio (DoS) sucede cuando un atacante utiliza un gran número de ordenadores bajo su control para enviar altas cantidades de tráfico a una red. Como consecuencia, el gran volumen de solicitudes sobrepasa el ancho de banda y recursos de la red de destino, imposibilitando el acceso de los usuarios. Cuando la fuente de ataque es más de una, y a menudo miles-de direcciones IP únicas, se habla de un ataque de denegación de servicio distribuido (DDoS).
El blanco de este tipo de atacantes generalmente son páginas o plataformas alojadas en servidores web de alto perfil, tales como bancos, pasarelas de pago y, en este caso, plataformas de correo electrónico. Además, los atacantes suelen solicitar a las entidades afectadas el pago de un rescate en bitcoins a cambio del restablecimiento de sus servicios.
Si bien el ataque recibido por ProtonMail resultó ser el más relevante, el resto de las plataformas afectadas de manera similar también sufrieron consecuencias importantes. Los ataques contra estas plataformas comenzaron desde el 5 o 6 de noviembre, aproximadamente, y, como consecuencia, sus servicios se vieron afectados considerablemente.
VFEMail informó a través de su cuenta de facebook haber estado al borde de clausurar definitivamente sus servicios como consecuencia de los ataques recibidos. Hushmail todavía se encuentra buscando mitigar los ataques y ha mantenido al tanto a sus usuarios mediante una pagina de estado. Runbox afirma haber conseguido restaurar sus servicios parcialmente después de aplicar ciertas medidas. Por su parte, Zoho informó que también puso en marcha otros tipos de protecciones contra los ataques recibidos.
ProtonMail, una plataforma de servicios de correo electrónico encriptado que se distingue por contar con un alto nivel de seguridad, fue afectada por DDoS desde el 3 de noviembre y mientras la página permanecía fuera de servicio, la empresa mantuvo a sus usuarios informados con respecto a la situación a través de un blog de wordpress y su cuenta de twitter.
Desde sus inicios, ProtonMail se ha enfocado en prestar un servicio de alta seguridad especialmente para los activistas, periodistas, denunciantes y otros grupos de riesgo que lo requirieran. Como consecuencia, esta plataforma se ha enfrentado a una gran oposición por parte de los organismos gubernamentales. Sin embargo, es la primera vez que la compañía se enfrenta a un ataque de este tipo.
ProtonMail afirma que dicho ataque ha sido el más sofisticado jamás visto en Suiza y debido a sus altas capacidades, los atacantes parecían ser patrocinados por el Estado. Por lo tanto, la compañía decidió comenzar a emplear soluciones de defensa más avanzadas, para ello solicitó a sus usuarios donaciones para financiar su fondo de defensa. El monto solicitado por la empresa era de 50.000$, pero dicho monto ha sido sobrepasado por más de siete mil dólares en un lapso de apenas cinco días.
Entre las plataformas de correo electrónico mencionadas anteriormente, ProtonMail fue la única que pagó el rescate solicitado por los atacantes. Al hacerlo, la compañía esperaba conseguir mitigar los ataques recibidos. Sin embargo, lejos de conseguir esto, los ataques continuaron con más intensidad. Las investigaciones realizadas revelaron que la compañía pudo haber sido atacada por dos grupos distintos: Armada Collective y un segundo grupo desconocido y mucho más sofisticado que el primero.
En un posible intento de distanciarse de un segundo ataque a la plataforma, Armada Collective comenzó a devolver algunos de los bitcoins que ProtonMail había pagado por su rescate, junto con notas que afirmaban que otro grupo con más poder había estado atacando la plataforma después de ellos y que, en realidad, Armada Collective no tiene tanta capacidad ni razones para seguir atacando a ProtonMail de tal manera.
Si bien los ataques fueron bastante intensos, el día de hoy la ProtonMail informó en una entrada de su blog haber conseguido mitigarlos casi por completo. La compañía afirma que, si bien permaneció fuera de servicio por un largo periodo de tiempo, la seguridad de su plataforma nunca fue violada. Además, se están llevando a cabo cambios en la infraestructura de la plataforma con el objetivo de hacerla más resiliente.
El factor común en esta serie de ataques parece ser que cuatro de las plataformas afectadas (ProtonMail, Hushmail, Runmail y Zoho) confirmaron haber sido atacadas por el mismo grupo: Armada Collective. En el correo de rescate que le enviaron a Runbox el grupo afirma que sus ataques son extremadamente poderosos y difíciles de mitigar. No obstante, Armada Collective está siendo perseguido por las autoridades e investigadores a fin de evitar que otras plataformas sufran este tipo de ataques.