Relatório Threat Intelligence da A10 Networks revela os piores ataques DDoS e Botnets do ano
A primeira metade de 2021 trouxe más notícias sobre os ataques de negação de serviços distribuídos (DDoS), ameaça que continua sendo um problema global, em grande escala e com complexidade crescente. A boa notícia é que as ações proativas tiveram um impacto positivo para mitigar os ataques.
O relatório Threat Intelligence que identifica atividades de DDoS monitoradas pela A10 Networks por meio de mais de 15 milhões de fontes únicas, com o objetivo de fornecer informações detalhadas sobre a origem dos ataques, sua localização, funcionamento e as ações de mitigação que as organizações podem adotar, revelou que os criminosos cibernéticos estão fortalecendo rapidamente seus exércitos de Botnets com o inclusão de dispositivos de IoT, ajudados pelo malware Mozi que já atacou em todo o mundo.
Para escapar da detecção e medidas de proteção pelas organizações que são alvos dos ataques, os cibercriminosos se concentram cada vez mais em ataques com baixo volume e alta frequência que ainda são capazes de causar um impacto significativo.
Por outro lado, o desmonte do botnet Emotet realizado por autoridades policiais globais e parceiros do setor privado no início deste ano também pareceu ter um grande impacto, contribuindo para uma redução em larga escala dos botnets. Esses esforços, complementados com ações de proteção pelas organizações privadas, podem fazer uma diferença real na mitigação da ameaça representada pelo DDoS e outros ataques.
Malware Mozi recruta dispositivos de Internet das Coisas (Iot)
O mais recente malware de larga escala Mozi, utilizado para recrutar botnets para desferir ataques DDoS, tem um apetite particular por dispositivos IoT. O Exploit (programas ou códigos usados para abusar de brechas de segurança de software ou hardware) se aproveita das vulnerabilidades listadas na iniciativa colaborativa Common Vulnerabilities and Exposures (CVE) para infectar Digital Video Recorders (DVRs), gateways de rede e outros dispositivos conectados, e depois usar a conectividade peer-to-peer para enviar e receber atualizações de configuração e comandos de ataque. Somente na primeira metade de 2021, a A10 Networks descobriu que o Mozi alcançou 360 mil sistemas únicos de fabricantes, incluindo Huawei, Realtek, e NETGEAR, construindo uma rede de bots que abrange a China, Índia, Rússia, Brasil, e Vietnã, entre outros países.
Os ataques DDoS são menores, mais longos e com grande probabilidade de serem amplificados
Enquanto os ataques DDoS de grande escala e alcance continuam sendo uma forma popular e confiável dos atacantes patrocinados por Estados e ativistas cibernéticos do submundo se posicionarem, a A10 Networks também tem visto uma tendência contínua de ataques menores lançados persistentemente durante um longo período.
Os atacantes também usam a técnica de reflexão ampliada para alcançar um maior impacto, enviando pedidos falsificados a milhões de serviços baseados em Domain Name System (DNS), Network Time Security (NTP), Simple Service Discovery Protocol (SSDP), Simple Network Management Protocol (SNMP) e Connection-less Lighweight Directory Access Protocol (CLDAP UDP ) para desencadear uma enxurrada de respostas ao servidor da vítima – uma técnica que estabelece recordes tanto para o tráfego de ataques quanto para pacotes por segundo. Como o relatório de inteligência de ameaças observou, haveria um próximo grande ataque que estava atrasado. E de fato, logo após a emissão do relatório, a Microsoft relatou a mitigação de um grande ataque de amplificação UDP de 70.000 fontes globais, a 2,4 Tbps.
Embora o SSDP (Simple Service Discovery Protocol), seja a arma mais comumente potencial para ataques de amplificação, sendo responsável por 3,2 milhões de sistemas expostos à Internet, isto não faz dele necessariamente a maior ameaça.
Na verdade, o fator de amplificação de largura de banda de uma arma é muito mais significativo. Com um fator de amplificação de pouco mais de 30x, o SSDP fica muito atrás dos protocolos TFTP (Trivial File Transfer Protocol) e DNS (Domain Name System), cujos fatores de amplificação de 60x e 54x respectivamente, permitem um impacto correspondentemente maior para os atacantes.
Enquanto isso, o número total de armas DDoS aumentou em aproximadamente 2,5 milhões para 15 milhões no período de execução deste relatório, com a inclusão das armas de amplificação refletidas, bem como os agentes botnet disponíveis, mostrando um crescimento constante ao longo dos últimos anos. O maior número de armas DDoS é hospedado na China, seguido de perto pelos Estados Unidos, comprovando a natureza verdadeiramente global da ameaça.
As organizações reagem com medidas efetivas
À medida que o cenário de ataques DDoS muda e evolui periodicamente, a realidade subjacente permanece constante: como tática relativamente simples e amplamente disponível, os ataques DDoS serão sempre populares entre os atacantes. “É também uma verdade fundamental que as organizações não precisam ser alvos fáceis. Como mostra o desmonte do botnet Emotet, os defensores podem alcançar algumas vitórias próprias, e como a Microsoft demonstrou, estar preparado pode ajudar a impedir ataques”, pontua Ivan Marzariolli, country manager da empresa no Brasil.
O relatório também revelou o surgimento de grupos que se infiltram em sistemas que exibem comportamento suspeito do tipo botnet e tomam medidas prévias para mitigar os problemas. Em um nível individual, as organizações podem reduzir muito sua exposição ao risco por meio de medidas como segurança Zero Trust, detecção de ameaças em tempo real, inteligência de ameaças DDoS, inteligência artificial (IA)/aprendizagem da máquina (ML) e extração automatizada de assinaturas.