This post is also available in:
Inglês 
Francês 
Alemão 
Italiano 
Espanhol
O que é um ataque DDoS?
DDoS significa ataques de negação de serviço distribuído. Vamos ignorar o Distribuído por enquanto, já que se refere principalmente à técnica e vamos focar primeiro na Negação de serviço. Como o próprio termo indica, o objetivo de um ataque DoS é interromper ou negar serviços de usuários legítimos. Um serviço pode ser qualquer coisa, incluindo sites que fornecem informações, serviços online, como sites de comércio eletrônico, ou serviços de back-end, como processamento de pagamentos, comunicação entre organizações e aplicações em nuvem, a conectividade de processos industriais ou sensores remotos controlados pela Internet.
Os objetivos dos ataques incluem desfiguração, criar impacto na economia de uma organização ou nação, impactando a produtividade, criar caos ou servir como uma cortina de fumaça para esconder outro ataque. Sobrecarregar uma rede com tráfego aleatório distrairá os defensores e dará aos invasores a oportunidade e o tempo para realizar atividades mal-intencionadas ao lado, sem serem detectados, pois os defensores estarão concentrados no problema mais impactante, que é o ataque de negação de serviço.
Dependendo do objetivo, os ataques de negação de serviço podem ser realizados de diferentes maneiras. Um ataque volumétrico de negação de serviço, por exemplo, visa saturar as conexões com o serviço ou entre organizações e a nuvem ou entre filiais e matriz, basicamente dificultando todas as comunicações legítimas e interrompendo todo o tráfego de dados.
Um ataque de negação de serviço também pode ser direcionado a um serviço específico, como um site, uma API ou um sistema de nomes de domínio (Domain Name Service, DNS), caso em que os recursos do servidor são o alvo. Esses ataques da camada da aplicação ou L7 podem interromper completamente o serviço ou podem ser mais traiçoeiros, como ataques low and slow, que consomem recursos e afetam a experiência do usuário, forçando o proprietário do serviço a investir em mais recursos como CPU, memória ou largura de banda para sustentar um nível aceitável de serviço. Se esses ataques não forem detectados por muito tempo, eles podem drenar a viabilidade econômica de uma empresa ou serviço.
Outro tipo de ataque de negação de serviço, excepcional, mas ainda importante o suficiente para ser considerado uma ameaça, são vulnerabilidades em software ou hardware que podem resultar na falha de um processo, interrupção ou reinicialização de um dispositivo, somente pelo envio de pacotes de informação malformados. Um único pacote de informação pode resultar em processos interessantes sem motivo ou longos ciclos de reinicialização e pode ser muito prejudicial se não for descoberto em tempo hábil. Considerando que o ataque consiste em um único pacote de informação, encontrar o responsável entre milhões de pacotes de informação e conexões pode ser uma tarefa assustadora e, principalmente, esses ataques são descobertos analisando as informações de falha do sistema de núcleos ou processos. A maioria dessas explorações tem uma vida útil curta porque, após descoberta a vulnerabilidade, ela pode ser corrigida e a atualização de sistemas ou assinaturas de rede pode impedir facilmente esse ataque. No entanto, eles ocorrem de vez em quando.
Realizar um ataque de negação de serviço não requer grande habilidade ou conhecimento específico, na maioria dos casos requer conhecimento da localização do serviço, seu endereço IP, por exemplo, e infraestrutura avançada o suficiente para realizar o ataque. A infraestrutura de ataque pode ser composta por servidores em nuvem, mas os invasores também podem utilizar uma variedade crescente de dispositivos IoT de consumidores e prossumidores, como câmeras IP e roteadores, e escravizá-los para realizar ataques distribuídos em grande escala. Como o tráfego de ataque se origina de todas as partes do mundo e de diferentes dispositivos, nos referimos a esses ataques como ataques de negação de serviço distribuído.
O que um ataque DDoS não é
Conforme você acompanhou, provavelmente notou que não há infiltração de redes ou violação de servidores envolvidos em ataques de negação de serviço. Uma organização que sofreu um ataque de negação de serviço não estará sujeita a dados roubados nem terá software mal-intencionado persistente em sua infraestrutura como resultado. Com exceção do DDoS como cortina de fumaça, quando o ataque DDoS é interrompido, a organização pode recuperar seus serviços e continuar suas operações, muito diferente do ransomware, em que a organização normalmente é deixada em um estado inoperante até recuperar ou restaurar seus sistemas internos, e mesmo eles podem levar dias, semanas ou meses para recuperar totalmente todos os serviços e operações.
O lado negativo, no entanto, é que os invasores podem realizar ataques DDoS com pouquíssima preocupação em serem pegos. Utilizando dispositivos IoT, falsificação e reflexão, torna-se muito difícil, quase impossível até atribuir o tráfego a agentes específicos. O limite para realizar um ataque DDoS é, por consequência, muito menor em comparação com a infiltração e extração de informações de redes privadas.
Qual é o tamanho da ameaça de ataques DoS? Quais organizações ou setores estão particularmente em risco? Quem são os agentes por trás desses crimes? O que eles buscam e o que os motiva?
A partir de 2020, testemunhamos um aumento na atividade DDoS impulsionada por campanhas de DoS de resgate que se tornaram uma parte persistente do cenário de ameaças DDoS, além de vários eventos políticos e sociológicos, como eleições, #VidasNegrasImportam e lutas dentro e entre nações.
Para entender a ameaça e avaliar o risco para sua organização, você precisa entender os agentes, quem são eles e quais são seus objetivos. Saiba como eles normalmente realizam os ataques. As táticas e técnicas utilizadas por agentes mal-intencionados dependerão do objetivo e nível de habilidade deles. E, por fim, o agente exige algo que seja de valor para você em que ele possa causar impacto – é aí que residem as oportunidades para agentes mal-intencionados, e normalmente elas são compostas por ativos ou vulnerabilidades importantes e valiosos.
Crime organizado
O ransomware teve um enorme crescimento e evolução nas táticas de operadores e afiliados que estão se organizando cada vez melhor. Os operadores de ransomware evoluíram suas táticas para triplicar a extorsão, não apenas criptografando sistemas, mas também exfiltrando dados confidenciais e ameaçando publicar os dados por um resgate. Caso a vítima não cumpra ou resista, eles recorrem a ataques DDoS para levar suas vítimas de volta à mesa de negociações.
Desde agosto de 2020, vimos campanhas de extorsão de negação de serviço ou de DoS de resgate direcionadas a todos os setores em todo o mundo. Campanhas que foram muito persistentes e em que agentes fazendo-se passar por Fancy Bear, grupo Lazarus ou o coletivo Armada, enviaram mensagens ameaçadoras por e-mail para organizações. Ameaçando a organização de que eles teriam sido escolhidos como alvo para o próximo ataque DDoS, citando alguns de seus trabalhos anteriores e continuando a ameaçar, afirmando que eles iniciarão um grande ataque DDoS muito em breve. Para provar que suas ameaças devem ser levadas a sério, eles farão um pequeno ataque usando apenas uma fração de sua infraestrutura de ataque em um determinado ativo da organização ameaçada.
Para evitar o ataque, eles propõem o pagamento de um resgate de 10 a 20 bitcoins para um endereço específico de bitcoin. A recusa em pagar antes do início dos ataques aumentará a tarifa em 5 ou 10 bitcoins para cada prazo perdido enquanto o ataque continuar.
Entre outubro e novembro, as cartas de resgate parecem diminuir cada vez mais. Até a segunda quinzena de dezembro, começamos a receber novas cartas de clientes. As organizações que foram alvo antes e receberam uma carta de resgate agora estavam sujeitas a uma segunda carta que dizia que os invasores estavam ocupados com projetos mais lucrativos, mas que agora estavam de volta. Eles citam o mesmo endereço de bitcoin e pedem um resgate entre 5 e 10 bitcoins. O resgate mais baixo foi explicado pelo aumento no valor do bitcoin que subiu em dezembro para mais de 100% em comparação com o início daquele ano. Eles disseram que nunca desistiriam e sempre voltarão, até serem pagos.
Em março de 2021, quando começamos a deixar a última campanha de DoS de resgate para trás, só levou até maio para que novas cartas começassem a chegar. Dessa vez, um grupo, provavelmente não relacionado aos agentes das campanhas anteriores, estava se fazendo passar por “Fancy Lazarus”. Um apelido inventado especificamente para colocar ainda mais medo nas vítimas, combinando Fancy Bear, o APT russo, conhecido por seus laços com o governo russo, e promovendo os interesses políticos do governo russo e do grupo que se acredita ser responsável por hackear os e-mails do Comitê Nacional do Partido Democrata na tentativa de influenciar o resultado das eleições presidenciais de 2016 nos Estados Unidos, ataques cibernéticos aos parlamentos alemão e norueguês, à emissora de televisão francesa TV5Monde, à Casa Branca, à OTAN, e tentando influenciar a campanha do candidato presidencial francês Emmanuel Macron.
E o Lazarus Group, o APT norte-coreano que acredita-se ser uma organização de hackers patrocinada pelo Estado responsável pelo ataque de 2014 à Sony Pictures, o maior ataque a banco de 2016 no banco de Bangladesh, em que conseguiram escapar com 81 milhões de dólares. Dessa vez, o agente ou grupo mal-intencionado visava principalmente ativos desprotegidos de organizações em diferentes setores. Pedindo um resgate de 0,5 a 5 bitcoins para evitar o ataque.
Setembro de 2021 foi marcado pelo impacto dos ataques DDoS às operadoras de telecomunicações VoIP no Reino Unido e Canadá. A partir de 1º de setembro, a operadora Voip Unlimited, com sede na costa sul do Reino Unido, divulgou que foi atingida por um ataque DDoS sustentado e em larga escala que acreditava ter origem no grupo russo de ransomware “REvil” após o que eles descreveram como uma “exigência colossal de resgate”. Após 75 horas de ataques contínuos, em 3 de setembro, a Voip Unlimited relatou uma pausa no tráfego malicioso e confirmou alguns dias depois que não observou mais ataques. Ao mesmo tempo, também a partir de 1º de setembro, a Voipfone, com sede em Londres, relatou ter sofrido interrupções nos serviços de voz, chamadas recebidas e efetuadas, e serviços de SMS. Mais tarde, foi confirmado aos clientes por e-mail que os serviços Voipfone haviam sido “interrompidos de modo intermitente por um ataque DDoS”. Em 16 de setembro, uma operadora canadense de serviços de telefonia, VoIP.ms, anunciou que tomou conhecimento dos problemas que impediam os clientes de acessar o site deles e que estavam trabalhando para encontrar uma solução.
Uma semana depois, o problema ainda estava em andamento e foi atribuído a ataques DDoS agressivos persistentes, causando interrupções em chamadas telefônicas e serviços. As mensagens públicas trocadas no Twitter entre a VoIP.ms e os agentes de ameaças com o identificador @REvil92457183 forneceram mais informações. Os agentes de ameaças por trás do ataque DDoS usavam o nome de “REvil”, mas não há evidências de que eles representem o mesmo grupo de ransomware REvil que já atacou empresas proeminentes, incluindo a maior processadora de carne do mundo, a JBS. Como operador de ransomware, ele não está de acordo com as táticas, técnicas e procedimentos (TTPs) do REvil para realizar ataques de extorsão DDoS. No entanto, ele não pode ser excluído. Não seria a primeira vez que um grupo criminoso diversifica suas atividades.
Uma nota do Pastebin, agora removida, impôs a exigência inicial de resgate em 1 bitcoin, ou pouco mais de US$ 42.000 (no momento da publicação). No entanto, apenas dois dias após a exigência inicial, a conta do twitter @REvil92457183 aumentou a exigência para 100 bitcoins, ou mais de US$ 4,2 milhões, quando enviou a mensagem: “Ok, basta de comunicação… O preço para pararmos agora é de 100 Bitcoins no endereço BTC do pastebin. Tenho certeza de que seus clientes vão agradecer sua atitude de 0 f…s em vários processos judiciais. REvil”. Os agentes usaram o Twitter para expor os ataques e condenar a VoIP.ms por não pagar, na tentativa de fazer com que seus clientes e parceiros pressionassem a operadora de serviços a pagar o resgate e livrá-los das interrupções no serviço. Os operadores de ransomware usam táticas de pressão semelhantes, como vazar novas vítimas e dados confidenciais obtidos de vítimas em seus sites de relações públicas da dark web. As mensagens da VoIP.ms no Twitter mostram que os ataques tinham como alvo inicialmente os serviços de nomes de domínio da VoIP.ms. A VoIP.ms atenuou esses ataques pedindo aos parceiros e clientes que codificassem endereços IP de serviço em seus sistemas.
Em 7 de outubro, a Voip Unlimited novamente relatou perda intermitente de conectividade e serviços de voz enquanto seus engenheiros trabalhavam para mitigar ataques DDoS contra suas plataformas de telefonia. Os problemas foram relatados pela primeira vez em sua página de status de serviço na noite de 7 de outubro. Na noite de 8 de outubro, a VoIP Unlimited ainda relatava interrupções causadas por ataques DDoS em andamento contra seus clientes.
Hacktivista
Muito ao contrário do crime organizado, esses agentes mal-intencionados não são motivados por ganhos financeiros, mas principalmente por ideias políticas ou ideológicas. Eles estão em busca de desfiguração, doxing e destruição ou interrupção de sites e recursos, tudo com o objetivo de promover uma agenda política ou uma mudança social. As empresas podem ficar enredadas e na mira de hacktivistas sem sequer ter controle sobre a situação. Esses grupos geralmente não são sofisticados, mas contam com seus grandes seguidores e mídias sociais para realizar e promover campanhas de ataque. Eles usam fóruns privados para distribuir e educar seus seguidores sobre ferramentas de negação de serviço. Essas ferramentas são tipicamente antigas e muito simples, bem conhecidas e disponíveis publicamente. No entanto, nas mãos de uma multidão suficientemente grande, essas ferramentas de ataque simples tornam-se armas distribuídas muito eficazes. Nas recentes campanhas de ataque orquestradas pelo grupo hacktivista politicamente orientado Dragon Force Malaysia, ferramentas como torshammer, canhão de íons de baixa e alta órbita, também chamado de LOIC e HOIC, e uma ferramenta de ataque móvel para Android chamada Garuda, foram utilizadas em ataques cibernéticos contra alvos israelenses ao longo do mês de junho e julho de 2021 para protestar contra o fortalecimento dos laços diplomáticos entre o governo israelense e as nações de maioria muçulmana do Sudeste Asiático.
Funcionários insatisfeitos e clientes irritados
Outro grupo de invasores tipicamente menos sofisticados, que operam sozinhos, são funcionários insatisfeitos e clientes irritados. O setor de jogos e apostas é frequentemente alvo de clientes insatisfeitos que agem com emoções intensas e são movidos pela raiva ao perder grandes quantias de dinheiro em apostas. Mas também vemos esse grupo em outros setores, como quando um site anuncia informações erradas, entrega incorreta ou inadequada de bens ou serviços, etc.
Devido às suas necessidades de acesso imediato e temporal a uma ferramenta adequada, esse grupo recorre principalmente a portais DDoS como serviço disponíveis publicamente que oferecem acesso conveniente e por assinatura a botnets e servidores de ataque DDoS. Com apenas alguns cliques, esses agentes podem facilmente atrapalhar os recursos online e prejudicar a reputação das empresas.
[Você também pode se interessar por: Revisão do ano de 2021: negação de serviço]
Estados-nação
Os Estados-nação, por outro lado, têm a experiência e os recursos para construir vastas armas de destruição, tanto no mundo físico quanto no cibernético. São mais conhecidos por usar armas cibernéticas para causar interrupções e caos na tentativa de desestabilizar economias ou regimes. Infraestruturas essenciais, como redes elétricas, oleodutos, abastecimento de água, mas também instituições financeiras podem ser alvo de nações concorrentes e serem vítimas de ataques de grande escala, entre os quais DDoS são muito eficazes, pois a atribuição é tão difícil e um dos principais objetivos da ataques de estados-nação é não ser pego em flagrante ou tentar influenciar a política externa culpando outra nação.
Concorrentes
Por fim, quero destacar um grupo de ameaças frequentemente esquecido que está mais presente do que a maioria suspeita: os concorrentes. Sem qualquer surpresa, o objetivo desse grupo é obter vantagem competitiva destruindo a reputação, roubando propriedade intelectual ou reduzindo os preços de empresas e nações concorrentes. Esse grupo recorrerá a ferramentas de ataque automatizadas, como bots, para obter informações, alguns contratarão invasores para interromper os serviços, enquanto outros intensificarão o jogo e patrocinarão grupos para se infiltrar e roubar informações confidenciais e sigilosas.
Após os ataques do botnet Mirai contra Krebs, OVH e Dyn DNS, um agente que atende pelo nome de “best buy” (melhor compra) foi observado e detido enquanto tentava escravizar 900.000 modems de internet de consumo da Deutsche Telecom. Bestbuy, ou Daniel Kaye na vida real, já tinha um botnet baseado no Mirai de 400.000 bots na época. Ele iniciou seu projeto após ser contratado pelo CEO da Cellcom Liberia para destruir a reputação da Lonestar MTN, maior concorrente da Cellcom na Libéria. Daniel iniciou seus ataques através do serviço stresser mais renomado da época: “vDoS”. O vDoS não deu a ele o poder necessário para interromper uma grande organização móvel como a Lonestar. Considerando a publicação recente do código-fonte do botnet Mirai, ele pegou o código e construiu seu próprio botnet. Em novembro de 2016, em uma tentativa de interromper os serviços da Lonestar MTN, Daniel Kaye, hacker de aluguel, interrompeu a conectividade com a Internet de toda a Libéria. Daniel Kaye foi detido em janeiro de 2019 no aeroporto de Luton, em Londres, Reino Unido, enquanto viajava para Chipre depois de se encontrar com seu contato da Cellcom.
Quais ferramentas e técnicas os invasores preferem usar para ataques DoS?
Agentes menos sofisticados buscarão portais DDoS como serviço. Esses portais estão amplamente disponíveis na rede acessível e podem ser encontrados através de uma simples pesquisa no Google. As plataformas de DDoS como serviço, também conhecidas como booters ou stressers, possuem poder de ataque suficiente para impactar a maioria das organizações.
Para aqueles com ambições maiores, como grupos do crime organizado ou hackers de aluguel, os serviços stresser normalmente não oferecem escala, flexibilidade ou retorno sobre o investimento. Eles tendem a construir suas próprias ferramentas de ataque, que consistem em botnets e infraestrutura de ataque. Os botnets são normalmente usados para gerar ataques de alto pacote de informação ou solicitação por segundo que drenam os recursos de dispositivos ou servidores de rede. Os servidores de ataque são normalmente usados para realizar ataques de reflexão e amplificação. Esses servidores buscam serviços de internet que permitem ataques de amplificação, como DNS, NTP, SSDP e Memcached, entre outros. Depois que as listas de servidores de amplificação forem compiladas, o servidor de ataque usará aquelas em ataques DoS volumétricos de saturação de uplinks. Não se engane, a internet está cheia de potencial para amplificação. Os pontos de reflexão não precisam ser grandes servidores. Observamos muitos ataques que utilizam marcas de roteador conhecidas que expõem serviços DNS e permitem recorrência por padrão. Em 2021, pesquisadores acadêmicos publicaram um artigo detalhando novas maneiras de utilizar pacotes TCP forjados para gerar ataques devastadores de amplificação DDoS com fatores de amplificação que variam de 50.000 a 100.000.000s.
Como você pode se proteger? Qual mecanismo de defesa é o mais eficaz?
Em nossa experiência, uma solução baseada em nuvem é a mais eficaz para interromper todos os ataques, mesmo aqueles volumétricos que estão além da capacidade dos links de internet do site protegido. A solução definitiva para empresas que exigem a menor latência e a melhor proteção é uma solução de DDoS híbrida. Essa opção combina detecção e prevenção no local, enquanto desvia automaticamente para um centro de depuração na nuvem quando os volumes de ataque ameaçam saturar os links da Internet.
O futuro do cenário de ameaças DDoS
Com o crescimento da largura de banda das interconexões, nuvens e conexões de Internet, os ataques estão se tornando maiores e mais impactantes. Nossos negócios e vidas (automação residencial, streaming online, carros conectados) estão se tornando cada vez mais dependentes da conectividade com a Internet. A digitalização acelerou durante a pandemia, e isso significa que há mais oportunidades de impactar empresas e pessoas por meio de ataques DoS. Motivado pelo sucesso de campanhas anteriores de ransomware, há uma boa probabilidade de ver um aumento nas tentativas de DoS de resgate em um futuro próximo.
Com um crescimento constante de eventos mal-intencionados bloqueados por cliente, não parece que os ataques DDoS vão desaparecer tão cedo. Com todas as vulnerabilidades divulgadas nos últimos dois anos, a oportunidade de construir grandes botnets e abusar de serviços de amplificação mais capazes continua crescendo. À medida que digitalizamos nossos negócios e nossas vidas migrando aplicações para a nuvem, criando dependências totalmente entrelaçadas entre aplicações online e móveis, dependendo cada vez mais de serviços e APIs web fornecidos por terceiros, carros conectados, casas conectadas, consumo de vídeo online, começamos a depender cada vez mais da nuvem e da conectividade e nos tornamos mais vulneráveis e criamos mais oportunidades para pessoas ruins abusarem.
Motivado pelo sucesso de campanhas de ransomware, há uma boa probabilidade de ver um aumento nas tentativas de DoS de resgate em um futuro próximo. Minha equipe de pesquisadores está toda alinhada em um futuro que trará mais e maiores oportunidades de negação de serviço e ataques, e é por isso que estamos observando de perto os movimentos, táticas e técnicas de agentes mal-intencionados no cenário de ameaças DDoS, relatando e compartilhando nossas observações e tentando ajudar as empresas a se protegerem de maneira oportuna e precisa, para que os bandidos possam causar pouco ou nenhum impacto com seus ataques. Como acontece com a maioria das ameaças à segurança, se for possível tirar a economia da ameaça, os ataques e os invasores vão desaparecer lentamente. Mas é um círculo perpétuo que nos coloca de volta em todas as conquistas à medida que a tecnologia e a digitalização do mundo continuam.
Saiba mais sobre os agentes de ameaças e suas táticas e técnicas no Almanaque do Hacker de 2021 da Radware – A evolução dos agentes de ameaças.
