Introdução
O aumento da atividade online quase sempre resulta em um aumento proporcional dos crimes cibernéticos, inclusive de ataques DDoS, que cresceram significativamente durante a pandemia de COVID-19. Assim, mudanças generalizadas no uso da internet, tais como o crescimento do número de funcionários remotos e de acessos durante o lockdown, ampliaram o tempo e as oportunidades de ataque dos invasores. Contudo, mesmo com o enfraquecimento da pandemia, as mudanças contínuas quanto ao uso da internet, como a migração acelerada para cloud e o crescente uso de dispositivos IoT, certamente impactarão as tendências de segurança cibernética neste ano.
Diante desse contexto, este artigo fornece informações essenciais para você entender os ataques DDoS, revisar os fatores que impulsionam as mudanças nos ataques, discutir as tendências dos ataques DDoS deste ano e como se proteger contra eles.
O que são ataques DDoS?
Os ataques DDoS, sigla para Distributed Denial of Service, ou negação de serviço distribuída, são um tipo de crime cibernético que tenta derrubar um site, uma rede ou uma aplicação offline ao sobrecarregá-los com tráfego de várias fontes. Exércitos de botnets são formados no intuito de infectar dispositivos com malwares e, assim, permitir aos invasores que os controlem de forma remota, sem o conhecimento do proprietário do dispositivo. Como consequência, grandes quantidades de tráfego podem inundar o alvo, por meio de variadas técnicas.
Tipos de ataques
ODigital Attack Map do Google, que rastreia ataques DDoS no mundo inteiro diariamente, menciona que os ataques DDoS são responsáveis por mais de um terço de todos os incidentes de inatividade. O mapa divide os ataques DDoS em quatro categorias:
- ataques de conexão TCP: é um ataque por esgotamento de estado, que explora o processo de handshake TCP ao realizar um grande número de requisições por meio de IPs falsificados; ele deixa o alvo esperando pela etapa final do handshake, que nunca ocorre, esgotando os recursos do alvo;
- ataques volumétricos: é um ataque que consome toda a largura de banda entre o alvo e a internet em geral;
- ataques de fragmentação: é um ataque que satura um servidor de destino com pacotes de dados fragmentados, que não podem ser remontados;
- ataques de aplicações: é um ataque direcionado a um aspecto específico de uma aplicação ou um serviço, sendo, por vezes, eficaz mesmo com pouquíssimas máquinas atacando e uma baixa taxa de tráfego.
Métodos de amplificação
Para que a maioria dos ataques seja eficaz, é necessário atingir um determinado volume, o que exige métodos de amplificação que multiplicam o tráfego. O Digital Attack Map divide esses métodos em duas categorias:
- Reflexão de DNS: os invasores falsificam o endereço IP de um alvo para enviar a um servidor DNS aberto pequenas requisições que eles sabem que irão acionar uma grande resposta de volta ao IP do alvo, amplificando cada solicitação do invasor em até 70 vezes em volume;
- Chargen Reflection: os invasores aproveitam um serviço de teste desatualizado (Chargen) usado em muitas impressoras habilitadas para rede, que permitem aos invasores enviarem sequências de caracteres aleatórios da impressora para o servidor de destino.
Fatores que afetam os ataques DDoS de 2021
A pandemia é um dos fatores mais óbvios que afetam as mudanças no uso da internet e, consequentemente, o crime cibernético. O lockdown e o distanciamento social não somente impulsionaram o aumento do uso da internet, como o aumento de streaming de mídia e de comércio eletrônico, mas também as mudanças na forma como as empresas operam, como a adoção generalizada de políticas de trabalho remoto e ensino à distância.
Além disso, o aumento do uso da internet resultou em esforços tecnológicos acelerados, como a migração para cloud e a implementação do 5G. À medida que as empresas adotam novas tecnologias, elas se tornam novos alvos para o crime cibernético, especialmente se ainda não adaptaram suas políticas de segurança às mudanças nas operações online. Por exemplo, a crescente utilização de IoTs, resultante da implementação do 5G, amplia a gama de novos dispositivos que podem ser usados em ataques DDoS, especialmente quando IoTs não são atualizados em tempo hábil ou dependem de protocolos de segurança fracos.
Uma vez que o cibercrime costuma ser motivado por razões financeiras, o crescimento dos negócios online significa maior oportunidade de lucros. Além disso, outros fatores, como o aumento do preço do Bitcoin, um método de moeda difícil de rastrear e, portanto, atraente para os criminosos, aumentaram o fascínio pelos ataques com motivação financeira, como o ransomware DDoS.
Os fatores que afetam as tendências de ataques DDoS incluem:
- aumento do uso da internet devido à COVID-19;
- novas indústrias mudando para operações online;
- adoção generalizada de políticas de trabalho remoto;
- migração acelerada para cloud e implementação do 5G;
- aumento de preço do Bitcoin.
Tendências de ataque DDoS em 2021
Aumento de tamanho e frequência
No verão passado, dois ataques DDoS high-profile chamaram a atenção para o risco repetido de DDoS, uma vez que duas das maiores empresas de tecnologia do mundo, Google e Amazon, foram alvo de ataques DDoS de tamanho sem precedentes. Em junho de 2020, a BBCrelatou que a Amazon sofreu um ataque em fevereiro que atingiu o pico de 2,3 Tbps, ultrapassando de longe o recorde anterior de 1,7 Tbps, registrado em 2018. Pouco depois, o Google revelou que havia sido alvo de um ataque ainda maior, de 2,5 Tbps.
Os ataques também se tornaram mais frequentes. A Businesswire afirmou que, durante o primeiro semestre de 2020, os ataques aumentaram mais de duas vezes e meia em comparação com o mesmo período de 2019. Esse aumento ocorreu não apenas com grandes empresas, mas também com pequenas empresas, que são particularmente vulneráveis a ataques menores por serem mais difíceis de detectar, pois não ultrapassam o limite de tráfego que acionaria os esforços de mitigação. A Businesswireobservou que “essas mudanças colocam todas as organizações com presença na internet em risco de um ataque DDoS – uma ameaça que é particularmente crítica para as forças de trabalho globais que dependem de VPNs para login remoto.
Ataques complexos e novas armas de ataque
Assim como as ferramentas de mitigação de DDoS tornam-se cada vez mais sofisticadas, o mesmo ocorre com as armas e os métodos de ataque DDoS. A Businesswire mencionou em um artigo de setembro de 2020 que, de acordo com relatórios de segurança recentes, os cibercriminosos estão aproveitando cada vez mais os ataques DDoS contra vários pontos de entrada. O artigo afirma que “52% das ameaças mitigadas pela Neustar, no primeiro semestre de 2020, alavancaram três vetores ou mais, sendo que o número de ataques apresenta um único vetor praticamente inexistente”.
Os hackers também estão utilizando novas armas DDoS. A Security Magazinerelatou que o segundo semestre de 2020 “viu um aumento de mais de 12% no número de potenciais armas DDoS disponíveis na internet, com um total de aproximadamente 12,5 milhões de armas detectadas”.
Ataques Ransom DDoS
Uma das maiores tendências recentes do crime cibernético é o aumento dos ataques ransom DDoS. Esses ataques geralmente envolvem e-mails de extorsão enviados a empresas, ameaçando interromper a rede ou os serviços do alvo com um ataque DDoS, a menos que um resgate seja pago. Esse tipo de ataque pode vir acompanhado por um pequeno ataque, um teaser, para demonstrar a capacidade do invasor de executar a interrupção.
O ZDNet vinculou essa tendência a um forte aumento no valor do Bitcoin, que triplicou de valor entre a primeira instância de ransom DDoS em agosto de 2020 e janeiro de 2021, quando o artigo foi publicado. O ZDNetrelata que “o aumento no preço do Bitcoin para o dólar americano fez com que alguns grupos retornassem ou repriorizassem os esquemas de extorsão de DDoS”.
Com as taxas de Bitcoin aumentando continuamente, é provável que esses ataques se mantenham ao longo de 2021. No momento em que esse artigo foi escrito, um único Bitcoin estava avaliado em US$ 56.000, quase o dobro de seu valor de US$ 30.000 em janeiro. Outroartigo de dezembro de 2020, publicado na revista digital CSO, ecoou essa previsão, ao observar que “a crescente pressão para se submeter à extorsão, visando às vítimas mais vulneráveis e táticas, que tornam mais difícil recuperar dados criptografados, manterão o ransomware na ‘linha de negócios’ mais lucrativa para cibercriminosos em 2021”.
Ataques a APIs
Ao mesmo tempo que a migração de cloud estimula um número cada vez maior de empresas a adotarem a arquitetura cloud-native, o uso de APIs e microsserviços resulta em uma maior superfície de ataque, com mais vetores para os criminosos explorarem. A Radware, uma das líderes em migração de bots, vinculou a migração acelerada para cloud de 2020 ao aumento de ataques a APIs. Em umrecente relatório de pesquisa, a instituição afirmou que os esforços de migração para cloud em 2020, “combinados com a maior dependência de APIs e a inclusão de aplicativos móveis pouco seguros, têm sido uma bênção para os criminosos, deixando-os à frente na curva da cibersegurança”.
Sem os esforços de segurança, as APIs – e quaisquer dados sensíveis que elas exponham – são alvos de prováveis ataques. Como a Radware observou, “cerca de 55% das organizações experimentam um ataque DDoS contra suas APIs pelo menos uma vez por mês”.
Protegendo-se contra ataques DDoS
O relatório de 2020 da Forrester sobre soluções de mitigação de DDoS forneceu conselhos para empresas que desejam se proteger contra ataques. Seus pontos principais incluíram estratégias proativas, tais como alavancar inteligência contra ameaças e criar um plano estratégico, ou runbook, com informações – como processos de resposta a incidentes, caminhos de escalonamento, entre outras – que irão orientar proativamente uma resposta bem-sucedida e garantir que os envolvidos entendam suas responsabilidades no processo. Além disso, ações como limitar a superfície de ataque de uma aplicação e criar redundância integrada tornam mais difícil para os invasores encontrarem um ponto de entrada e derrubarem uma aplicação offline. E o mais importante, conforme observa o relatório da Forrester, é a importância de se escolher um fornecedor que atenda às necessidades estratégicas de segurança da empresa.
Ao utilizar a plataforma da Azion, você automaticamente se beneficia do nosso DDoS Protection sem custos adicionais. Assim, você conta com mitigação always-on, que monitora continuamente o fluxo de rede para detectar e bloquear o tráfego malicioso em tempo real, sem impacto para suas aplicações, além de:
- proteção ampla para diferentes necessidades de negócios;
- proteção de conteúdo, aplicações da web e APIs;
- proteção adicional para infraestrutura e serviços DNS;
- mitigação sempre ativa, sem necessidade de configurar ou parametrizar serviços;
- algoritmos sofisticados e roteamento avançado para mitigação automatizada de ataques complexos;
- Data Stream, que oferece níveis profundos de visibilidade dos ataques DDoS e podem ser integrados a ferramentas analíticas de terceiros.
Já que as tendências recentes de ataques DDoS continuam em 2021, o passo mais importante que uma empresa pode dar para se proteger contra ataques DDoS é estar preparada antes que eles ocorram. A escolha de uma solução de mitigação, como o DDoS Protection da Azion, pode ajudar a sua empresa a se proteger contra tendências recentes, como ataques maiores e mais frequentes, ataques a APIs e estratégias de ataque complexas e progressivas.
Referência
[1] Holmes, D., Blankenship, J., Bouffard, A., & Lynch, D. (2020). Now Tech: DDoS Mitigation Solutions, Q2 2020 (pp. 11-12, Rep.). Cambridge, MA: Forrester.