7 dos Mais Famosos Ataques DDoS Recentes

Como mais empresas se tornam dependentes de serviços online como a computação em nuvem e tomam medidas para melhorar a segurança de suas redes de acordo com isso, os ataques DDoS (DDoS) se tornaram uma estratégia mais atraente para os hackers que procuram criar caos e perturbações. Fácil de organizar e executar, os recentes ataques DDoS se tornaram mais sofisticados e intensos na última década e mostram poucos sinais de desaceleração. Embora organizações e centros de dados tenham intensificado seus esforços de cibersegurança para mitigar o impacto desses ataques, eles ainda podem ser bastante prejudiciais tanto para as empresas visadas quanto para os clientes que dependem de seus serviços para fazer negócios.

Embora os recentes ataques DDoS tenham diminuído ligeiramente em 2018, o primeiro trimestre de 2019 teve um aumento de 84% em relação ao ano anterior. Tanto o tamanho quanto a freqüência desses ataques aumentaram, com o maior crescimento em ataques que duraram mais de uma hora. Estes ataques não só duplicaram em quantidade, como a sua duração média também aumentou em 487 por cento. Como os ataques utilizam cada vez mais vetores de ataque múltiplos, os especialistas em cibersegurança estão se voltando para a inteligência artificial e a aprendizagem de máquinas para identificar padrões de ataque e reforçar sua mitigação DDoS.

Quick Links:

• O que é um Ataque DDoS?
• 7 dos mais famosos ataques recentes de DDoS
  • Amazon Web Services, 2020
  • GitHub, 2018
  • NETSCOUT, 2018
  • Dyn, 2016
  • BBC, 2015
  • Spamhaus, 2013
  • Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank, 2012

  >

>

O que é um ataque DDoS?

Ataques de negação de serviço distribuídos são um tipo de ataque cibernético projetado para sobrecarregar servidores ou interromper serviços de rede, sobrecarregando-os com pedidos de acesso. O método específico destes ataques pode variar de um para o outro, mas frequentemente apresenta o uso de botnets.

O que é uma botnet? É um “exército” virtualizado de computadores e servidores comprometidos que são usados para atingir um sistema específico. O hacker por trás do ataque DDoS envia malware para vários sistemas e, se instalado com sucesso, pode usar esse malware para assumir remotamente alguns (ou todos) os processos do sistema comprometido para realizar o ataque.

O que faz um ataque DDoS e como ele funciona? Isso depende do tipo específico de ataque DDoS que está sendo realizado. Existem muitos tipos diferentes de ataques DDoS, tais como:

• Ataques Volumétricos. Estes ataques procuram consumir toda a largura de banda disponível em uma rede para que nenhum pedido legítimo possa ser processado. Um exemplo de ataque DDoS volumétrico seria um ataque de amplificação de DNS.
• TCP Handshake/SYN Floods. Uma série de pedidos incompletos do protocolo “TCP Handshake” para uma conexão inicial são enviados ao sistema alvo, mas nunca são completados tipicamente usando endereços IP falsificados. Este é um exemplo de um “ataque de protocolo”. Aqui, usuários legítimos do site que tentam visitar a página web podem contribuir ainda mais para o problema, uma vez que eles clicam em “refresh” em seus navegadores para que a página seja carregada (embora isso normalmente seja apenas uma pequena porcentagem da carga em comparação com o ataque real).
• Ataques de Camada de Aplicação. Também conhecidos como “Ataques DDoS de Camada 7”, estes ataques basicamente continuam pingando o servidor com pedidos HTTP – algo que é de baixo impacto para os remetentes, mas de recursos intensivos para o servidor que tem que carregar todos os arquivos e consultas de banco de dados que o site precisa exibir corretamente.
• Ataques DDoS Multi-Vetor. Às vezes, um atacante pode combinar vários métodos de ataque DDoS para tornar o seu ataque mais eficaz e difícil de contrariar. Atingir várias camadas da rede pode ser extremamente eficaz para aumentar a interrupção.

O que torna difícil prevenir ataques DDoS é que existem tantos tipos deles, e alguns são mais difíceis de separar dos pedidos de tráfego legítimos do que outros.

7 dos mais famosos ataques recentes de DDoS

Amazon Web Services (AWS) (fevereiro de 2020)

De acordo com um artigo da ZDNet, em fevereiro de 2020, “a Amazon disse que seu serviço AWS Shield mitigou o maior ataque de DDoS já registrado, impedindo um ataque de 2,3 Tbps”. Antes deste ataque, o recorde mundial para o maior ataque DDoS registrado foi de 1,7 Tbps (Terabits por segundo), que por si só suplantou o recorde estabelecido pelo ataque GitHub que será mencionado abaixo.

O artigo da ZDNet não nomeia o cliente AWS, mas menciona que “o ataque foi realizado usando servidores web CLDAP sequestrados e causou três dias de ‘ameaça elevada’ para o pessoal do AWS Shield”. CLDAP significa Connection-less Lightweight Directory Access Protocol, que é um protocolo para conexão, pesquisa e modificação de diretórios compartilhados na internet.

É também, segundo a ZDNet, um protocolo que “tem sido abusado para ataques DDoS desde o final de 2016” e que “os servidores CLDAP são conhecidos por ampliar o tráfego DDoS em 56 a 70 vezes seu tamanho inicial”

GitHub (fevereiro de 2018)

Um popular serviço de gerenciamento de código online usado por milhões de desenvolvedores, GitHub é usado para alto tráfego e uso. O que não estava preparado era o então recorde de 1,3 Tbps de tráfego que inundou seus servidores com 126,9 milhões de pacotes de dados a cada segundo. O ataque foi o maior ataque DDoS registrado na época, mas a investida só derrubou os sistemas do GitHub por cerca de 20 minutos. Isto foi em grande parte devido ao fato de GitHub ter utilizado um serviço de mitigação DDoS que detectou o ataque e rapidamente tomou medidas para minimizar o impacto.

Não como muitos ataques DDoS recentes, o ataque de GitHub não envolveu botnets. Ao invés disso, os atacantes DDoS usaram uma estratégia conhecida como memcaching, na qual um pedido falsificado é entregue a um servidor vulnerável que então inunda uma vítima alvo com tráfego amplificado. Bancos de dados memcached são normalmente usados para ajudar a acelerar sites e redes, mas foram recentemente armados por atacantes DDoS.

Undisclosed NETSCOUT Client (Março 2018)

Não muito depois do ataque DDoS de 1.3 Tbps contra GitHub, NETSCOUT relatou que um de seus clientes foi alvo de um ataque DDoS de 1.7 Tbps. Este ataque em particular foi descrito pela NETSCOUT como sendo “baseado no mesmo vetor de ataque de reflexão/amplificação memcached que enlouqueceu o ataque de Github”

No entanto, apesar do tamanho massivo do ataque, “nenhuma interrupção foi relatada por causa disso”, de acordo com a NETSCOUT. Isto pode servir como exemplo de como estar preparado para um tipo específico de ataque pode fazer uma grande diferença no impacto desse ataque.

Dyn (Outubro, 2016)

Como um grande fornecedor de DNS, Dyn foi crucial para a infra-estrutura de rede de várias grandes empresas, incluindo Netflix, PayPal, Visa, Amazon, e The New York Times. Usando um malware chamado Mirai, hackers não identificados criaram uma enorme botnet incorporando dispositivos de Internet das coisas (IoT) para lançar o que era na época o maior ataque DDoS registrado. O ataque teve efeitos de trickle-down massivos, pois muitos dos clientes do Dyn encontraram seus sites aleijados por erros de DNS quando os servidores do Dyn foram desativados. Embora os problemas fossem resolvidos e o serviço restaurado até o final do dia, foi um lembrete assustador da fragilidade da infra-estrutura de rede.

BBC (Dezembro, 2015)

No último dia de 2015, um grupo chamado “New World Hacking” lançou um ataque de 600 Gbps usando sua ferramenta de aplicação BangStresser. O ataque levou os sites da BBC, incluindo seu serviço de iPlayer on-demand, para baixo por cerca de três horas. Para além do seu tamanho, que foi o maior ataque DDoS registado na altura, o aspecto mais notável do ataque da BBC foi o facto de a ferramenta utilizada para o lançar utilizar realmente recursos de computação em nuvem de dois servidores Amazon AWS. Para os profissionais de segurança de TI que há muito confiavam na reputação da Amazon quanto à segurança, a noção de que os atacantes DDoS tinham encontrado uma maneira de aproveitar a largura de banda de um serviço público de computação em nuvem para alimentar seu ataque era particularmente preocupante.

Spamhaus (março de 2013)

Em 2013, a Spamhaus era uma organização líder no setor de filtragem de spam, removendo até 80% dos e-mails de spam. Isto fez deles um alvo atraente para os golpistas, que finalmente contrataram um hacker adolescente na Grã-Bretanha para lançar uma ofensiva massiva para derrubar os sistemas da Spamhaus. A 300 Gbps, esse ataque foi o maior ataque DDoS registrado na época. Quando o Spamhaus respondeu à ameaça recorrendo a um serviço de mitigação DDoS, o atacante mudou o foco para tentar derrubá-lo também, o que causou interrupções de rede em toda a Grã-Bretanha, uma vez que outras empresas foram apanhadas no fogo cruzado.

Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank (Dezembro, 2012)

Em Setembro e Outubro de 2012, um grupo identificando-se como “Izz ad-Din al-Qassam Cyber Fighters” lançou vários ataques DDoS contra bancos americanos, alegadamente em resposta a um controverso trailer de filme no YouTube. Mais tarde naquele ano, o grupo prometeu expandir o alcance dos seus ataques. Em dezembro, o grupo seguiu em frente, atingindo seis bancos de destaque ao longo de três dias, interrompendo os serviços e causando uma forte desaceleração. Enquanto o ataque foi maior do que os de alguns meses antes, a onda anterior deixou os especialistas em segurança cibernética melhor preparados para lidar com as táticas de botnet que o grupo implantou. No seu pico, os ataques atingiram 63,3 Gbps.

Como os recentes ataques DDoS continuam a evoluir, os especialistas em segurança cibernética estão trabalhando arduamente para combater seus efeitos e diminuir seu impacto. Embora um ataque DDoS ainda seja algo que toda empresa deva se preocupar, há muitas maneiras de proteger as operações contra eles, desde serviços de mitigação DDoS até opções de data center, como a conectividade combinada com ISP. Estes esforços podem não ser capazes de fazer dos ataques DDoS uma coisa do passado, mas estão fazendo deles uma estratégia menos eficaz para interromper operações e serviços.