Os ataques distribuídos de negação de serviço (DDoS – Distributed Denial of Service) continuam a crescer em quantidade, frequência e sofisticação. Entre as práticas mais populares estão o uso de botnets DDoS, porém o malware passou a utilizar novas formas de infectar sistemas de IoT (internet das coisas) e recrutá-los como drones.
Um novo método de ataque de negação de serviço que vem sendo muito utilizado é o ataque de amplificação refletida. Os cibercriminosos enviam requisições para serviços específicos na internet que, por sua vez, são enviadas em nome do alvo, ou seja, a origem é falsa. O intuito é fazer com que as respostas dessas requisições sejam encaminhadas ao alvo. Se a requisição gerar mais tráfego do que o pedido, o criminoso efetivamente “amplificou” sua capacidade de ataque e os dados foram “refletidos” ao alvo. Ataques de negação de serviço têm por objetivo retirar um site do ar e esse método torna isso mais eficaz.
O relatório “Q2 2020: The State of DDoS Weapons”, elaborado por especialistas em segurança da A10 Networks, traz um cenário detalhado dos métodos e a distribuição dos ataques. Durante o segundo trimestre deste ano, os pesquisadores de ameaças da A10 monitoraram os agentes de ataque sob o controle de botnets DDoS e descobriram inovações de malwares por meio de implantação de honeypots (ferramentas que simulam falhas de segurança) e varreram a internet em busca de fontes expostas de ataques de amplificação refletida.
Veja isso
Nova botnet usa dispositivos de IoT para ataques DDoS
Todas as redes 4G e 5G são suscetíveis a ataques DDoS
A equipe de pesquisadores também avaliou sistemas com potencial para se transformar em bots de ataque, refletores ou amplificadores, avaliando as chances dessas máquinas serem comprometidas com base na sua disponibilidade na internet e potenciais fragilidades. Aproximadamente 10 milhões de endereços IP (unique source) estão sendo rastreados.
Portmap: o mais usado em ataques DDoS
Adicionado pela primeira vez ao programa de pesquisa de ameaças da A10, o Portmap saltou para a primeira posição no relatório com 1.818.848 armas DDoS rastreadas no segundo trimestre. SNMP e SSDP seguem de perto com quase 1,7 milhão de armas DDoS rastreadas cada — embora sejam a ameaça mais perigosa em virtude do seu fator de amplificação e dificuldade de mitigação.
Embora os relatórios anteriores de inteligência de ameaças da A10 tenham classificado nações como China, Coréia, Rússia e Índia como as principais fontes de ataques DDoS, a adição do Portmap colocou os Estados Unidos no topo da lista com quase 1,6 milhão de armas DDoS — cerca de 200 mil a mais do que a China, em segundo lugar. Essas armas podem ser usadas em ataques DDoS baseados em Portmap, em que servidores que executam o protocolo Portmaper baseado em UDP são explorados para uso em ataques de amplificação refletida que acionam um número muito maior de respostas do servidor do que as solicitações iniciais.

As armas DDoS são frequentemente hospedadas por um ASN, uma coleção de intervalos de endereços IP sob o controle de uma única empresa ou operador governamental, método que permite que várias armas permaneçam conectadas à rede e ataquem outros sistemas. Dois dos cinco principais ASNs que hospedam armas DDoS, China Telecom e China Unicom CN, estão baseados na China, enquanto um terceiro, a Chungwha Telecom, opera em Taiwan. A única ASN com sede nos EUA entre as cinco principais é a Charter Communications, que ocupa a segunda posição com 477.926 armas hospedadas.
Inteligência para proteção contra DDoS
Apesar da frequência e sofisticação do DDoS, as equipes de segurança, por meio das informações sobre o ponto de origem de uma arma, podem criar listas negras de endereços IP suspeitos de hospedar botnets DDoS e servidores potencialmente comprometidos. Combinada com a detecção de ameaças em tempo real e extração automatizada de assinaturas, essa estratégia pode ajudar as empresas a evitar até mesmo os ataques DDoS multivetoriais mais massivos.