Dois pesquisadores do FortiGuard Labs, da Fortinet, acabam de descobrir uma nova plataforma oferecendo DDoS como serviço. Chamada por enquanto de 0x-booter, ela foi localizada dia 17 de outubro de 2018 e se tornou disponível para qualquer pessoa que se inscreva no site e pague pelo seu uso. Claro que isso não é bem uma novidade, já que existem muitos serviços semelhantes, com o apelido de “booters” ou “stressers”. A novidade é que este consegue uma taxa da ordem de 500GB por segundo, com disparos vindos de 20 mil dispositivos. Um tráfego dessa magnitude é mais do que suficiente para tirar do ar a maioria dos sites.
Um post do perfil ZullSec no Facebook mostra um ataque derrubando o site do Batalhão Azov, a tropa de elite do governo da Ucrânia. Um registro interno do 0x-booter mostra que ele já foi utilizado em mais de 300 ataques desde 14 de outubro, quando a plataforma foi publicada.
Segundo os pesquisadores Rommel Joven e Evgeny Ananin, da Fortinet, quem paga pelo serviço tem acesso a um painel de controle mostrando informações de perfil, navegação para outras funções, resumo dos dados de ataque e outros detalhes da botnet. Os preços do 0x-booter variam de US $ 20 a US $ 150, dependendo do número de ataques, duração de cada um e do uso de suporte ao cliente.
Claro que como qualquer outro DDoS as a service você tem acesso a uma interface de usuário web mas não há contato direto com o bot master. Na interface do hub de ataque, conforme mostrado abaixo, pode-se ver os detalhes do host ou do domínio, a porta, a duração do ataque e os tipos de ataque que podem ser todos configurados. Os pesquisadores pagaram para conseguir acesso, conseguindo gerar um tráfego de 424,825 GB com 16.993 bots conectados. Para derrubar a maioria dos sites, isso é mais do que suficiente.
Pela análise do código, os pesquisadores concluíram que tanto a botnet quanto o site foram copiados de um fonte open source e modificados para esta finalidade. O site do 0x-booter, segundo eles, é baseado em outro chamado Ninjaboot, cujo código-fonte vazou em fóruns de hackers no ano passado. Além disso, o botnet Bushido tem grande parte do seu código obtido da botnet Mirai. Ele pode considerado um fork da Mirai dizem os pesquisadores.
No entanto, ele é uma evolução, já que traz 13 métodos de ataque, enquanto a Mirai trazia dez (veja imagem abaixo).
Como mostrado nas figuras a seguir, este serviço vem com uma interface de usuário definida explicitamente que permite que praticamente qualquer pessoa aprenda e use o serviço.