cyber-1654709_640.jpg

Protocolos SNMP e SSDP estão entre principais fontes de ataques DDoS

Da Redação
17/03/2020

Somente no quarto trimestre do ano passado, quase 1,4 milhão de armas SNMP e cerca de 1,2 milhão de armas SSDP foram rastreadas

cyber-1654709_640.jpg

Vinte anos após seu surgimento, o ataque distribuído de negação de serviço (DDoS – Distributed Denial of Service) permanece tão eficaz como sempre — e continua a crescer em frequência, sofisticação e intensidade. Isso faz da defesa contra o DDoS, a principal prioridade de segurança cibernética para as organizações.

Relatório sobre o cenário atual de DDoS, elaborado pela A10 Networks, traz informações detalhadas sobre ameaças, para mostrar a estratégia de defesa. Foram rastreadas quase seis milhões de armas, os locais onde os ataques são lançados; os serviços explorados e quais os métodos utilizados para maximizar os danos.

De acordo com o estudo, os protocolos SNMP (protocolo simples de gerência de rede) e SSDP (protocolo simples de descoberta de serviço) têm sido as principais fontes de ataques DDoS, tendência que ficou evidente no quarto trimestre do ano passado, com quase 1,4 milhão de armas SNMP e cerca de 1,2 milhão de armas SSDP rastreadas.

Outro tipo de ataque que aumentou acentuadamente foi o WS-Discovery (descoberta dinâmica de serviços da web), que subiu para quase 800 mil, tornando-se a terceira fonte mais comum de DDoS. A mudança se deve em parte à crescente popularidade de ataques usando dispositivos de IoT configurados incorretamente, para amplificar um ataque.

Neste modo de ataque, conhecido como amplificação refletida, os hackers estão voltando sua atenção para os dispositivos IoT expostos à internet, executando o protocolo WS-Discovery.

Projetado para suportar uma ampla variedade de casos de uso de IoT, o WS-Discovery é um protocolo de comunicação multicast baseado em UDP (User Datagram Protocol), utilizado para descobrir automaticamente os serviços conectados à web. Ele não realiza a validação da fonte IP, tornando simples para os invasores falsificarem o endereço do alvo. A partir disso, a vítima será inundada com dados de dispositivos IoT próximos. A maior parte do inventário descoberto até o momento foi encontrado no Vietnã, Brasil, Estados Unidos, Coreia do Sul e China.

Com mais de 800 mil hosts WS-Directory disponíveis para exploração, a amplificação refletida provou ser altamente eficaz — com amplificação observada de até 95 vezes. Os ataques de amplificação refletidas atingiram uma escala recorde, como o ataque do GitHub baseado em Memcached de 1,3 Tbps e que respondem ​​pela maioria dos ataques DDoS. Eles também são bem difíceis de defender; somente 46% dos ataques respondem à porta 3702, conforme o esperado, enquanto 54% respondem por portas mais altas.

DDoS está se tornando móvel

Os ataques DDoS são claros evidentes, permitindo que os defensores detectem seu ponto de lançamento. Embora essas armas sejam distribuídas globalmente, o maior número de ataques tem origem em países com maior densidade de conectividade à Internet, incluindo China, EUA e Coreia do Sul.

Em outra tendência importante, a prevalência de armas DDoS hospedadas por operadoras de telefonia móvel disparou perto do final de 2019.

Mas o pior está por vir.Com os dispositivos IoT entrando online a uma taxa de 127 por segundo e aumentando, a situação pode se complicar. De fato, novas cepas de malware DDoS, da família Mirai, já estão direcionando dispositivos IoT baseados em Linux – e tenderão a aumentar com o 5G. Enquanto isso, os serviços de DDoS por aluguel e os criadores de bots continuam a tornar mais fácil um hacker lançar um ataque direcionado letal.

O relatório da A10 Networks mostra a importância de uma estratégia completa de defesa contra DDoS. As empresas e as operadoras devem aproveitar a sofisticada inteligência de ameaças DDoS, combinada com a detecção de ameaças em tempo real, para se defender contra ataques DDoS, não importa de onde se originem. Métodos como extração automática de assinaturas e listas negras de endereços IP de botnets DDoS e servidores vulneráveis ​​disponíveis podem ajudar as organizações a se defenderem proativamente antes do início dos ataques.

Compartilhar: