O que está causando o aumento? Motivação, oportunidade e novos recursos.

De acordo com a recente Pesquisa de Prevenção de DDoS dos EUA , mais de 50% dos tomadores de decisões de segurança de TI disseram que sua organização havia sido vítima de um ataque de negação de serviço distribuído (DDoS) até dez vezes no ano passado. Para aqueles que sofreram um ataque, mais de 40% duraram mais de 10 horas. Essa estatística se correlaciona com as descobertas do ATLAS  , que mostram que houve 7,5 milhões de ataques DDoS em 2017 – uma taxa, segundo a Cisco , que está aumentando aproximadamente na mesma taxa do tráfego da Internet.

O que há por trás do uptick? Tudo se resume a três fatores: motivação dos atacantes; a oportunidade apresentada por serviços de ataque baratos e fáceis de usar; e os novos recursos que os botnets da Internet das Coisas (IoT) têm.

Motivações Políticas e Criminais
Em um cenário cada vez mais politicamente e economicamente volátil, os ataques de DDoS se tornaram a nova ferramenta geopolítica para estados-nação e ativistas políticos. Ataques a sites políticos e serviços críticos de infra-estrutura nacional estão se tornando mais freqüentes, em grande parte devido ao desejo e à capacidade dos invasores de afetar eventos do mundo real, como processos eleitorais, enquanto permanecem não descobertos.

Em junho, um ataque DDoS foi lançado contra o site que se opõe a um candidato presidencial mexicano durante um debate. Esse ataque demonstrou como um estado-nação pode afetar eventos muito além das fronteiras do reino digital. Ameaçou a estabilidade do processo eleitoral colocando o site de um candidato offline enquanto o debate estava em andamento. Coincidência? Possivelmente. Ou talvez um exemplo do fenômeno que os especialistas em segurança chamam de ” reflexão cibernética ” , quando um incidente no mundo digital é espelhado no mundo físico.

Ataques DDoS realizados por organizações criminosas para obter ganhos financeiros também demonstram uma reflexão cibernética, particularmente para instituições financeiras globais e outras entidades supranacionais cujo poder as torna alvos principais, seja para atores estatais, ativistas descontentes ou criminosos cibernéticos. Embora a extorsão da ameaça do DDoS continue a ser uma grande ameaça para empresas de todos os setores verticais, os cibercriminosos também usam o DDoS como uma cortina de fumaça para desviar a atenção de outros atos nefastos, como exfiltração de dados e transferências ilegais de dinheiro.

Ataques facilitados
Em abril deste ano, o Webstresser.org – um dos maiores provedores de DDoS como serviço (DaaS) existentes, que permitia aos criminosos comprar a capacidade de lançar ataques a empresas e responsável por milhões de ataques DDoS em todo o mundo. globo – foi derrubado em uma grande investigação internacional . O site foi usado por um suspeito britânico para atacar uma série de grandes bancos de varejo no ano passado, causando centenas de milhares de quilos de danos. Seis membros suspeitos da gangue por trás do local foram presos, com computadores apreendidos no Reino Unido, na Holanda e em outros lugares. Infelizmente, assim que o Webstresser foi desativado, vários outros serviços semelhantes surgiram imediatamente para ocupar seu lugar.

Os serviços DaaS, como o Webstresser, são muito populares no mercado clandestino, e seus serviços costumam estar disponíveis a preços extremamente baixos. Isso permite que qualquer pessoa com acesso a moeda digital ou outro serviço de processamento de pagamentos on-line lance um ataque DDoS em um destino de sua escolha. O baixo custo e a disponibilidade desses serviços fornecem um meio de realizar ataques, tanto no calor do momento como após um planejamento cuidadoso.

As respostas baseadas em DDoS irracional, alimentadas pela raiva dos jogadores contra outros jogadores, são um bom exemplo de um ataque emocional impulsionado pela disponibilidade do DaaS. Em outros casos, as plataformas DaaS podem ser usadas em operações hacktivistas para enviar uma mensagem ou derrubar um site em oposição ao ponto de vista de alguém. A facilidade de acesso aos serviços DaaS permite que praticamente qualquer pessoa inicie um ataque cibernético com relativo anonimato.

Botnets
IoT Os dispositivos IoT são rapidamente trazidos ao mercado com o menor custo possível, e protegê-los é muitas vezes uma reflexão tardia para os fabricantes. O resultado? A maioria dos dispositivos de IoT do consumidor é fornecida com os tipos mais básicos de vulnerabilidades, incluindo credenciais de código rígido / padrão e suscetibilidade a estouros de buffer e injeção de comando. Além disso, quando os patches são liberados para resolver esses problemas, eles raramente são aplicados. Normalmente, um consumidor se conecta a um dispositivo de IoT e nunca contempla o aspecto de segurança, ou talvez não entenda a necessidade de aplicar atualizações e patches de segurança regulares. Com quase 27 bilhões de dispositivos conectados em 2017, espera-se que cheguem a 125 bilhões até 2030 de acordo com a análise da IHS Markit , eles são extremamente atraentes para os autores de malware.

No segundo semestre de 2016, foi observado um ataque DDoS de alta visibilidade contra um host / provedor de DNS, o que afetou várias propriedades on-line importantes. O malware responsável por este ataque e muitos outros foi o Mirai . Uma vez que o código-fonte do Mirai foi publicado em 30 de setembro de 2016, ele provocou a criação de uma série de outros botnets baseados em IoT, que continuaram a evoluir significativamente. Combinado com a proliferação de dispositivos IoT e sua inerente falta de segurança, testemunhamos um crescimento dramático tanto no número quanto no tamanho das botnets. Essas novas botnets oferecem a oportunidade para que atacantes e serviços DaaS criem novos ataques, mais poderosos e mais sofisticados.

Conclusão
Os ataques DDoS de hoje são cada vez mais multivetorizados e multicamadas, empregando uma combinação de ataques volumétricos em grande escala e infiltração invisível visando a camada de aplicativos. Esta é apenas a última tendência em um cenário em constante mudança, onde os invasores adaptam suas soluções e fazem uso de novas ferramentas e capacidades, na tentativa de evitar e superar as defesas existentes. As empresas precisam manter uma vigilância constante sobre as técnicas usadas para direcioná-las e evoluir continuamente suas defesas para as melhores práticas do setor.

 

Fonte: Dark Reading

Autor: Carlos Morales