Ataques DDoS no terceiro trimestre de 2020

Views: 206
0 0
Read Time:17 Minute, 19 Second

O Q3 foi relativamente calmo de uma perspectiva DDoS. Não houve inovações de manchetes, embora os cibercriminosos continuassem a dominar técnicas e desenvolver malwares já familiares para nós desde o último período de relatórios. Por exemplo, outra botnet DDoS se juntou ao ataque aos ambientes Docker. Os criminosos infiltraram-se no servidor alvo, criaram um contêiner infectado e colocaram nele o bot Kaiten (também conhecido como Tsunami), emparelhado com um criptominador.

A botnet Lucifer, que apareceu pela primeira vez no radar dos pesquisadores no último trimestre, e sabe tudo sobre ataques DDoS e mineração de criptomoedas, recebeu uma atualização, e agora infecta não apenas o Windows, mas também dispositivos Linux. Nos ataques DDoS, a nova versão pode usar todos os principais protocolos (TCP, UDP, ICMP, HTTP) e falsificar o endereço IP da fonte de tráfego.

Os entusiastas do Mirai complementaram sua criação com explorações para novas vulnerabilidades. Em julho, nossos colegas da Trend Micro contaram sobre uma variante da botnet que explorou o bug CVE-2020-10173 em roteadores Comtrend VR-3033, permitindo que seções da rede conectadas a roteadores vulneráveis sejam comprometidas. Então, em agosto, surgiram notícias de uma variante Mirai atacando produtos BIG-IP através da vulnerabilidade CVE-2020-5902. A família BIG-IP inclui firewalls, aplicativos de gerenciamento de carga e controle de acesso e sistemas de proteção contra fraudes e botnet. A vulnerabilidade pode ser usada para executar comandos arbitrários, carregar e excluir arquivos, desativar serviços e executar scripts JavaScript.

Sobre o tema dos ataques DDoS reais, o Q3 não foi tão agitado. Os mais dignos de notícia foram ataques de extorsão supostamente realizados por atores conhecidos por se esconderem atrás de vários grupos chamados APT: FancyBear, Armada Collective, Lazarus, entre outros. Os resgates enviam e-mails de resgate de bitcoin para organizações em todo o mundo, exigindo de 5 BTC a 20 BTC, e ameaçando um ataque DDoS poderoso e sustentado em caso de não pagamento. Depois disso, a vítima é inundada com lixo para demonstrar que as ameaças estão longe de estarem vazias.

Em agosto e início de setembro, várias organizações na Nova Zelândia foram atingidas, incluindo a Bolsa de Valores da Nova Zelândia (NZX), que foi retirada do ar por vários dias. Também entre as vítimas estavam o banco indiano YesBank, PayPal, Worldpay, Braintree e outras empresas financeiras. Outra onda DDoS de pedidos de resgate de bitcoin afetou uma série de ISPs europeus; no entanto, não se sabe ao certo se este foi o trabalho do mesmo grupo. No final de setembro, as empresas financeiras e de telecomunicações na Hungria foram abaladas por um poderoso ataque DDoS. De acordo com Magyar Telekom, o tráfego de lixo veio da Rússia, China e Vietnã. Se os cibercriminosos enviaram mensagens de resgate como parte do ataque é desconhecido.

No final de setembro, houve uma série de ataques DDoS em serviços públicos de rastreamento de voos. As vítimas incluíram o site sueco Flightradar24 e a plataforma britânica Plane Finder, que monitora a movimentação de aeronaves em tempo real. Esses serviços são muito procurados: os meeters e os recepcionistas podem verificar se um voo está na hora, e a mídia usa as informações ao relatar incidentes com aeronaves. Como resultado, os serviços funcionaram apenas intermitentemente, e suas contas no Twitter postaram mensagens de que um ataque havia ocorrido. Um tweet do Flightradar24, por exemplo, informou que o recurso sofreu nada menos que três ataques em um curto espaço de tempo. A empresa norte-americana FlightAware também relatou problemas de disponibilidade de serviços, mas não especificou se foi um ataque ou apenas um defeito.

O Q3 não foi sem ataques tradicionais à mídia. A emissora de TV russa Dozhd reportou um incidente com o DDoS em 24 de agosto. Ciberatores desconhecidos tentaram deixar o recurso offline durante as transmissões de notícias diurnas e noturnas. No início de setembro, os cibercriminosos atacaram a agência de notícias UgraPRO. De acordo com relatos da mídia, o tráfego de lixo se originou de endereços IP russos e estrangeiros a uma taxa de mais de 5.000 solicitações por segundo. No final de setembro, os portais de notícias Chronicles of Turkmenistão e Sputnik Armenia relataram ataques em seus sites.

Por fim, devido à pandemia coronavírus e às restrições relacionadas na Rússia, o Exame Estado Unificado, sentado por alunos da série final em escolas russas, foi adiado este ano para julho. Isso dificilmente poderia deixar de impactar o cenário do DDoS: no meio do mês, o Serviço Federal de Supervisão em Educação e Ciência (Rosobrnadzor) relatou uma tentativa de interromper o portal de resultados do exame. Felizmente, os resultados ainda não tinham sido enviados, então o ataque foi um esforço desperdiçado.

Mais ataques relacionados à escola foram previsíveis no início do ano letivo. Por exemplo, no Condado de Miami-Dade, Flórida, uma onda DDoS varreu os sites de instituições educacionais locais, interrompendo as aulas online. No entanto, um dos cibercriminosos juvenis encontrou-se com carma quase instantâneo: as escolas trouxeram o FBI, e em 3 de setembro o delinquente tinha sido preso. Os outros criminosos ainda estão sendo rastreados.

Sobre o tema do FBI, no segundo trimestre, a agência emitiu dois alertas anti-DDoS para empresas. Em julho, foi lançado um documento contendo uma breve descrição de novos métodos de amplificação,bem como recomendações para detectar ataques e medidas para preveni-los. E no final de agosto, publicou um relatório bastante detalhado sobre a atividade de extorsionistas DDoS, novamente com dicas para combater tais ataques.

No terceiro trimestre, observamos uma queda significativa em todos os indicadores em relação ao período de relatórios anteriores. Isso é mais provável devido à atividade anômparada de DDoS vista no 2º trimestre do que qualquer calmaria incomum neste trimestre, o que fica claro ao comparar o quadro atual com dados para o mesmo período de 2019: o total de ataques aumentou 1,5 vezes, enquanto o número de ataques inteligentes quase dobrou.

Quantidade comparativa de ataques DDoS, 2º trimestre/3 2020 e 3º trimestre de 2019. Os dados do 3º trimestre de 2019 são tomados como o valor de referência 100%(download)

Ao contrário do trimestre anterior, o 3º trimestre pode ser descrito como normal: estamos finalmente testemunhando o tradicional declínio de verão no mercado de ataque, o que não aconteceu em maio e junho. Esperávamos tal imagem no início de 2020, mas os números anormalmente altos do Q2 perturbaram o applecart. A normalização atual da atividade DDoS pode ser explicada por dois fatores:

  1. Estabilização global do mercado em meio à pandemia coronavírus. Já se passaram nove meses desde a introdução de medidas de quarentena, e a transição em massa para o trabalho remoto deixou de ser notícia. As empresas se adaptaram ao novo formato de trabalho, e os departamentos de TI têm furados na infraestrutura remota e reforçados nos principais. Como resultado, há menos alvos aptos para o ataque.
  2. Crescimento do mercado de criptomoedas. Por exemplo, o gráfico de preços do Ethereum (veja abaixo) mostra um salto claro no 3º trimestre. Mineração de criptomoedas e ataques DDoS são mercados concorrentes. Muitos botnets podem fazer ambos, e seus operadores escolhem onde direcionar recursos em qualquer momento específico, dependendo do rendimento potencial. No 3º trimestre, alguns botnets poderiam ter sido trocados para a mineração.

Dinâmica de preços do Ethereum de 13 de outubro de 2019 a 13 de outubro de 2020. Fonte: coindesk.com

Estatísticas trimestrais

Metodologia

A Kaspersky tem uma longa história de combate a ameaças cibernéticas, incluindo ataques DDoS de todos os tipos e complexidade. Especialistas da empresa monitoram botnets usando o sistema Kaspersky DDoS Intelligence.

O sistema DDoS Intelligence faz parte da solução Kaspersky DDoS Protection, e intercepta e analisa comandos enviados a bots de servidores C&C. O sistema é proativo, não reativo, o que significa que ele não espera que um dispositivo de usuário seja infectado ou um comando seja executado.

Este relatório contém estatísticas da DDoS Intelligence para o terceiro trimestre de 2020.

No contexto deste relatório, o incidente é contado como um único ataque DDoS apenas se o intervalo entre os períodos de atividade botnet não exceder 24 horas. Por exemplo, se o mesmo recurso da Web foi atacado pela mesma botnet com um intervalo de 24 horas ou mais, então isso é considerado como dois ataques. Solicitações de bot originárias de diferentes botnets, mas direcionadas a um recurso também contam como ataques separados.

A localização geográfica das vítimas de DDoS é determinada por seus endereços IP. O número de alvos únicos de ataques DDoS neste relatório é contado pelo número de endereços IP exclusivos nas estatísticas trimestrais.

As estatísticas da DDoS Intelligence estão limitadas às botnets detectadas e analisadas pela Kaspersky. Observe que as botnets são apenas uma das ferramentas usadas para ataques DDoS, e que esta seção não cobre todos os ataques DDoS ocorridos durante o período de revisão.

Resultados trimestrais

  • O TOP 3 em número de ataques e alvos permanece inalterado: China (71,20 e 72,83%), EUA (15,30 e 15,75%) e Região Administrativa Especial de Hong Kong (4,47 e 4,27%).
  • Os Países Baixos e o Vietnã são novos rostos no Top 10 por número de ataques.
  • Quanto ao ranking por número de metas, houve um declínio notável de interesse na Ásia: Hong Kong perdeu 2,07 p.p. e Cingapura 0,3 p.p., enquanto Japão e Coreia do Sul nem sequer se mostraram. A exceção é a China, onde a participação das metas subiu 6,81 p.p.
  • Após a retomada do 2º trimestre, o número de ataques no 3º trimestre caiu novamente. Além disso, a diferença entre os números de pico (323 ataques por dia) e anti-pico (1 ataque registrado) aumentou acentuadamente.
  • No 3º trimestre, observamos uma queda de duas semanas no final de agosto e início de setembro. Durante esse período, houve três anti-picos (31 de agosto, 1/7 de setembro) com um ataque por dia, e outros cinco dias com menos de 10.
  • As inundações de botnet DDoS foram as mais ativas às quintas-feiras, com um mergulho notável às sextas-feiras.
  • Embora o 3º trimestre fique muito atrás do 1º trimestre em termos de duração, houve dois ataques registrados de mais de 10 dias (246 e 245 horas), e o número de ataques com duração de 5 a 9 dias (12 ataques com duração de 121 a 236 horas) aumentou.
  • A distribuição de ataques por tipo não sofreu alterações: as inundações do SYN ainda são a principal ferramenta (94,6%), sua participação permanece praticamente inalterada desde o trimestre anterior. Os ataques do ICMP representaram 3,4%, enquanto as inundações de HTTP marcaram menos de 0,1% dos ataques.
  • Botnets Linux ainda dominam seus pares do Windows, representando 95,39% dos ataques (aumento de 0,61 p.p. no trimestre anterior).

Geografia de ataque

O terceiro trimestre de 2020 não trouxe surpresas em termos de distribuição geográfica dos ataques. O TOP 3 em número de ataques este ano é surpreendentemente estável: China (71,2%, aumento de 6,08 p.p. em relação ao 2º trimestre), EUA (15,3%, queda de 4,97 p.p.) e Hong Kong (4,47%, queda de 1,61 p.p.). Apesar de algumas flutuações, a enorme diferença entre a China e os EUA, e a participação notavelmente menor de Hong Kong, permanece inalterada. Vimos um estado de jogo semelhante no 3º trimestre de 2019.

Cingapura, Austrália e Índia subiram uma linha mais alta (da quinta para a quarta, da sexta para a quinta e da sétima para a sexta, respectivamente), derrubando a África do Sul da quarta para a oitava posição. A razão tem menos a ver com o aumento da participação de ataques nesses países, em vez da relativa calma na própria África do Sul: em julho-setembro, a participação dos ataques lá caiu 0,88 p.p. para 0,4%. Ao mesmo tempo, houve menos ataques registrados em Cingapura, em termos relativos, do que no período de relatório anterior: 0,85% dos ataques DDoS (-0,28 p.p.). As ações da Austrália e da Índia aumentaram aproximadamente o mesmo valor (+0,27 p.p. e +0,24 p.p., respectivamente), entregando uma participação de 0,65% para o primeiro e 0,57% para o segundo.

Em sétimo lugar no ranking, entre Índia e África do Sul, está a Holanda, ausente do TOP 10 desde o terceiro trimestre de 2019. No período de relatórios, o país foi responsável por 0,49% dos ataques.

O TOP 10 por número de ataques é arredondado pelo Vietnã e pelo Reino Unido. A participação de ataques no primeiro aumentou 0,23 p.p. contra o Q2, dando ao Vietnã um TOP 10 pela segunda vez este ano com 0,39% dos ataques (sua entrada anterior foi no início do ano). Quanto ao Reino Unido, permanece relativamente estável: de 0,18% dos ataques no 2º trimestre, sua participação subiu apenas ligeiramente, para 0,25%.

Distribuição de ataques DDoS por país, 2º e 3º trimestre de 2020 (download)

A distribuição geográfica dos alvos também mudou insignificantemente: apenas dois recém-chegados entraram no TOP 10, embora a reformulação do ranking do último trimestre seja mais acentuada do que na distribuição de ataques.

O TOP 3 permaneceu o mesmo do trimestre anterior: China, EUA, Hong Kong. A participação das metas na China continua a crescer — 6,81 p.p. em relação ao último período de relatórios, aproximando-se de três quartos de todas as metas registradas: 72,83%. Tendo perdido 3,57 p.p., os EUA ficaram com 15,75% das metas. Hong Kong perdeu 2,07 p.p., sua participação nas metas caiu para 4,27%.

O quarto lugar ficou com Cingapura. Apesar da redução do número de metas lá (queda de 0,3 p.p. para 0,74%), subiu um ponto, deslocando a África do Sul. Na quinta posição ficou o Vietnã com 0,5% das metas registradas (no período anterior, ficou em sétimo lugar). A já mencionada África do Sul ficou em sexto lugar com 0,47% das metas.

As duas posições seguintes, sétima e oitava, foram para um par de novatos: o Reino Unido (0,35%) e holanda (0,27%). Foi sua primeira inclusão no ranking desde o quarto e o 3º trimestre de 2019, respectivamente. Esses países europeus expulsaram o Japão da Ásia e a Coreia do Sul, que ocuparam as duas linhas inferiores nos 10 países do último trimestre em número de alvos. No 3º trimestre, essas linhas foram preenchidas pela Austrália (0,25%) e a Índia (0,23%), que anteriormente ocupava a sexta e a oitava posição, respectivamente.https://e.infogram.com/_/MbOnZVq8GQfq9xNMWBUA?parent_url=https%3A%2F%2Fsecurelist.com%2Fddos-attacks-in-q3-2020%2F99171%2F&src=embed#async_embed

Distribuição de alvos exclusivos de ataque DDoS por país, 3º e 4º trimestre de 2020 (download)

Dinâmica do número de ataques DDoS

O número de ataques neste trimestre variou significativamente. Por um lado, no pico de atividade, os operadores DDoS quebraram o recorde do período anterior: em 2 de julho, registramos 323 ataques (contra 298 em abril). Por outro lado, este trimestre teve alguns dias surpreendentemente calmos: 31 de agosto e 1/7 de setembro viram apenas um ataque registrado cada. No geral, o final de agosto e início de setembro foi bastante ameno: durante as duas semanas de 25 de agosto a 7 de setembro, o número de ataques ultrapassou 100 em apenas um dia (181 em 5 de setembro), e até oito dias registrados menos de 10.

Outra curiosidade é a diferença entre o pico e os indicadores mais próximos a ele. Nos últimos trimestres, não houve diferença significativa no número de ataques nos dias mais ativos de 2 a 3. O Q3 quebrou o molde: o próximo dia mais intensivo de ataque após 2 de julho – 13 de julho – marcou quase 20% menos ataques, 260 no total. Em média, houve aproximadamente 106 ataques por dia no 3º trimestre, o que é 10 a menos do que no trimestre anterior.

Dinâmica do número de ataques DDoS, 3º trimestre de 2020 (download)

Os dias mais e menos favorecidos dos cibercriminosos mudaram novamente neste trimestre. As quartas-feiras ativas foram substituídas por quintas-feiras ativas (19,02%), e sábados tranquilos por sextas-feiras tranquilas (10,11%). A diferença entre eles aumentou: 8,91 p.p. contra 4,93 p.p. no período de relatórios anterior. Isso se deve, em grande parte, à quinta-feira ser o dia mais ativo do trimestre.

Além de sábado e quinta-feira, a segunda-feira também aumentou sua participação nos ataques, embora não significativamente, enquanto os demais dias viram sua porcentagem cair em conformidade.

Distribuição de ataques DDoS por dia da semana, 2º e 3º trimestre de 2020 (download)

Duração e tipos de ataques DDoS

A duração média do ataque no 3º trimestre continuou a encurtar. Isso pode ser explicado pelo aumento da participação de ataques ultracurtos (desta vez por um significativo 5,09 p.p.). No entanto, ao contrário do período de relatórios anteriores, a participação de ataques longos (100-139 horas) diminuiu de forma considerável (por apenas 0,08 p.p.), enquanto a participação de ataques ultra-longos aumentou ligeiramente (em 0,18 p.p.). Enquanto no 2º trimestre, os ataques mais longos nem sequer chegaram a nove dias, neste trimestre registramos dois com duração superior a 10 dias (246 e 245 horas), e o número de ataques com duração de 5 a 10 dias aumentou 1,5 vezes.

Como tal, surgiu o seguinte quadro: a maior parte dos ataques (91,06%) durou até quatro horas; 4,89% duraram de 5 a 9 horas; 2,25% durou de 10 a 19 horas; 2,09% durou de 20 a 49 horas; 0,4% durou de 50 a 99 horas; e apenas 0,08% durou de 100 a 139 horas. Excepcionalmente, neste trimestre, o número de ataques com duração de 140 horas ou mais é realmente maior do que o número de ataques no suporte anteriormente, representando 0,23% do número total de ataques DDoS.

Distribuição de ataques DDoS por duração (horas), Q2 e 3º trimestre 2020 (download)

A distribuição de ataques de diferentes tipos é inalterada em relação ao último período de relatórios, assim como a participação do tipo mais comum — inundações do SYN: 94,6% no 3º trimestre contra 94,7% no 2º trimestre. As inundações do ICMP diminuíram ligeiramente (3,4% em relação aos 4,9% anteriores), mas não cederam suas posições. Os ataques de TCP representaram 1,4% do total registrado (aumento considerável de 1,2 p.p.); Os ataques de UDP representaram 0,6%, enquanto os ataques http foram tão poucos que sua participação nem sequer se estendeu para 0,1%.

Distribuição de ataques DDoS por tipo, 3º trimestre 2020 (download)

No terceiro trimestre, a participação das botnets do Windows continuou a cair: desta vez, seu número caiu 0,61 p.p. em relação ao trimestre anterior para 4,61%. A porcentagem de botnets Linux cresceu de acordo.

Proporção de ataques de botnet do Windows/Linux, 2º e 3º trimestre de 2020(download)

Conclusão

Se o 2º trimestre de 2020 nos surpreendeu com um número extraordinariamente alto de ataques DDoS para este período, os números do Q3 apontam para uma normalização. A julgar pelo número de metas únicas, em comparação com o último trimestre, os cibercriminosos foram mais atraídos pela Europa, e menos pelos países asiáticos, como o Japão e a Coreia do Sul, embora o interesse na China ainda seja alto e continue a crescer em termos de alvos únicos e de ataques. Observou-se crescimento no número de ataques curtos e ultracurtos, bem como em vários dias. O contraste acentuado entre o maior e o menor número de ataques por dia é curioso. Juntos, esses indicadores marcam o 3º trimestre de 2020 como um pouco contraditório do ponto de vista DDoS.

Vai ser interessante ver o que o Q4 tem na loja. Salvo grandes choques, esperamos ver indicadores comparáveis aos do final de 2019. Naquela época, após quase dois anos de crescimento, o mercado de DDoS mais ou menos se estabilizou.

O quarto trimestre é geralmente um momento quente devido ao frenesi de vendas de Natal e Ano Novo. Os números de fim de ano são tipicamente cerca de 30% maiores do que os do 3º trimestre. Esperamos ver um quadro semelhante este ano, embora, após o Q2 anormalmente ativo, seria imprudente fazer previsões de ferro fundido. Dito isto, se nada mais extraordinário acontecer neste ano mais do que extraordinário, não vemos razão para o mercado de DDoS experimentar uma oscilação significativa em qualquer direção no quarto trimestre.

FONTE: KASPERSKY

Previous post Dicas simples para manter seu Macbook seguro contra ameaças online
Next post Experian ameaçada com multa maciça do GDPR depois de agir ilegalmente

Deixe um comentário