0
0
Com base nos endereços IP de origem dos bots, Cloudflare diz que quase 15% dos ataques tiveram origem na Indonésia e outros 17% na Índia e no Brasil
A empresa de segurança cibernética Cloudflare afirma ter detectado e mitigado um ataque distribuído de negação de serviço de 17,2 milhões de solicitações por segundo (rps), quase três vezes maior do que qualquer ataque HTTP DDoS relatado anteriormente.
O HTTP DDoS, também conhecido como HTTP Flood, é um tipo de ataque distribuído de negação de serviço (DDoS) no qual o invasor manipula solicitações indesejadas HTTP e POST para atacar um servidor ou aplicativo da web.
A Cloudflare observa que o ataque de tráfego se originou de mais de 20 mil bots em 125 países, no entanto, com base nos endereços IP de origem dos bots, quase 15% dos ataques tiveram origem na Indonésia e outros 17% na Índia e no Brasil combinados. A empresa de segurança afirma que pode haver muitos dispositivos infectados por malware nesses países.
Os ataques DDoS costumam ser travados como parte de campanhas de extorsão, com os hackers ameaçando escalar os ataques se o resgate não for pago.
“A Cloudflare atende a mais de 25 milhões de solicitações HTTP por segundo em média. Isso se refere à taxa média de tráfego legítimo no segundo trimestre de 2021. Com um pico de 17,2 milhões de rps, esse ataque atingiu 68% de nossa taxa média de rps do segundo trimestre de tráfego HTTP legítimo”, disse Omer Yoachimik, gerente de produto do serviço de proteção DDoS da Cloudflare.
Ainda segundo a empresa de cibersegurança, o ataque foi lançado por uma botnet que bombardeou a borda do Cloudflare com mais de 330 milhões de solicitações de ataque, visando um cliente da empresa do setor financeiro.
Yoachimik afirma que esse ataque é quase três vezes o tamanho de qualquer outro ataque DDoS HTTP relatado.
O relatório Cloudflare observa que essa botnet específica foi vista pelo menos duas vezes nas últimas semanas e na semana passada ele tinha como alvo um cliente Cloudflare diferente, um provedor de hospedagem, com um ataque HTTP DDoS que atingiu um pico pouco abaixo de oito milhões de rps.
O ataque foi registrado pelos sistemas de proteção DDoS da Cloudflare, que é alimentado por seu próprio daemon (programa que executa um processo em plano de fundo) de negação de serviço, um daemon definido por software desenvolvido internamente.
Ressurgimento do Mirai
Outro ataque que o Cloudflare descobriu foi cerca de duas semanas antes, quando uma botnet variante do Mirai lançou mais de uma dúzia de ataques DDoS baseados em UDP e TCP que atingiram o pico várias vezes acima de um terabyte, com um pico máximo de aproximadamente 1,2 Tbps.
“Enquanto os primeiros ataques HTTP visavam clientes da Cloudflare no serviço WAF/CDN, os ataques de camada de rede de 1,2 Tbps visavam clientes nos serviços Magic Transit e Spectrum”, afirma Yoachimik. “Um desses alvos era um grande provedor de serviços de internet, telecomunicações e hospedagem baseado na região da Ásia-Pacífico. O outro era uma empresa de jogos. Em todos os casos, os ataques foram detectados e mitigados automaticamente sem intervenção humana”, completa.
A botnet Mirai começou com cerca de 30 mil bots, depois encolheu para cerca de 28 mil. Apesar de perder bots de sua frota, a botnet foi capaz de gerar grandes volumes de tráfego de ataque por curtos períodos. Em alguns casos, essas explosões duraram apenas alguns segundos.
“Esses ataques se juntam ao aumento de ataques DDoS baseados no Mirai que observamos em nossa rede nas últimas semanas. Somente em julho, os ataques L3/4 Mirai aumentaram 88% e os ataques L7 em 9%. Além disso, com base na média diária de agosto de ataques do Mirai, podemos esperar mais ataques L7 Mirai e outros ataques de botnet semelhantes aumentem em 185% e os ataques L3/4 em 71% até o final do mês “, observa Yoachimik.
Mirai é um codinome para malware que foi descoberto pela primeira vez em 2016 pelo MalwareMustDie, um grupo de trabalho de pesquisa de segurança sem fins lucrativos. O malware se espalha infectando dispositivos operados por Linux, como câmeras de segurança e roteadores. Em seguida, ele se autopropaga procurando pelas portas Telnet 23 e 2323 abertas.
“Uma vez encontrado, o malware tenta obter acesso a dispositivos vulneráveis por força bruta de credenciais conhecidas, como nomes de usuário e senhas padrão de fábrica. Variantes posteriores do Mirai também aproveitaram explorações de dia zero em roteadores e outros dispositivos. Uma vez infectados, os dispositivos irão monitore um servidor de comando e controle para obter instruções sobre qual alvo atacar “, observa Cloudflare. Com sites e agências de notícias internacionais.
FONTE: CISO ADVISOR