Ciberguerra na nuvem: como os ataques DDoS foram mitigados em 2022

CLM e NSFOCUS analisam as principais ocorrências, tipos, tamanhos e novas investidas, que foram barradas pelo cloud-based DDoS Protection System (DPS)

Compartilhar:

A CLM analisou o relatório sobre os ataques DDoS quanto à sua distribuição por taxa de bits, tipos, tendências de tráfego e os que surgiram, em 2022, realizado pela NSFOCUS, fornecedor global de soluções inteligentes de segurança híbrida.

 

É importante observar, avalia o vice-presidente internacional e de produtos da CLM, Gabriel Camargo, que o estudo foi feito a partir das investidas contra infraestruturas na nuvem de provedores de serviços ISP/IDC/Hosting, empresas, governos, setor de educação e provedores de conteúdo de internet, que aconteceram em 2022, e foram mitigadas pelo centro de operações de cibersegurança da NSFOCUS, com sua solução NSFOCUS cloud-based DDoS Protection System (DPS).

 

Relatório traz cenário real

 

1.A tendência de tráfego dos ataques DDoS, em 2022, manteve-se relativamente estável ao longo do ano, com investidas volumétricas de mais de 150 gigabits por segundo (Gbps), registrados todos os meses.

 

2.Dos ataques, ocorridos em 2022, 68,24% foram menores que 5 Gbps e 2,18% foram maiores que 100 Gbps.

 

3.A NSFOCUS identificou os tamanhos dos ataques maiores que 1 Gbps distribuídos mês a mês e o quanto representa cada tamanho dentro de um determinado mês.

 

4.A NSFOCUS observou que o terceiro trimestre de 2022 registrou volumes recordes, respondendo por 30% do total de ataques maiores que 1 Gbps em todo o ano.

 

5.Ao analisar os tipos de ataque, mês a mês, a empresa observou que o UDP Flood ainda era predominante e foi destacado em janeiro de 2022. O ACK Flood ficou em segundo lugar.

 

6.A NSFOCUS também identificou os tipos de ataques de DDoS acima de 500Mbps.

 

7.Os três picos, em termos de tamanho, aconteceram em abril de 2022, quando a NSFOCUS mitigou um ataque DDoS volumétrico em um pico de 309,4 Gbps, incluindo 302,2 Gbps SYN Flood, com eficiência de limpeza atingindo 99,87%.

 

Outro ataque DDoS volumétrico mitigado pela NSFOCUS atingiu um pico de 303,7 Gbps, incluindo 302,9 Gbps SYN Flood, com eficiência de limpeza de 99,73%.

 

E o terceiro ataque volumétrico contendo 271,6 Gbps UDP Flood atingiu o pico de 273,9 Gbps, sendo mitigado pela NSFOCUS, com eficiência de limpeza de 99,19%.

 

8.Novos tipos de ataques em 2022

 

Ataque de amplificação de reflexão baseado em CVE-2022-26143 9.1.1

 

A NSFOCUS capturou o tráfego UDP Flood de um cliente e descobriu que a porta de destino era 10074, relacionada a explorações de vulnerabilidade descobertas há pouco tempo. Neste incidente, o invasor que utilizou a reflexão/amplificação TP-240 pode lançar um ataque DDoS de alto impacto usando um único pacote.

 

O exame do binário tp240dvr revela que, devido ao seu design, permite, teoricamente, que o invasor faça com que o serviço emita 2.147.483.647 respostas a um único comando malicioso. Cada resposta gera dois pacotes na rede, levando a cerca de 4.294.967.294 pacotes de ataque amplificados que são direcionados à vítima.

 

A mitigação do ataque

 

A NSFOCUS limitou o tráfego UDP para o grupo de proteção no qual o endereço IP do cliente estava contido. E capturou alguns pacotes quando o UDP Flood escapou do algoritmo de proteção, descobrindo que o UDP possuía informações de cabeçalhos HTTP em dados.

 

Camargo explica que esses pacotes são frequentemente usados para comunicações entre dispositivos IoT. “Os invasores podem usar a reflexão para fazer com que alguns dispositivos IoT na rede pública se tornem fontes de reflexão para ataques DDoS”, assinala.

 

Para mitigar os ataques a NSFOCUS fez a correspondência de padrões executada no tráfego UDP e nos pacotes descartados começando com HTTP/1.1 no campo dados. Depois, trabalhou com o cliente para bloquear o tráfego na porta não comercial.

 

Todos os endereços IP no mesmo prefixo de rede do cliente foram atacados com UDP de 100 Mbps ao mesmo tempo, afetando sua largura de banda. O invasor usou muitos dispositivos bot na rede pública para enviar um pequeno número de pacotes de dados UDP para vários endereços IP do segmento de rede de destino. Dessa forma, ficou muito fácil atingir o objetivo do invasor de ocupar a largura de banda alvo, pois o pequeno número de pacotes dificulta o acionamento do limite de proteção.

 

Como medidas de curto prazo, é preciso colocar o segmento IP da vítima em um grupo de proteção separado e usar um limite UDP mais baixo para limitar sua velocidade. E a recomendação no longo prazo é usar o NSFOCUS Threat Intelligence (NTI) para identificar e bloquear endereços IP na rede pública onde existem ataques de carpet bombing.

Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...