A Check Point Software faz novo alerta para o aumento de ataques DDoS, incluindo no Brasil. Em novembro de 2023, os pesquisadores avaliaram as principais tendências do cenário moderno de DDoS, reforçando os riscos de tais ataques na web e como as empresas devem se proteger contra esses ataques cada vez mais complexos.
Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil, explica o porquê desse aumento dos ataques de DDoS com os setores financeiro e órgãos e instituições públicos sendo frequentemente alvos desses ataques.
“Observamos o crescimento do hacktivismo, ou seja, ataques de hackers em nome de ideologias e objetivos políticos. Os grupos hacktivistas querem causar caos, intimidar e mostrar seu poder. É importante para tais ataques atrair atenção, atacar símbolos, pessoas e instituições de alguma forma relacionadas ao motivo do ataque”, diz Falchi.
Os sites destas verticais são uma vitrine muito visível que, quando os atacantes quebram, os usuários “ouvem”. Muitas vezes os ataques têm origem especialmente dos grupos pró-russos NoName057(16) e Anonymous Sudan, os quais são seguidos por dezenas de milhares de pessoas no Telegram, e com cada ataque bem-sucedido o número continua a crescer.
Com maior frequência, desde 2023, vimos ataques projetados para intimidar o apoio à Ucrânia e em relação à guerra na Faixa de Gaza. É por isso que as organizações estatais em particular estão sendo visadas, mas também bancos ou até mesmo o ChatGPT. “Qualquer pessoa ou grupo que, por algum motivo, não compartilha as mesmas opiniões desses grupos de hackers, protagonizam ataques ao redor do mundo quase todos os dias.”
Falchi também explica que é muito difícil obter algum dado sensível por meio de um ataque DDoS. Em geral, isso apenas limitará a disponibilidade de um determinado site. O ataque DDoS em si não serve para roubar dados ou outras atividades de espionagem, mas apenas sobrecarrega e paralisa os serviços ou sites selecionados. No entanto, há a possibilidade de às vezes ser uma cortina de fumaça para distrair em relação a outros ataques muito mais graves.
Os pesquisadores da Check Point Software apontam três tendências principais que moldam os ataques DDoS. Na primeira, a mudança de hackers orientados financeiramente para grupos hacktivistas apoiados pelo Estado alterou significativamente o cenário geral. Os grupos patrocinados pelo Estado possuem muito mais recursos e organização, ampliando as suas capacidades para criar ferramentas de ataque sofisticadas, atingir um leque mais amplo de vítimas e operar com relativa impunidade.
Os atacantes também estão empregando novas ferramentas que permitem ataques maiores e mais complexos. Eles misturam vetores em ataques únicos, criando dificuldades para tecnologias e práticas tradicionais de mitigação. Por fim, os ataques DDoS visam cada vez mais a camada de aplicação, dificultando a detecção e a mitigação. A implementação de ferramentas avançadas de ataque DDoS na web tornou as defesas tradicionais menos eficazes contra essas táticas sofisticadas.
“Um grupo hacktivista pode utilizar uma botnet e inúmeros seguidores para direcionar um ataque a um alvo específico. A questão chave é como a vítima irá lidar com essa situação e se será capaz de enfrentar o ataque DDoS. Podemos comparar isso a um ambiente de e-commerce, em que um supermercado, que normalmente recebe acesso de 500 pessoas por hora, de repente se vê com 5 mil pessoas entrando no marketplace ao mesmo tempo. O tráfego poderá ser gerenciado se mais ‘caixas’ online forem abertas e os operadores do e-commerce direcionarem os ‘manifestantes’ para longe dos clientes regulares, permitindo que a loja virtual continue operando normalmente. Caso contrário, a loja pode colapsar e ser paralisada”, detalha Fernando de Falchi.
Os pesquisadores apontam ainda os sinais de identificação para saber se a organização está sob um ataque de DDoS:
Elevadas requisições por segundo (RPS)
É necessário ter atenção aos níveis de RPS. Ao longo do ano passado, a escala desses ataques continuou a atingir novos patamares. Ataques foram observados em vários milhões de RPS, alguns com ondas de horas de duração que duram dias. Qualquer solução baseada em limitação de taxa, bloqueio geográfico ou outros mecanismos semelhantes não serão capazes de diferenciar com precisão entre tráfego legítimo e de ataque nesta escala e acabará bloqueando usuários legítimos.
Tráfego criptografado
Os cibercriminosos podem aumentar o nível de dificuldade adicionando criptografia à alarmante escala e sofisticação desses ataques. A inspeção do tráfego torna-se difícil e exige muitos recursos à medida que as defesas tentam encerrar e descriptografar um impressionante número de RPS. A inspeção e mitigação pós-criptografia são pesadas e caras para serem mantidas, especialmente em números tão elevados.
Aparência legítima
Depois que a descriptografia é concluída, esses ataques DDoS da Camada 7 parecem ser solicitações HTTP/S legítimas e são constantemente randomizados (IPs dinâmicos e outros parâmetros). Nenhuma assinatura predefinida ou mecanismo baseado em regras pode ajudar porque essas solicitações “legítimas” não contêm nenhum argumento incorreto específico. Somente algoritmos baseados em comportamento com autoaprendizagem e autoajuste podem lidar com a detecção e mitigação desses ataques.
Randomizando técnicas de ataque
A natureza dinâmica destas novas ameaças não tem precedentes. Elas frequentemente alteram e randomizam métodos HTTP, cabeçalhos e cookies. Eles personificam serviços populares incorporados de terceiros, falsificam IPs e muito mais. Para a proteção contra esses ataques, as organizações precisam de soluções que pode se adaptar rapidamente em tempo real à campanha de ataque. Um padrão WAF local ou baseado em nuvem que se baseia principalmente nas assinaturas não serão capazes de acompanhar esses ataques aleatórios.
Assim, os pesquisadores da Check Point Software reforçam que o primeiro e importante passo a ser dado é reconhecer um ataque de DDoS. Em termos de tecnologia, soluções de segurança Cloud Web DDoS fornecem proteção em tempo real, de maneira automatizada e precisa contra ataques DDoS.
