Os ataques DDoS continuam a crescer em quantidade, frequência e sofisticação. As armas de DDoS botnet permanecem populares, porém o malware ganha novas maneiras de infectar sistemas de IoT – Internet das Coisas e recrutá-los como drones. Ataques de amplificação refletida ajudam hackers a intensificar o impacto dessas ações.
O relatório Q2 2020: The State of DDoS Weapons, realizado por especialistas em segurança da A10 Networks, mostra o cenário detalhado dos métodos e a distribuição dos ataques. Durante o 2º trimestre de 2020, os pesquisadores de ameaças da A10 monitoraram os agentes de ataque sob o controle do comando do DDoS botnet, e descobriram inovações de malwares por meio de implantação de honeypots e varreram a Internet em busca de fontes expostas de ataques de amplificação refletida.
A equipe de pesquisa da A10 também avaliou sistemas com potencial para se transformarem em bots de ataque, refletores ou amplificadores, avaliando as chances dessas máquinas serem comprometidas com base na sua disponibilidade na internet e potenciais fragilidades. Aproximadamente 10 milhões de endereços IP (unique source) estão sendo rastreados.
Portmap é o primeiro lugar para armas usadas em ataques DDoS
Adicionado pela primeira vez ao programa de pesquisa de ameaças da A10 Networks, o Portmap saltou para a primeira posição no relatório com 1.818.848 armas DDoS rastreadas no 2º trimestre de 2020. SNMP e SSDP seguem de perto com quase 1,7 milhão de armas DDoS rastreadas cada – embora sejam a ameaça mais perigosa em virtude do seu fator de amplificação e dificuldade de mitigação. O relatório completo também inclui dados sobre a prevalência de armas DNS Resolver e TFTP DDoS.
Embora os relatórios anteriores de inteligência de ameaças da A10 Networks tenham classificado nações como China, Coréia, Rússia e Índia como as principais fontes de ataques DDoS, a adição do Portmap colocou os Estados Unidos no topo da lista com quase 1,6 milhão de armas DDoS — cerca de 200.000 a mais do que a China, em segundo lugar. Essas armas podem ser usadas em ataques DDoS baseados em Portmap, onde os servidores que executam o protocolo Portmaper baseado em UDP são explorados para uso em ataques de amplificação refletida que acionam um número muito maior de respostas do servidor do que as solicitações iniciais.
As armas DDoS são frequentemente hospedadas por um ASN, uma coleção de intervalos de endereços IP sob o controle de uma única empresa ou operador governamental, um método que permite que um grande número de armas permaneçam conectadas à rede e ataquem outros sistemas. Dois dos cinco principais ASNs que hospedam armas DDoS, China Telecom e China Unicom CN, estão baseados na China, enquanto um terceiro, Chungwha Telecom, opera em Taiwan. A única ASN com sede nos EUA entre as cinco principais, Charter Communications, ocupa a segunda posição com 477.926 armas hospedadas.
Tirando proveito da inteligência para proteção contra DDoS
Apesar da frequência e sofisticação do DDoS, as equipes de segurança, por meio das informações sobre o ponto de origem de uma arma, podem criar listas negras de endereços IP suspeitos de hospedar botnets DDoS e servidores potencialmente comprometidos. Combinada com a detecção de ameaças em tempo real e extração automatizada de assinaturas, essa estratégia pode ajudar as empresas a evitar até mesmo os ataques DDoS multivetoriais mais massivos.
