Os ataques de Negação distribuída de Serviço (DDoS) tornaram-se um problema diário, ou até mesmo em alguns casos, um problema por hora. Usando uma variedade de técnicas, uma ampla gama de atores de ameaças, desde hackers solitários, gangues criminosas e hacktivistas, até estados-nação têm e estão usando ataques DDoS.
Esses ataques são realizados para degradar ou desativar o desempenho e as comunicações de rede dos sistemas de destino. Podem ameaçar pequenas e grandes empresas, provedores de serviços de internet, fabricantes, varejistas, prestadores de serviços de saúde, escolas e universidades, ou outros estados-nação. Essencialmente, qualquer entidade que tenha presença on-line pode se tornar um alvo DDoS.
Aqui está o porquê: Existem três razões principais pelas quais as pessoas criam botnets: Para ganhos financeiros por extorsão — “pague ou continuemos atacando”; para fazer um ponto — “pare (ou comece) fazendo algo ou continuamos”; ou, no caso de atores estatais,.como uma tática de espionagem ou guerra cibernética.
O que é um Botnet?
Os bots de uma botnet podem incluir computadores, smartphones, máquinas virtualizadas e/ou uma ampla gama de dispositivos de Internet das Coisas (IoT), como câmeras IP, smart TVs, roteadores, qualquer coisa que tenha conectividade com a internet e possa ser comprometida. Em particular, vulnerabilidades de IoT e configurações erradas são extremamente comuns no mercado consumidor, tornando muito fácil para os hackers criar uma botnet IoT. Além disso, as botnets, particularmente quando se tornam parte de uma botnet IoT, podem ser enormes; uma única botnet pode ser composta por centenas de milhares ou até milhões de dispositivos sequestrados.
O sequestro de dispositivos para uma botnet envolve encontrar dispositivos com vulnerabilidades de segurança para tornar possível ser infectado com "botware", malware a ser instalado no dispositivo. Mas os dispositivos infectados com botware não são a única coisa que uma botnet precisa.
Muitas fontes — incluindo a redação da Wikipédia — parecem estar confusas sobre o que constitui uma botnet. Embora a parte mais óbvia de uma botnet seja a coleção de dispositivos que ela inclui, o componente definidor é a existência de um sistema de comando e controle (C&C) que controla o que a rede de bots faz.
O botware em cada dispositivo comprometido se comunica com o sistema de comando e controle botnet e se torna parte de uma rede de bots. Impulsionados por comandos de um "botmaster" ou "incômodo"— a pessoa ou o grupo que controla os bots — alguns ou todos os dispositivos na botnet fazem o que forem solicitados a fazer.
Comando e Controle botnet
As primeiras comunicações entre os sistemas de comando e controle botnet e botware em dispositivos comprometidos foram baseadas no modelo cliente-servidor usando, por exemplo, o Internet Relay Chat (IRC) . O botware conectado a um canal IRC e aguardava por comandos. Cada bot também pode responder no mesmo canal com atualizações de status ou dados adquiridos remotamente. As alternativas ao IRC incluem o uso de conexões Telnet e solicitações HTTP para páginas web ou serviços personalizados. Vale a pena notar que algumas botnets usaram um sistema C&C hierárquico onde camadas de bots se comunicam de forma cliente-servidor com os bots na camada acima e retransmitem comandos para a camada abaixo deles.
As comunicações mais recentes de comando e controle de botnets são baseadas em conexões P2P (peer-to-peer). Neste modelo, dispositivos comprometidos se descobrem digitalizando faixas de endereços IP para encontrar serviços específicos de porta e protocolo e, quando outro membro da botnet é identificado, compartilhando listas de pares conhecidos e comandos retransmitidos. Este tipo de rede de malha altamente distribuída é obviamente mais complicado de criar, mas também muito mais difícil de interromper.
A Ascensão da Botnet IoT
Os dispositivos IoT incluem uma enorme gama de dispositivos comerciais e de consumo, como sistemas de medição de temperatura, smart TVs, câmeras IP, sinos inteligentes, sistemas de segurança, roteadores de rede e switches, e até brinquedos infantis. Apesar de haver uma enorme quantidade de comentários e avisos sobre vulnerabilidades de IoT, e correções bem compreendidas para melhorar sua segurança, defesas básicas como exigir senhas eficazes e não permitir logins padrão e contas de usuário ainda são ignoradas. Outra fonte de vulnerabilidades de IoT vem de fornecedores que não fornecem atualizações para resolver problemas de segurança e ou os proprietários de dispositivos não aplicarem atualizações.
O que os Botnets fazem?
Botnets são usados para quatro propósitos principais e, geralmente, uma botnet pode ser trocada como um todo ou em partes entre qualquer uma dessas funções.
Spam e Phishing
Um dos primeiros usos de botnets foi para gerar spam, e-mail comercial ou fraudulento não solicitado. Ao usar bots para este fim, os spammers evitam o problema de obter seus endereços IP em massa na lista negra e mesmo que alguns bots sejam colocados na lista negra, sempre haverá mais bots para usar.
Um uso mais direcionado de spam botnet é para phishing para roubo de identidade. Ao gerar enormes quantidades de mensagens de e-mail de spam convidando os destinatários a visitar sites promocionais, sites que parecem ser bancos ou outras instituições financeiras, entrar em competições, etc., os golpistas tentam coletar informações pessoais, como dados de contas bancárias, dados de cartão de crédito e logins de sites.
Fraude por clique
Para aumentar as receitas de anúncios no site — redes de publicidade como o Google pay-per-click em anúncios que os sites servem — as botnets são usadas para fingir a interação do usuário. Devido à natureza distribuída das fontes dos cliques, é difícil para as redes de anúncios identificar fraude de cliques.
Criptominamento
Ao executar os algoritmos que mineram criptomoedas como Bitcoin e Ether em dezenas de milhares de bots — uma botnet IoT é a plataforma perfeita. Assim, rouba a energia do computador do proprietário do dispositivo, e permite uma receita significativa sem os custos usuais de mineração, principalmente, o custo da eletricidade.
Ataques DDoS como serviço
Os ataques de Negação distribuída de Serviço são facilmente lançados usando botnets e, como acontece com o spam gerado pela botnet, a natureza distribuída dos bots dificulta a filtragem do tráfego DDoS. Botnets podem executar qualquer tipo de ataque DDoS e até mesmo lançar vários tipos de ataque simultaneamente.
Um negócio de hackers relativamente novo é o DDoS-as-a-Service. Na Dark Web e agora, mesmo na web regular, você pode comprar ataques DDoS por apenas US $ 5 por hora; o preço depende da escala e duração necessárias do ataque.
Uma história muito breve de botnets
Sem dúvida, o primeiro botnet de internet verdadeiro foi Bagle, descoberto pela primeira vez em 2004. Bagle era um worm do Windows que retransmitia spam enviado de um botmaster. Enquanto a primeira versão, chamada Bagle.A, foi de sucesso limitado, a segunda versão, Bagle.B infectou algo como 230.000 computadores. No Dia de Ano Novo de 2010, o malware foi responsável por cerca de 14% de todo o spam. Em abril de 2010, Bagle enviava aproximadamente 5,7 bilhões de mensagens de spam por dia. Como a maioria dos malwares, outros hackers copiaram e melhoraram o código com mais de 100 variantes encontradas na natureza até 2005.
Desde então, sem dúvida, a primeira botnet a lançar um ataque DDoS foi aKbot em 2007. O botnet Akbot foi criado por um jovem de 18 anos na Nova Zelândia. Ele usou um sistema C&C baseado no IRC e no seu auge envolveu 1,3 milhão de computadores.
Com o tempo, os ataques de botnet tornaram-se comuns e a maior botnet conhecida até hoje, a botnet russa BredoLab, consistia em 30.000.000 dispositivos.
O futuro dos ataques botnet e DDoS
Botnets estão aqui para ficar. Dado o crescimento exponencial de dispositivos IoT mal protegidos que podem ser cooptados em uma botnet IoT, bem como a crescente população de computadores vulneráveis, os ataques de botnet tornaram-se endêmicos. Como uma ferramenta de guerra cibernética, os ataques botnet e DDoS foram observados em ambos os lados da operação russa contra a Ucrânia.
Quem trabalha com organizações governamentais ou empresas privadas, deve estar planejando como vai lidar com um ataque botnet e DDoS. O primeiro passo é perceber que nenhuma propriedade ou serviço on-line é muito grande ou pequeno demais para ser atacado.
Em segundo lugar, planejar o aumento da largura de banda idealmente em uma base conforme necessário. A capacidade de aumentar sua conexão com a internet tornará mais difícil para um ataque botnet e DDoS saturar seu acesso e cortá-lo da internet. A mesma estratégia de provisionamento elástico se aplica ao uso de serviços em nuvem em vez de depender de serviços de data center on-prem ou single.
Em seguida, considerar usar ou expandir o uso de uma rede de entrega de conteúdo para aumentar a largura de banda de entrega do lado do cliente. O uso de vários CDNs também aumenta sua resistência aos ataques DDoS.
Finalmente, consolidar tudo. Implantar estrategicamente os serviços de mitigação de hardware e software DDoS em toda a sua infraestrutura é fundamental para que os ataques botnet e DDoS tenham impacto mínimo.
Se quiser saber mais formas de se proteger de ataques cibernéticos,nós podemos realizar uma apresentação e até mesmo uma demonstração da solução. Para isto basta realizar contato através do e-mail contato@asg.com.br, via telefone (51) 3533-8417, Whatsapp: (51) 99340-7861, ou então em nosso site.
Acompanhe a nossa página no Instagram e fique por dentro das novidades.