Revisão do ano de 2021: Negação de serviço
This post is also available in:
Inglês 
Francês 
Alemão 
Italiano 
Espanhol 
Russo
2021 foi um ano turbulento para o setor de segurança. Além da pandemia de COVID ainda em curso, os agentes de ameaças continuaram a evoluir em um ritmo alarmante ao longo do ano, levando os limites do cenário atual a novos limites e deixando muitos se perguntando se nós, como indústria, poderíamos dar conta do complexo criminoso cada vez maior e mais dotado de recursos.
Vimos operações criminais e ofensivas lançadas com pouco sucesso ao longo do ano passado. Também vimos os agentes de ameaças aprenderem com erros anteriores e se tornarem menos ativos nas principais plataformas de mídia social. Houve também avanços notáveis no cenário de negação de serviço de resgate, e uma parceria crescente entre operadores de Ransomware e operadores de DDoS. E, como sempre, vimos novos recordes de DDoS estabelecidos este ano.
Aplicação da lei em 2021
Este ano, quando se trata de negação de serviço, a aplicação da lei e as operações ofensivas contra os agentes de ameaças tiveram um impacto mínimo no cenário de ameaças DDoS. Por exemplo, este ano, o Serviço Secreto da Ucrânia (SSU) prendeu um homem que estava criando e executando uma botnet com mais de 100.000 nós infectados. A polícia holandesa enviou cartas de notificação para 29 residências holandesas avisando que eles haviam sido identificados como usuários de um serviço do tipo DDoS-for-Hire. O Departamento de Justiça dos Estados Unidos acusou um cidadão turco de realizar ataques DDoS por meio de uma botnet baseada em smartphone Android, o WireX.
De modo geral, podemos pensar que as forças policiais e as operações com base em ataques seriam um impedimento suficiente para diminuir a maré crescente de operadores de DDoS, mas estaríamos errados. No terceiro trimestre de 2021, a Radware informou que havíamos mitigado 75% mais ataques DDoS nos primeiros nove meses de 2021 do que em 2020. No entanto, isso era esperado, pois nossos pesquisadores observaram um aumento nos serviços DDoS-for-Hire durante o início da pandemia em 2020, apesar das inúmeras tentativas das autoridades policiais de impedir o crescimento do cenário de ameaça DDoS no ano anterior.
A questão central é o lucro. Há muito dinheiro envolvido para que os agentes de ameaças se afastem do cenário DDoS neste momento. Hoje, quando um operador DDoS é removido do cenário de ameaças, outros operadores simplesmente tomam seu lugar.
Passando despercebidos
Para aqueles que não são motivados pelo lucro, principalmente hacktivistas, houve algumas lições aprendidas no passado, pois novos grupos começam a mudar seus procedimentos em 2021. Por exemplo, o grupo de ameaças DragonForce, que realizou vários ataques cibernéticos contra Israel na primavera e no verão de 2021, se afastou das plataformas de mídia convencionais e criou seu fórum para conduzir suas operações.
Essa foi uma mudança interessante neste ano, mas que já era esperada. No início de 2021, até mesmo o submundo do crime começou a ter dificuldades para lidar com operadores descarados e afiliados de ransomware que conduziam negócios abertamente em fóruns públicos, semelhante ao modo como os hacktivistas organizavam e conduziam campanhas DDoS em plataformas de mídia social. Consequentemente, os agentes de ameaças foram censurados ou proibidos de participar desses fóruns mal-intencionados.
Parece que, em 2021, os grupos hacktivistas aprenderam a se afastar dos olhos do público, a se autochefiar e executar suas plataformas sem serem percebidos e sem medo de serem ‘desospedados’. Dessa forma, essas lições aprendidas tornarão mais difícil para um analista rastrear os agentes de ameaças, à medida que as conversas se afastam de uma plataforma centralizada para terminar em vários locais de fóruns especializados desconhecidos na Internet.
[Você também pode se interessar por: Cyber 2022 Predictions About Open Banking] (Previsões do Cyber 2022 sobre o Open Banking)
RDoS em ascensão
No início de 2021, a Radware publicou um alerta sobre um grupo de negação de serviço de resgate (RDoS) voltado para as vítimas anteriores que foram alvo durante o verão de 2020. Nas novas cartas de RDoS, o grupo afirmou que as organizações alvo não responderam ou não pagaram o pedido de resgate da campanha original em agosto de 2020 e posteriormente seriam alvo de um ataque DDoS se não fossem pagas.
Embora esse evento tenha sido notável, foi apenas o início do que se tornaria um ano impressionante, em se tratando de ataques RDoS. Em junho de 2021, durante um episódio do Radware Threat Research Live, enquanto discutia a campanha Fake DarkSide direcionada ao setor de Energia e Alimentos, eu previ que em breve veríamos grupos RDoS aproveitando os nomes de grupos de ransomware. Três meses depois, uma onda de ataques RDoS começou a ter como alvo os provedores de VoIP. Especificamente, durante o ataque ao VoIP.ms, os agentes de ameaças se autodenominavam REvil, um notório grupo de ransomware que havia acabado de retornar ao cenário de ameaças depois de desaparecer completamente após o ataque de ransomware do Kaseya VSA.
As maiores campanhas de RDoS que têm como alvo vários provedores de VoIP, como VoIP.ms, Voipfone, VoIP Unlimited e Bandwidth.com, se mostraram preocupadas, pois a infraestrutura crítica foi impactada, resultando em um aviso do Comms Council UK em todo o setor, afirmando que havia atualmente uma “campanha internacional coordenada focada em extorsão por cibercriminosos profissionais” visando prestadores de serviços de comunicação baseados em IP durante o mês de outubro. Embora no passado os ataques RDoS tenham sido considerados uma ameaça de baixo nível e fácil de mitigar, estima-se que uma das vítimas, a Bandwidth.com, deve perder até US$ 12 milhões após uma tentativa de extorsão DDoS que enfrentou como resultado do tempo de inatividade do serviço. Sinalizando que as ameaças RDoS estão evoluindo.
Uma terceira onda significativa de ataques RDoS também foi observada no final do ano, ao mesmo tempo em que a indústria de VoIP estava sob ataque. Esse evento foi uma campanha RDoS visando vários provedores de e-mail, como Runbox, Posteo e Fastmail. Uma das observações mais notáveis dessa campanha foi que o grupo que se autodenominava “Patriarca Amaldiçoado” estava exigindo cerca de US$ 4.000. Semelhante ao valor solicitado durante as campanhas RDoS que originalmente tinham como alvo os provedores de e-mail em 2015.
Indo para 2022, espero que o cenário RDoS continue evoluindo e acabe se fundindo com o cenário maior de ameaças de ransomware.
Juntando forças; Ransomware + DDoS
Se você estiver se perguntando qual é a diferença entre Ransomware e um ataque RDoS, não se preocupe. Pode ser confuso. Felizmente, o diretor de inteligência de ameaças da Radware, Pascal Geenens, escreveu recentemente um blog sobre a diferença entre os dois. Para recapitular, os ataques de Ransomware aproveitam um malware com bloqueio por criptografia que destrói sistemas e torna os dados inacessíveis até que um resgate seja pago. Um ataque RDoS é um pouco diferente. Um ataque RDoS aproveita um ataque de negação de serviço para causar degradação do serviço ou interrupções na rede para extorquir suas vítimas.
O problema? Os operadores de ransomware agora estão começando a empregar operadores de DDoS como parte do que agora é conhecido como extorsão tripla. Um ataque de ransomware de extorsão única é apenas a criptografia de dados no dispositivo alvo. Um ataque de ransomware de extorsão dupla envolve a exfiltração dos dados criptografados com a ameaça de publicação, se um pedido de resgate não for pago. A extorsão tripla é quando um operador de Ransomware usa ataques de negação de serviço contra a rede de destino para trazer os negociadores de volta à mesa. Em 2020, operadores de Ransomware, como SunCrypt e RagnarLocker, usaram ataques de negação de serviço durante as negociações. Em 2021, vimos a inclusão de Avaddon, Darkside, Yanluowang e HelloKitty usando ataques de negação de serviço durante suas campanhas de ransomware.
Desenvolvimento de botnets
No mundo das botnets DDoS, houve algumas quedas e desenvolvimentos significativos no cenário de ameaças este ano. Por exemplo, no início de 2021, muitos pesquisadores de IoT acompanharam atentamente os desenvolvimentos relacionados a uma botnet P2P conhecida como Mozi. A 360 Netlab foi a primeira a divulgar a botnet em 2019; desde então, a botnet cresceu de uma pequena botnet para uma ameaça avançada multimódulos. Mas no verão de 2021, a 360 Netlab anunciou que Mozi estava morto devido à prisão do operador na China. Embora isso seja uma ótima notícia, a maioria percebe quanto tempo levará para que esta botnet realmente morra. Embora não receba mais atualizações, ela continuará se espalhando por algum tempo devido à sua arquitetura e design. Semelhante ao longtail da botnet XTC/Hoaxcall, provavelmente levará anos para desaparecer. Infelizmente, não é possível derrubar algo como uma botnet P2P em uma única ação. A única maneira dessa botnet morrer e desaparecer oficialmente é quando todos os dispositivos de rede alvo forem reinicializados, atualizados ou substituídos.
Outra botnet que ganhou atenção significativa ao longo de 2021 foi a botnet Mange/Dark.IoT. Essa botnet também foi observada pela Juniper e pela Palo Alto Networks ao longo do ano. A botnet Mange/Dark.IoT não revelou nada de extraordinário quando analisada. É uma botnet de IoT típica baseada em Mirai que mantém seu principal vetor de ameaças, os ataques DDoS, e não diversifica suas operações para mineração de criptografia ou roubo de dados. A única coisa que se destacou para o setor de segurança sobre esta ameaça foi a capacidade do operador de evoluir e expandir rapidamente seus recursos de botnets, incorporando explorações recentemente divulgadas em seu arsenal. Por exemplo, em março de 2021, pesquisadores da Unit42 na Palo Alto Networks relataram que os operadores por trás dessa botnet aproveitaram o CVE-2021-27561 e o CVE-2021-27562 poucas horas após a divulgação da vulnerabilidade.
A campanha Mange/Dark.IoT deste ano também forneceu aos pesquisadores várias oportunidades para explorar as tentativas e erros que os agentes de ameaças enfrentam ao construir e desenvolver uma botnet DDoS. Um dos aspectos mais desafiadores da construção de uma botnet em larga escala é competir com outros agentes de ameaças por recursos vulneráveis. Aqueles que não podem desenvolver ou descobrir explorações dependem da divulgação pública. Depois que um PoC é publicado, começa uma corrida para ser o primeiro a aproveitar a exploração e reunir o maior número possível de dispositivos vulneráveis. Esse processo é de tentativa e erro, e alguns agentes de ameaças nem sempre resolvem como aproveitar adequadamente as vulnerabilidades, enquanto aqueles que o fazem podem descobrir que a tentativa não valeu seu tempo e esforço. Em 2021, os operadores por trás das botnets Mange/Dark.IoT aproveitaram quase duas dúzias de explorações. Mais recentemente, em dezembro de 2021, a botnet foi vista tendo como alvo os roteadores TP-Link.
Ataques DDoS notáveis
Francamente, estou chocado que ninguém tenha reivindicado nenhum desses ataques DDoS recordes que estou prestes a abordar. Não faz muito tempo que hacktivistas e criminosos de DDoS rapidamente reivindicavam seus ataques, ou os ataques de outros…, nas mídias sociais. Mas hoje, o silêncio é de ouro com os agentes de ameaças. Temos visto continuamente ataques DDoS recordes, um após o outro este ano, sem um pio da clandestinidade. Em alguns eventos, operadores de Ransomware, como Lockbit, foram a fóruns clandestinos para perguntar quem lançou um ataque e se a botnet ou serviços deles estavam disponíveis. Com esse novo tratamento silencioso, tornou-se cada vez mais desafiador rastrear atividades criminosas, mas uma coisa é clara, os bandidos têm canhões DDoS maiores hoje em dia.
Por exemplo, em agosto de 2021, a Cloudflare relatou ter detectado um recorde mundial, 17,2 Mrps, milhões de solicitações por segundo, ataque que teve origem em 20.000 bots baseados em 125 países. Menos de um mês depois, a Qrator relatou a detecção de um ataque recorde semelhante que produziu 21,8 Mrps de quase 56.000 dispositivos MikroTik. Esses ataques maciços de DDoS duraram apenas cerca de 60 segundos, deixando muitos pesquisadores se perguntando quem e o que estava por trás desses ataques.
Como os primeiros relatórios indicaram, acredita-se que a Meris seja responsável por esses dois ataques. A Meris é relatada como uma botnet de IoT de grande escala que aproveita roteadores MikroTik comprometidos e pipelines HTTP para lançar ataques DDoS volumétricos curtos, mas em grande escala, por meio de uma rede de proxies SOCKS.
Um mês após os ataques originais da Meris, a Microsoft informou que havia detectado e mitigado um ataque DDoS de 2,4 Tbps, Terabits por segundo, direcionado a um cliente do Azure na Europa. Diz-se que a fonte do ataque era proveniente de quase 70.000 bots de vários países da região da Ásia-Pacífico, semelhante aos relatórios da Meris. Assim como nos outros ataques, este também foi de curta duração, com sua explosão principal durando apenas 60 segundos.
Embora ainda haja dúvidas sobre a Meris e sua origem, esses ataques destacam o cenário de ameaças crescente e em constante evolução em torno dos ataques DDoS. Em 2022, prevejo que veremos a progressão e a evolução do cenário de ameaças, resultando em ataques DDoS mais significativos, à medida que os agentes de ameaças aprendem a maximizar os recursos de seus bots e permanecem em silêncio sobre seu trabalho.
O que esperar do futuro
Olhando além da Meris e de todos os outros avanços deste ano, podemos ver que, no início de 2022, os ataques DDoS nunca vão desaparecer do cenário de ameaças. Embora muitos desconsiderem a ameaça como trivial ou os agentes como deslizes de baixo nível, eles descobrirão rapidamente, no novo ano, que os ataques não precisam ser complexos para serem eficazes.
Avançando em 2022, espero que as coisas comecem a se normalizar para a sociedade, mas, na verdade, precisamos começar a nos preparar para um futuro totalmente remoto e digitalmente dependente. Para dar suporte a esse futuro, os governos de todo o mundo, em parceria com o maior complexo de segurança, precisam encontrar uma forma melhor de combater, com sucesso, os agentes de ameaças e aprender a controlar o cenário de ameaças. Só então seremos capazes de dar conta de um inimigo com bons recursos.
