Ciberguerra na nuvem: como os ataques DDoS foram mitigados em 2022

CLM e NSFOCUS analisam as principais ocorrências, tipos, tamanhos e novas investidas, barradas pelo cloud-based DDoS Protection System (DPS)

A CLM, distribuidor latino-americano de valor agregado com foco em segurança da informação, proteção de dados, cloud e infraestrutura para data centers, analisa o relatório sobre os ataques DDoS quanto à sua distribuição por taxa de bits, tipos, tendências de tráfego e os que surgiram, em 2022, realizado pela NSFOCUS, fornecedor global de soluções inteligentes de segurança híbrida.

É importante observar, avalia o vice-presidente internacional e de produtos da CLM, Gabriel Camargo, que o estudo foi feito a partir das investidas contra infraestruturas na nuvem de provedores de serviços ISP/IDC/Hosting, empresas, governos, setor de educação e provedores de conteúdo de internet, que aconteceram em 2022, e mitigadas pelo centro de operações de cibersegurança da NSFOCUS, com sua solução NSFOCUS cloud-based DDoS Protection System (DPS).

Relatório traz cenário real

“Portanto, estamos falando de um cenário real, que retrata a luta entre hackers x sistemas de defesa que efetivamente barram ataques DDoS“, comenta o executivo da CLM, que distribui as soluções da NSFOCUS.

1. A tendência de tráfego dos ataques DDoS, em 2022, manteve-se relativamente estável ao longo do ano, com investidas volumétricas de mais de 150 gigabits por segundo (Gbps), registrados todos os meses.
2. Dos ataques, ocorridos em 2022, 68,24% foram menores que 5 Gbps e 2,18% foram maiores que 100 Gbps.
3. No gráfico, abaixo, a NSFOCUS identificou os tamanhos dos ataques maiores que 1 Gbps distribuídos mês a mês e o quanto representa cada tamanho num determinado mês.

4. A NSFOCUS observou que o terceiro trimestre de 2022 registrou volumes recordes, respondendo por 30% do total de ataques maiores que 1 Gbps em todo o ano.

• A Transformação das Forças de Segurança no Gerenciamento de Crises: Uma Nova Abordagem
• Quando o Virtual se torna o Real
• Em crescimento constante, setor de galpões logísticos aquece mercado de segurança no Brasil
• Segurança Holística: Um Novo Olhar para a Proteção de Pessoas e Ativos
• As Principais Ameaças e Oportunidades em Segurança Empresarial

5. Ao analisar os tipos de ataque, mês a mês, a empresa observou que o UDP Flood ainda era predominante sido destacado em janeiro de 2022. O ACK Flood ficou em segundo lugar.

6. Os três picos, em termos de tamanho, aconteceram em abril de 2022, quando a NSFOCUS mitigou um ataque DDoS volumétrico em um pico de 309,4 Gbps, incluindo 302,2 Gbps SYN Flood, com eficiência de limpeza atingindo 99,87%.

7. Outro ataque DDoS volumétrico mitigado pela NSFOCUS atingiu um pico de 303,7 Gbps, incluindo 302,9 Gbps SYN Flood, com eficiência de limpeza de 99,73%.

E o terceiro ataque volumétrico contendo 271,6 Gbps UDP Flood atingiu o pico de 273,9 Gbps, mitigado pela NSFOCUS, com eficiência de limpeza de 99,19%.

8. Novos tipos de ataques em 2022

Ataque de amplificação de reflexão baseado em CVE-2022-26143 9.1.1

A NSFOCUS capturou o tráfego UDP Flood de um cliente e descobriu que a porta de destino era 10074, relacionada a explorações de vulnerabilidade descobertas recentemente. Neste incidente, o invasor que utilizou a reflexão/amplificação TP-240 pode lançar um ataque DDoS de alto impacto usando um único pacote. O exame do binário tp240dvr revela que, devido ao seu design, permite, teoricamente, que o invasor faça com que o serviço emita 2.147.483.647 respostas a um único comando malicioso. Cada resposta gera dois pacotes na rede, levando a cerca de 4.294.967.294 pacotes de ataque amplificados que são direcionados à vítima.

A mitigação do ataque

A NSFOCUS limitou o tráfego UDP para o grupo de proteção no qual o endereço IP do cliente estava contido. E capturou alguns pacotes quando o UDP Flood escapou do algoritmo de proteção, descobrindo que o UDP possuía informações de cabeçalhos HTTP em dados.

Camargo explica que esses pacotes são frequentemente usados para comunicações entre dispositivos IoT. “Os invasores podem usar a reflexão para fazer com que alguns dispositivos IoT na rede pública se tornem fontes de reflexão para ataques DDoS”, assinala.

Para mitigar os ataques, a NSFOCUS fez a correspondência de padrões executada no tráfego UDP e nos pacotes descartados começando com HTTP/1.1 no campo dados. Depois, trabalhou com o cliente para bloquear o tráfego na porta não comercial.

Todos os endereços IP no mesmo prefixo de rede do cliente foram atacados com UDP de 100 Mbps simultaneamente, afetando sua largura de banda. O invasor usou inúmeros dispositivos bot na rede pública para enviar um pequeno número de pacotes de dados UDP para vários endereços IP do segmento de rede de destino. Dessa forma, ficou muito fácil atingir o objetivo do invasor de ocupar a largura de banda alvo, pois o pequeno número de pacotes dificulta o acionamento do limite de proteção.

Como medidas de curto prazo, é preciso colocar o segmento IP da vítima em um grupo de proteção separado e usar um limite UDP mais baixo para limitar sua velocidade. E a recomendação no longo prazo é usar o NSFOCUS Threat Intelligence (NTI) para identificar e bloquear endereços IP na rede pública onde existem ataques de carpet bombing.

O estudo está disponível no link. Vale lembrar que todos dados vêm do Active Defense Business Operations System (ADBOS) da NSFOCUS.

Sobre a CLM

CLM é um distribuidor latino-americano, de valor agregado, com foco em segurança da informação, proteção de dados, infraestrutura para data centers e cloud. A empresa recebeu recentemente diversos prêmios: o de melhor distribuidor da América Latina pela Nutanix, qualidade e agilidade nos serviços prestados aos canais; o prêmio Lenovo/Intel Best Growth LA Partner pelo crescimento das vendas; o Prêmio Excelência em Distribuição 2022 da Infor Channel pelo compromisso da CLM com a excelência e busca incansável das melhores soluções e serviços aos canais e Destaque no atendimento aos Canais, pelo Anuário de Informática da Revista Informática Hoje.

Com sede em São Paulo, a empresa possui coligadas no Chile, EUA, Colômbia e Peru. Com extensa rede de VARs na América Latina e enorme experiência no mercado, a CLM está constantemente em busca de soluções inovadoras e disruptivas para fornecer cada vez mais valor para seus canais e seus clientes.

www.CLM.tech

Sobre a NSFOCUS

A NSFOCUS é uma empresa de cibersegurança de aplicativos e de internet com mais de 22 anos de experiência. Ela opera globalmente com mais de 5 mil funcionários em duas sedes (em Pequim, China e Santa Clara, CA, EUA) e conta com mais de 50 escritórios em todo o mundo. A NSFOCUS protege seis das dez maiores empresas globais de telecomunicações e quatro das cinco maiores instituições financeiras mundiais. Com suas plataformas de segurança em nuvem multi-tenant e distribuída, a NSFOCUS transfere efetivamente a segurança para o backbone da internet: operando em data centers em todo o mundo, o que permite que as organizações usufruam totalmente da promessa da computação em nuvem, fornecendo proteção e desempenho incomparáveis e rigorosos e capacitando seus parceiros para fornecer a melhor segurança como serviço de maneira inteligente e simples. O NSFOCUS oferece segurança DDoS e Web híbrida, no nível de operadora e holística, alimentada por inteligência de ameaças líder do setor. Para mais informações sobre NSFOCUS, visite http://www.nsfocusglobal.com.