Os ataques distribuídos de negação de serviço (DDoS) evoluíram de protestos sociais, passando por extorsão criminosa, cortinas de fumaça de ataques de hackers e supressão de concorrentes, até a vingança geopolítica. Todos estes factores coexistem atualmente, mas a vingança geopolítica agressiva domina agora.
Esta é a principal conclusão a ser tirada da revisão do quarto trimestre de 2023 da StormWall sobre ataques DDoS globais. StormWall, com sede em Bratislava, Eslováquia, oferece um serviço de proteção DDoS fornecido por meio de uma rede global de centros de limpeza.
O efeito da geopolítica é claramente visto no momento e no volume dos atuais ataques contra Israel. No terceiro trimestre de 2023, menos de 1% dos ataques globais tiveram como alvo Israel. Mas após o ataque do Hamas em 7 de Outubro de 2023, e a invasão retaliatória de Gaza pelos militares israelitas, este número saltou para 10,6% – com tamanho e durações variando de 1,2 Gbps a 135 Gbps, e de alguns minutos a 24 horas. No quarto trimestre de 2023, o pequeno Israel se tornou o quarto país mais atacado por DDoS no mundo, atrás da China (12,6%), EUA (12,2%) e Índia (11,7%).
Outras indicações de uma motivação geopolítica por trás dos ataques DDoS podem ser vistas nos alvos individuais. Os números da StormWall mostram que o governo (21% dos ataques), o retalho (17%), as telecomunicações (15%), as finanças (12%) e a energia (9%) são os cinco sectores mais atacados. Todas, excepto o retalho, poderiam ser descritas como infra-estruturas críticas convencionais e são alvos primários de qualquer atacante que pretenda infligir danos económicos e perturbação a um inimigo. Estas metas apoiam ainda mais a ideia de que o hacktivismo DDoS é agora em grande parte impulsionado pela vingança geopolítica.
O varejo é uma espécie de anomalia. Atacar lojas individuais ou cadeias de retalho perturbaria as empresas, mas não a economia. Compare o efeito económico com o de derrubar grandes áreas da Internet através da segmentação das telecomunicações.
Para o varejo, todos os números do quarto trimestre são perturbados pela temporada de férias, mas ainda é anômalo. StormWall postula a possibilidade de que os números de DDoS no varejo sejam afetados por vários ataques não geopolíticos: concorrentes excessivamente agressivos.
É impossível determinar os atores individuais por trás de um ataque DDoS sem a sua reivindicação pública de responsabilidade (Killnet?). Apenas o alvo está claro. No entanto, da mesma forma que os pesquisadores de malware detectam pistas que lhes permitem sugerir “com alguma confiança, acreditamos que o grupo nnn está por trás deste ataque”, os defensores de DDoS também podem apontar o dedo em direções gerais.
No caso do retalho, o CMO da StormWall, Daniil Korolev, disse à SecurityWeek que a monitorização do Exército de TI da Ucrânia (o maior grupo semi-visível de activistas geopolíticos do mundo) não mostra qualquer interesse geopolítico em visar o retalho. “Esses caras têm certos padrões em seus ataques. Através de um exame cruzado, podemos deduzir que eles têm quase zero interesse no varejo. Você pode ter certeza de que o varejo é atacado por concorrentes porque eles nunca são do interesse de um grupo hacktivista – eles simplesmente não são tão interessantes.”
Se não for a geopolítica, que motivações permanecem? As principais opções são criminosos por extorsão (a perda de vendas no comércio eletrónico durante a época festiva pode ser crítica) e concorrentes desleais.
Outras indicações do motivo da vingança podem ser vistas no domínio do governo como um sector de ataque e na rápida ascensão do sector da energia. Vinte e um por cento de todos os ataques foram contra o sector governamental, com um aumento anual de 162%. “Estes ataques, inicialmente centrados principalmente na Europa, espalharam-se agora para o Médio Oriente devido ao conflito Israel-Palestina”, afirma StormWall. Os objectivos europeus foram provavelmente uma resposta ao apoio do Reino Unido e da UE à Ucrânia, mas o foco mudou agora para Israel.
O sector da energia também registou uma escalada nos ataques – um aumento de 109% ano após ano, representando agora 9% de todos os ataques. O setor energético serve tanto como alvo como fonte de ataques DDoS. “Os invasores também têm como alvo dispositivos IoT usados em operações de usinas de energia para iniciar novos ataques de botnets”, alerta StormWall.
Oitenta e seis por cento de todos os ataques foram ataques HTTP/HTTPS, enquanto 9% tiveram como alvo TCP/UDP. No entanto, StormWall chama a atenção para o crescimento da lavagem de DNS (onde os invasores bombardeiam os servidores DNS com solicitações de subdomínios aleatórios) e dos ataques mDNS que exploram protocolos de rede local para amplificar os ataques.
Mais especificamente, a empresa observa: “Houve um aumento em botnets, amplificação de DNS e ataques multivetoriais. Notavelmente, os ataques DDoS HTTP hipervolumétricos exploraram a falha de redefinição rápida do HTTP/2.” A maioria dos ataques tem curta duração, durando menos de 30 minutos. Tais ataques são muitas vezes concebidos para testar as defesas do alvo, antes de um ataque maior ser lançado.
Ninguém está imune a um ataque DDoS. Embora a geopolítica domine a motivação do ataque, não é a única motivação. A indústria do entretenimento ainda está sujeita a extorsão criminosa. Os setores de retalho, finanças e logística registaram um aumento nos ataques durante períodos de compras importantes, como a Black Friday e a época de Natal e Ano Novo, “muitas vezes impulsionados por concorrentes”, sugere StormWall.
“Nossos dados do quarto trimestre de 2024 demonstram claramente a rapidez com que o cenário de ameaças pode evoluir em resposta a eventos globais”, alerta Ramil Khantimirov, CEO e cofundador da StormWall. “Se as infraestruturas online não estiverem preparadas agora, a configuração da proteção DDoS se tornará muito mais difícil quando forem atacadas.” A preparação para se defender contra DDoS é uma tática melhor do que a esperança.
* Notícia adaptada de: https://www.securityweek.com/ddos-hacktivism-is-back-with-a-geopolitical... . Autor: Kevin Townsend. Acesso em 09 de março de 2024.
