Por que vários tipos de ataques utilizam o DDoS como porta de entrada?

Raphael Tedesco, gerente de novos negócios da NSFOCUS
Raphael Tedesco – Imagem: divulgação / NSFOCUS / Comunicatio

Os ataques de negação de serviço distribuído (DDoS) já são uma arma indispensável para paralisar sistemas de rede em meio à guerra cibernética que vivemos. Ofensivas como HTTP/2 Rapid Reset e SLP, surgem constantemente. Em meio ao cenário, tanto criminosos, quanto defensores, lutam diariamente por inovação a fim de descobrir novas estratégias para sair ganhando.

O DDoS não é mais limitado aos ataques tradicionais à camada de rede. Eles se estendem à camada de aplicação e de reflexão. Por meio de novas mídias, como dispositivos IoT e servidores virtuais privados, os hackers seguem aumentando a complexidade dos ataques, e tornam a detecção e a resposta cada vez mais difíceis.

Como exemplo recente temos a guerra entre Israel e a Faixa de Gaza, na qual os grupos cibercriminosos que utilizaram o DDoS não agiram de forma independente. Àqueles com interesses comuns se uniram em prol de interesses partilhados para aumentar o poder ofensivo frente ao conflito.

O ataque deixa de ser o esgotamento direto de recursos para uma estratégia inteligente. Isso significa que o invasor pode selecionar ou predefinir de forma adaptativa o caminho da estratégia de acordo com o ambiente do alvo e ajustar o modo e o comportamento mais adequados.

Diferentemente das ferramentas de ataque iniciais, os inteligentes não executam apenas as etapas em uma sequência predeterminada, como também ajustam dinamicamente a estratégia de acordo com a situação em tempo real, de modo a economizar recursos e contornar os mecanismos tradicionais de detecção e defesa, maximizando o efeito do ataque.

Um ataque DDoS inicial pode servir apenas como um reconhecimento para conservar os recursos e preparar o terreno para ofensivas subsequentes mais precisas. Na escala de utilização de meios, após hosts e botnets, os invasores têm como preferência servidores em nuvem dedicados – Servidores Virtuais Privados (VPS), originalmente projetados para permitir que pequenas empresas criassem aplicativos de alto desempenho a um custo menor, como fonte para gerar o ataque.

Durante muito tempo, grandes botnets se fundamentaram principalmente em dispositivos IoT, como roteadores, impressoras e câmeras, para realizar ofensivas. No entanto, com o poder de processamento limitado e a necessidade do tráfego gerado por centenas de milhares ou milhões de unidades para danificar um alvo, os invasores expandiram o uso para os VPNs fornecidos por provedores de serviços em nuvem.

Com maior desempenho computacional e largura de banda de rede mais poderosa, essas redes podem ser compradas ou invadidas para construir novas botnets. Além disso, há indícios de que o DDoS está gradualmente se tornando a evolução de ameaças persistentes avançadas e ataques de Ransomware.

Cada vez mais, os ataques DDoS têm como função distrair as equipes de segurança para estragos maiores, somente como uma cortina de fumaça. O objetivo não é causar apenas uma simples perturbação na rede, mas confundir e desviar a atenção para a sua superfície, criando condições favoráveis para penetrações mais secretas e direcionadas.

*Por Raphael Tedesco

*Raphael Tedesco é formado em redes de computadores pelo Instituto Brasileiro de Tecnologia Avançada (IBTA) e Pós-Graduado em Gestão de Negócios pelo Insper. Atua no mercado de Tecnologia da Informação e Comunicação (TIC) há 13 anos e teve passagens pela Multirede e Logicalis. Hoje, faz parte do time da NSFOCUS como Gerente de Novos Negócios para a América Latina.


Leia também