Bem-vindo ao nosso Relatório sobre ameaças DDoS para o terceiro trimestre de 2022. Este relatório inclui informações e tendências sobre o cenário de ameaças DDoS - conforme observado em toda a Rede global da Cloudflare.
Os ataques DDoS fortes de muitos terabits têm se tornado cada vez mais frequentes. No terceiro trimestre, a Cloudflare detectou e mitigou automaticamente vários ataques que excederam 1 Tbps. O maior ataque foi um ataque DDoS de 2,5 Tbps lançado por uma variante da botnet Mirai, destinada ao servidor Minecraft, Wynncraft. Este é o maior ataque que já vimos do ponto de vista da taxa de bits.
Foi um ataque multivetorial que consistia em inundações de UDP e TCP. No entanto, um servidor Minecraft do Wynncraft, um jogo multijogador massivo on-line, onde centenas de milhares de usuários podem jogar no mesmo servidor, nem percebeu o ataque, já que a Cloudflare o filtrou para eles.
Tendências gerais de ataques DDoS
No geral, neste trimestre, vimos:
- Um aumento nos ataques DDoS em relação ao ano passado.
- Ataques volumétricos mais duradouros, um aumento nos ataques gerados pela botnet Mirai e suas variantes.
- Surtos de ataques contra Taiwan e Japão.
Ataques DDoS na camada de aplicação
- Os ataques DDoS em HTTP aumentaram 111% em relação ao ano anterior, mas diminuíram 10% no trimestre.
- Os ataques DDoS em HTTP visando Taiwan aumentaram 200% no trimestre; os que visavam o Japão aumentaram 105% no trimestre.
- Os relatórios de ataques DDoS com pedido de resgate aumentaram 67% em relação ao ano anterior e 15% no trimestre.
Ataques DDoS na camada de rede
- Os ataques DDoS nas camadas 3 e 4 aumentaram 97% em relação ao ano anterior e 24% no trimestre.
- Os ataques DDoS nas camadas 3 e 4 pela botnet Mirai aumentaram 405% no trimestre.
- O setor de jogos/apostas foi o mais visado pelos ataques DDoS nas camadas 3 e 4, incluindo um gigantesco ataque DDoS de 2,5 Tbps.
Este relatório é baseado nos ataques DDoS detectados e mitigados automaticamente pelos sistemas de proteção contra DDoS da Cloudflare. Para saber mais sobre como isso funciona, confira este post no blog com mais detalhes.
Veja o relatório DDoS interativo no Cloudflare Radar.
Ataques com pedido de resgate
Os ataques DDoS com pedido de resgate são ataques em que o invasor exige um pagamento de resgate, geralmente na forma de Bitcoin, para parar/evitar o ataque. No terceiro trimestre, 15% dos clientes da Cloudflare que responderam à nossa pesquisa relataram ter sido vítimas de ataques DDoS por HTTP acompanhados por uma ameaça ou uma nota de resgate. Isso representa um aumento de 15% no trimestre e 67% em relação ao ano anterior dos ataques DDoS com pedidos de resgate relatados.
Aprofundando no terceiro trimestre, podemos ver que, desde junho de 2022, houve um declínio constante nos relatos de ataques com pedido de resgate. No entanto, em setembro, os relatos aumentaram novamente. No mês de setembro, quase um em cada quatro entrevistados relatou ter recebido um ataque DDoS ou ameaça com pedido de resgate — o mês com maior número em 2022, até agora.
Como calculamos as tendências de ataques DDoS com pedido de resgate
Nossos sistemas estão constantemente analisando o tráfego e ao detectar ataques DDoS, automaticamente aplicam a mitigação. Cada cliente que sofre um ataque DDoS recebe uma pesquisa automatizada a fim de nos ajudar a entender melhor a natureza do ataque e o êxito da mitigação. A Cloudflare faz a pesquisa com clientes atacados há mais de dois anos. Uma das perguntas da pesquisa é sobre se eles receberam ameaças ou pedidos de resgate exigindo pagamento em troca de parar o ataque DDoS. No ano passado, coletamos, em média, 174 respostas por trimestre. As respostas desta pesquisa são usadas para calcular a porcentagem de ataques DDoS com pedido de resgate.
Ataques DDoS na camada de aplicação
Ataques DDoS na camada de aplicação, especificamente ataques DDoS por HTTP, são ataques que normalmente buscam interromper um servidor web tornando-o incapaz de processar solicitações legítimas dos usuários. Se um servidor é bombardeado com mais solicitações do que consegue processar, ele descartará solicitações legítimas e, em alguns casos, irá travar, resultando na deterioração do desempenho ou em uma interrupção para os usuários legítimos.
Tendências de ataques DDoS na camada de aplicação
Quando analisamos o gráfico abaixo, podemos ver uma clara tendência de redução de aproximadamente 10% nos ataques a cada trimestre desde o primeiro trimestre de 2022. No entanto, apesar da tendência de queda, ao comparar o terceiro trimestre de 2022 com o terceiro trimestre de 2021, podemos ver que os ataques DDoS por HTTP ainda aumentaram 111% em relação ao ano anterior.
Quando nos aprofundamos nos meses do trimestre, os ataques em setembro e agosto foram distribuídos de maneira bastante uniforme; 36% e 35%, respectivamente. Em julho, a quantidade de ataques foi a menor do trimestre (29%).
Ataques DDoS na camada de aplicação por setor
Ao agrupar os ataques por setor de operação de nossos clientes, podemos ver que os aplicativos HTTP operados por empresas de internet foram os mais visados no terceiro trimestre. Os ataques no setor da internet aumentaram 131% no trimestre e 300% em relação ao ano anterior.
O segundo setor mais atacado foi o de Telecomunicações com um aumento de 93% no trimestre e 2.317% (!) em relação ao ano anterior. Em terceiro lugar ficou o setor de jogos/apostas com um aumento mais conservador de 17% no trimestre e 36% em relação ao ano anterior.
Ataques DDoS na camada de aplicação por país-alvo
Agrupando os ataques pelo endereço de cobrança de nossos clientes temos uma compreensão de quais países são mais atacados. Os aplicativos HTTP operados por empresas americanas foram os mais visados no terceiro trimestre. Os sites sediados nos EUA tiveram um aumento de 60% no trimestre e 105% em relação ao ano anterior nos ataques direcionados a eles. Depois dos EUA, a China teve um aumento de 332% no trimestre e um aumento de 800% em relação ao ano anterior.
Analisando a Ucrânia, podemos ver que os ataques direcionados aos sites do país aumentaram 67% no trimestre, mas diminuíram 50% em relação ao ano anterior. Além disso, os ataques direcionados a sites russos aumentaram 31% no trimestre e 2.400% (!) em relação ao ano anterior.
No leste da Ásia, podemos ver que os ataques direcionados a empresas taiwanesas aumentaram 200% no trimestre e 60% em relação ao ano anterior e os ataques direcionados às empresas japonesas aumentaram 105% no trimestre.
Quando ampliamos para países específicos, podemos identificar as tendências abaixo que podem revelar informações interessantes sobre a guerra na Ucrânia e eventos geopolíticos no leste da Ásia:
Na Ucrânia, vemos uma mudança surpreendente nos setores atacados. Nos últimos dois trimestres, as empresas de transmissão, mídia on-line e de publicação foram as mais visadas no que parecia ser uma tentativa de silenciar informações e torná-las indisponíveis para civis. No entanto, neste trimestre, essas indústrias saíram da lista dos 10 principais, dando lugar ao setor de marketing e publicidade, que assumiu a liderança (40%), seguido por empresas de educação (20%) e administração governamental (8%).
Na Rússia, os ataques ao setor de Bancos, Serviços Financeiros e Seguros (BFSI) persistem (25%). De alguma forma, os ataques ao setor BFSI diminuíram 44% no trimestre. Em segundo lugar está o setor de Serviços de Eventos (20%), seguido por Criptomoedas (16%), Mídia de Transmissão (13%) e Varejo (11%). Uma parte significativa do tráfego de ataque veio de endereços de IP baseados na Alemanha e o restante estava distribuído globalmente.
Em Taiwan, os dois setores mais atacados foram Mídia on-line (50%) e internet (23%). Os ataques a esses setores foram distribuídos globalmente, indicando o uso de botnets.
No Japão, o setor mais atacado foi internet/Mídia e internet (52%), Serviços empresariais (12%) e Governo - Nacional (11%).
Tráfego de ataques DDoS na camada de aplicação por país de origem
Antes de analisar as métricas específicas do país de origem, é importante observar que, embora o país de origem seja interessante, não é necessariamente indicativo de onde o invasor está localizado. Muitas vezes, os ataques DDoS são lançados remotamente e os invasores se esforçam para ocultar sua localização real na tentativa de evitar serem pegos. Nesses casos, indica onde os nós das botnets estão localizados. Desta maneira, ao mapear o endereço de IP do ataque para sua localização, podemos entender de onde vem o tráfego do ataque.
Após dois trimestres consecutivos, a China substituiu os EUA como a principal fonte de tráfego de ataques DDoS por HTTP. No terceiro trimestre, a China foi a maior fonte de tráfego de ataques DDoS por HTTP. O tráfego de ataques de endereços de IP registrados na China aumentou 29% em relação ao ano anterior e 19% no trimestre. Após a China, a Índia foi a segunda maior fonte de tráfego de ataques DDoS por HTTP — um aumento de 61% em relação ao ano anterior. Depois da Índia, as principais fontes foram os EUA e o Brasil.
Analisando a Ucrânia, podemos ver que neste trimestre houve uma queda no tráfego de ataques originados de endereços de IP ucranianos e russos — uma queda de 29% e 11% no trimestre, respectivamente. No entanto, em relação ao ano anterior, o tráfego de ataques desses países ainda aumentou 47% e 18%, respectivamente.
Outro dado interessante é que o tráfego de ataques originários de endereços de IP japoneses aumentou 130% em relação ao ano anterior.
Ataques DDoS na camada de rede
Enquanto os ataques na camada de aplicação visam o aplicativo (Camada 7 do Modelo OSI) que executa o serviço que os usuários finais estão tentando acessar (HTTP/S em nosso caso), os ataques na camada de rede visam sobrecarregar a infraestrutura de rede (como roteadores e servidores internos) e a próprio link com da internet.
Tendências de ataques DDoS na camada de rede
No terceiro trimestre, vimos um grande aumento nos ataques DDoS nas camadas 3 e 4 — um aumento de 97% em relação ao ano anterior e 24% no trimestre. Além disso, quando analisamos o gráfico, podemos ver uma tendência clara, nos últimos três trimestres, de aumento dos ataques.
Aprofundando no trimestre, fica claro que os ataques foram, em sua maior parte, distribuídos uniformemente ao longo do trimestre — com uma parte um pouco maior deles em julho.
Ataques DDoS na camada de rede por setor
O setor de jogos/apostas foi atingido pela maioria dos ataques DDoS nas camadas 3 e 4 no terceiro trimestre. Quase um em cada cinco bytes que a Cloudflare ingeriu em relação às redes de jogos/apostas foi parte de um ataque DDoS. Isso representa um aumento colossal de 381% no trimestre.
O segundo setor mais visado foi o de Telecomunicações — quase 6% dos bytes para redes de Telecomunicações eram parte de ataques DDoS. Isso representa uma queda de 58% em relação ao trimestre anterior, onde o setor de Telecomunicações foi o mais atacado por ataques DDoS nas camadas 3 e 4.
Seguiram-se o setor de Tecnologia da Informação e Serviços, juntamente com o setor de Software. Ambos tiveram um crescimento significativo nos ataques — 89% e 150% no trimestre, respectivamente.
Ataques DDoS na camada de rede por país-alvo
No terceiro trimestre, as empresas sediadas em Cingapura receberam a maioria dos ataques DDoS nas camadas 3 e 4 — mais de 15% de todos os bytes de suas redes estavam associados a um ataque DDoS. Isso representa um aumento considerável de 1.175% no trimestre.
Os EUA vêm em segundo lugar após uma queda de 45% no trimestre no tráfego de ataques direcionados às redes dos EUA. Em terceiro lugar, a China, com um aumento de 62% no trimestre. Os ataques às empresas de Taiwan também aumentaram 200% no trimestre.
Ataques DDoS na camada de rede por país de entrada
No terceiro trimestre, os data centers da Cloudflare no Azerbaijão tiveram a maior porcentagem de tráfego de ataques. Mais de um terço de todos os pacotes ingeridos foram parte de um ataque DDoS nas camadas 3 e 4. Isso representa um aumento de 44% no trimestre e um enorme aumento de 59 vezes em relação ao ano anterior.
Da mesma forma, nossos data centers na Tunísia tiveram um aumento enorme nos pacotes de ataque - 173 vezes a quantidade do ano anterior. O Zimbábue e a Alemanha também receberam aumentos significativos nos ataques.
Ampliando para o leste da Ásia, podemos ver que nossos data centers em Taiwan tiveram um aumento de ataques - 207% no trimestre e 1.989% em relação ao ano anterior. Vimos números semelhantes no Japão, onde os ataques aumentaram 278% no trimestre e 1.921% em relação ao ano anterior.
Analisando a Ucrânia, vemos uma queda na quantidade de pacotes de ataque que observamos em nossos data centers baseados na Ucrânia e na Rússia — 49% e 16% no trimestre, respectivamente.
Vetores de ataque e tendências emergentes
Um vetor de ataque é o método usado para iniciar o ataque ou o método de tentar obter a negação de serviço. Com uma participação combinada de 71%, as inundações de SYN e os ataques de DNS continuam sendo os vetores de ataques DDoS mais populares no terceiro trimestre.
No último trimestre, vimos um ressurgimento de ataques que abusam do protocolo CHARGEN, do Ubiquity Discovery Protocol e dos ataques de reflexão Memcached. Enquanto o crescimento de ataques DDoS Memcached também cresceu ligeiramente (48%), neste trimestre, houve um aumento mais significativo nos ataques que abusam do protocolo BitTorrent (1.221%), bem como ataques lançados pela botnet Mirai e suas variantes.
Ataques DDoS de BitTorrent aumentaram 1.221% no trimestre
O protocolo BitTorrent é um protocolo de comunicação usado para compartilhamento de arquivos peer to peer. Para ajudar os clientes BitTorrent a encontrar e baixar os arquivos de maneira eficiente, os clientes BitTorrent podem usar BitTorrent Trackers ou Tabelas hash distribuídas (DHT)para identificar os peers que estão propagando o arquivo desejado. Esse conceito pode ser usado para lançar ataques DDoS. Um agente malicioso pode falsificar o endereço de IP da vítima como um endereço de IP do seeder nos sistemas de Trackers e DHT. Em seguida, os clientes solicitariam os arquivos desses IPs. Dado um número suficiente de clientes solicitando o arquivo, ele pode inundar a vítima com mais tráfego do que pode suportar.
Ataques DDoS Mirai aumentaram 405% no trimestre
O Mirai é um malware que infecta dispositivos inteligentes que rodam em processadores ARC, transformando-os em uma rede de bots que pode ser usada para lançar ataques DDoS. Este processador executa uma versão simplificada do sistema operacional Linux. Se a combinação padrão de nome de usuário e senha não for alterada, o Mirai poderá fazer login no dispositivo, infectá-lo e assumir o controle. O operador da botnet pode instruir a botnet a lançar uma inundação de pacotes UDP no endereço de IP da vítima para bombardeá-lo.
Ataques DDoS na camada de rede por taxas de ataque e duração
Embora os ataques de terabits intensos estejam se tornando mais frequentes, eles ainda são um ponto fora da curva. A maioria dos ataques é muito pequena (em termos de escala da Cloudflare). Mais de 95% dos ataques atingiram o pico abaixo de 50.000 pacotes por segundo (pps) e mais de 97% abaixo de 500 Megabits por segundo (Mbps). Chamamos isso de “vandalismo cibernético”.
O que é vandalismo cibernético? Ao contrário do vandalismo “clássico”, onde o objetivo é causar destruição ou dano deliberado à propriedade física pública ou privada — como pichações na lateral de um prédio – no mundo cibernético, o vandalismo cibernético é o ato de causar danos deliberados à ativos da internet. Hoje, os códigos-fonte de várias botnets estão disponíveis on-line e há uma série de ferramentas gratuitas que podem ser usadas para lançar uma inundação de pacotes. Ao direcionar essas ferramentas para os ativos da internet, qualquer script kid pode usar essas ferramentas para lançar ataques contra sua escola durante a época de exames ou qualquer outro site que deseje derrubar ou interromper. Isso se opõe ao crime organizado, atores de ameaça persistente avançada e atores em nível de estado que podem lançar ataques muito maiores e sofisticados.
Da mesma forma, a maioria dos ataques é muito curta e termina em 20 minutos (94%). Neste trimestre, vimos um aumento de 9% nos ataques de 1 a 3 horas e um aumento de 3% nos ataques com mais de 3 horas — mas esses valores ainda são um ponto fora da curva.
Mesmo com os maiores ataques, como o ataque de 2,5 Tbps que mitigamos no início deste trimestre e o ataque de 26 milhões de solicitações por segundo que mitigamos no verão, o pico dos ataques durou pouco. Todo o ataque de 2,5 Tbps durou cerca de 2 minutos e o pico do ataque de 26 M rps durou apenas 15 segundos. Isso enfatiza a necessidade de soluções automatizadas e sempre ativas. As equipes de segurança não podem responder com rapidez suficiente. No momento em que o engenheiro de segurança verifica a notificação do PagerDuty em seu telefone, o ataque já retrocedeu.
Resumo
Os ataques podem ser iniciados por humanos, mas são executados por bots — e para vencer, você deve combater bots com bots. A detecção e a mitigação devem ser automatizadas o máximo possível, porque os defensores ficam em desvantagem ao depender apenas de humanos. Os sistemas automatizados da Cloudflare detectam e mitigam constantemente ataques DDoS para nossos clientes para que eles não precisem fazer isso.
Ao longo dos anos, tornou-se mais fácil, barato e acessível para invasores e invasores contratados lançar ataques DDoS. Então, queremos garantir que seja ainda mais fácil - e gratuito - para os defensores de organizações de todos os tamanhos, se protegerem contra ataques DDoS de todos os tipos. Fornecemos proteção contra DDoS ilimitada e não medida gratuitamente para todos os nossos clientes desde 2017, quando fomos pioneiros no conceito. A missão da Cloudflare é ajudar a construir uma internet melhor. Uma internet melhor é aquela que é mais segura, rápida e confiável para todos - mesmo diante de ataques DDoS.