Relatório de ameaças DDoS da Cloudflare do quarto trimestre de 2022

Boas-vindas ao nosso Relatório sobre ameaças DDoS para o quarto trimestre de 2022. Este relatório inclui insights e tendências sobre o cenário de ameaças DDoS, conforme observado em toda a rede global da Cloudflare.

No último trimestre do ano, enquanto bilhões de pessoas em todo o mundo comemoravam feriados e eventos como Ação de Graças, Natal, Hanukkah, Black Friday, Dia dos Solteiros e Ano Novo, os ataques DDoS persistiram e até aumentaram em tamanho, frequência e sofisticação, tentando perturbar nossa vida.

As defesas contra DDoS automatizadas da Cloudflare permaneceram firmes e mitigaram milhões de ataques apenas no último trimestre. Reunimos todos esses ataques, agregamos, analisamos e preparamos os resultados para ajudar a entender melhor o cenário das ameaças.

Insights globais de DDoS

No último trimestre do ano, apesar de uma queda durante o ano, a quantidade de tráfego de ataques DDoS por HTTP ainda aumentou 79% em relação ao ano anterior. Embora a maioria tenham sido ataques pequenos, a Cloudflare viu constantemente ataques de terabits fortes, ataques DDoS em centenas de milhões de pacotes por segundo e ataques DDoS por HTTP chegando a dezenas de milhões de solicitações por segundo lançados por botnets sofisticadas.

• Ataques volumétricos aumentaram; o número de ataques que excedem as taxas de 100 gigabits por segundo (Gbps) cresceu 67% em relação ao trimestre anterior e o número de ataques com duração superior a três horas aumentou 87% no trimestre.
• Os ataques DDoS com pedido de resgate aumentaram de forma constante este ano. No quarto trimestre, mais de 16% dos entrevistados relataram ter recebido uma ameaça ou pedido de resgate como parte do ataque DDoS direcionado a seus ativos da internet.

Setores mais visados pelos ataques DDoS

• Os ataques DDoS por HTTP constituíram 35% de todo o tráfego para os ativos de aviação e aeroespacial da internet.
• Da mesma forma, mais de um terço de todo o tráfego para os setores de jogos/apostas e finanças era tráfego de ataque DDoS na camada de rede.
• Incríveis 92% do tráfego para empresas de gerenciamento educacional faziam parte de ataques DDoS na camada de rede. Da mesma forma, 73% do tráfego para os setores de tecnologia da informação e serviços, e de relações públicas e comunicações também foram ataques DDoS na camada de rede.

Origem e alvos de ataques DDoS

• No quarto trimestre, 93% do tráfego da camada de rede para ativos chineses da internet, por trás da Cloudflare, foram parte de ataques DDoS da camada de rede. Da mesma forma, mais de 86% do tráfego para clientes da Cloudflare na Lituânia e 80% do tráfego para clientes da Cloudflare na Finlândia foi tráfego de ataques.
• Na camada de aplicação, mais de 42% de todo o tráfego para ativos da internet na Georgia, por trás do Cloudflare, foi parte de ataques DDoS por HTTP, seguido por Belize com 28% e San Marino em terceiro lugar com pouco menos de 20%. Quase 20% de todo o tráfego da Líbia que a Cloudflare observou foi de ataques DDoS na camada de aplicação.
• Mais de 52% de todo o tráfego registrado nos data centers da Cloudflare em Botswana foi tráfego de ataque DDoS na camada de rede. Da mesma forma, nos data centers da Cloudflare no Azerbaijão, Paraguai e Palestina, o tráfego de ataque DDoS na camada de rede constituiu aproximadamente 40% de todo o tráfego.

Observação rápida: neste trimestre, fizemos uma alteração em nossos algoritmos para melhorar a precisão de nossos dados, o que significa que alguns desses pontos de dados não podem ser comparados com os de trimestres anteriores. Leia mais sobre essas alterações na próxima seção Alterações nas metodologias dos relatórios.

Para ir direto ao relatório, clique aqui.

Inscreva-se no webinar sobre tendências de DDoS para saber mais sobre as ameaças emergentes e como se defender delas.

Alterações nas metodologias dos relatórios

Desde nosso primeiro relatório em 2020, sempre usamos porcentagens para representar o tráfego de ataques, ou seja, a porcentagem de tráfego de ataques sobre todo o tráfego, incluindo tráfego legítimo/de usuários. Fizemos isso para normalizar os dados, evitar vieses de dados e ser mais flexíveis quando se trata de incorporar novos dados do sistema de mitigação ao relatório.

Neste relatório, introduzimos alterações nos métodos usados para calcular algumas dessas porcentagens quando agrupamos ataques em determinadas dimensões, como país visado, país de origem ou setor visado. Nas seções da camada de aplicação, anteriormente dividíamos a quantidade de solicitações HTTP/S de ataques para uma determinada dimensão por todas as solicitações HTTP/S para todas as dimensões. Na seção da camada de rede, especificamente nos setores visados e nos países visados, costumávamos dividir a quantidade de pacotes de ataque de IP para uma determinada dimensão pelo total de pacotes de ataque para todas as dimensões.

A partir deste relatório, passamos a dividir as solicitações de ataque (ou pacotes) a uma determinada dimensão apenas pelo total de solicitações (ou pacotes) a essa determinada dimensão. Fizemos essas alterações para alinhar nossos métodos de cálculo em todo o relatório e melhorar a precisão dos dados para que representem melhor o cenário de ataque.

Por exemplo, o setor mais atacado por ataques DDoS na camada de aplicação usando o método anterior, foi o setor de jogos e apostas. As requisições de ataque dirigidas a esse setor representaram 0,084% de todo o tráfego (ataque e não ataque) em relação a todos os setores. Usando o mesmo método antigo, o setor de aviação e aeroespacial ficou em 12º lugar. O tráfego de ataques para o setor de aviação e aeroespacial representou 0,0065% de todo o tráfego (ataque e não ataque) em relação a todos os setores. No entanto, usando o novo método, o setor de aviação e aeroespacial ficou como o primeiro setor mais atacado. O tráfego de ataques constituiu 35% de todo o tráfego (ataque e não ataque) somente para esse setor. Novamente, usando o novo método, o setor de jogos e apostas ficou em 14º lugar, 2,4% de seu tráfego era tráfego de ataques.

O antigo método usado nos relatórios anteriores para calcular a porcentagem de tráfego de ataque para cada dimensão era o seguinte:

O novo método de cálculo utilizado a partir deste relatório é o seguinte:

As alterações se aplicam às seguintes métricas:

1. Setores visados por ataques DDoS na camada de aplicação
2. Países visados por ataques DDoS na camada de aplicação
3. Origem dos ataques DDoS na camada de aplicação
4. Setores visados por ataques DDoS na camada de rede
5. Países visados por ataques DDoS na camada de rede

Nenhuma outra alteração foi feita no relatório. As métricas de origem de ataques DDoS na camada de rede já usam esse método desde o primeiro relatório. Além disso, nenhuma alteração foi feita nas seções DDoS com pedido de resgate, taxa de ataques DDoS, duração de ataques DDoS, vetores de ataques DDoS e principais ameaças emergentes. Essas métricas não levam em consideração o tráfego legítimo e nenhum alinhamento de metodologia foi necessário.

Ataque DDoS com pedido de resgate

Ao contrário dos ataques de Ransomware, em que a vítima é induzida a baixar um arquivo ou clicar em um link de e-mail que criptografa e bloqueia seus arquivos de computador até pagar uma taxa de resgate, os ataques DDoS com pedido de resgate podem ser muito mais fáceis para os invasores iniciarem. Os ataques DDoS com pedido de resgate não exigem que a vítima abra um e-mail ou clique em um link, nem exigem uma invasão de rede ou uma posição de apoio.

Em um ataque DDoS com pedido de resgate, o invasor não precisa acessar o computador da vítima, mas apenas inundá-lo com tráfego suficiente para impactar negativamente seus serviços de internet. O invasor exige o pagamento do resgate, geralmente na forma de Bitcoin, para interromper e/ou evitar novos ataques.

No último trimestre de 2022, 16% dos clientes da Cloudflare que responderam à nossa pesquisa relataram ter sido alvo de ataques DDoS por HTTP acompanhados por uma ameaça ou nota de resgate. Isso representa um aumento de 14% em relação ao trimestre anterior, mas uma redução de 16% em relação ao ano anterior nos ataques DDoS com pedido de resgate relatados.

Como calculamos as tendências de ataques DDoS com pedido de resgate
Os sistemas da Cloudflare analisam constantemente o tráfego e ao detectar ataques DDoS, automaticamente aplicam a mitigação. Cada cliente que sofre um ataque DDoS recebe uma pesquisa automatizada a fim de nos ajudar a entender melhor a natureza do ataque e o êxito da mitigação. A Cloudflare faz a pesquisa com clientes atacados há mais de dois anos. Uma das perguntas da pesquisa é se os entrevistados receberam uma ameaça ou uma nota de resgate. Nos últimos dois anos, coletamos, em média, 187 respostas por trimestre. As respostas desta pesquisa são usadas para calcular a porcentagem de ataques DDoS com pedido de resgate.

Cenário de ataque DDoS na camada de aplicação

Os ataques DDoS na camada de aplicação, especificamente os ataques DDoS por HTTP/S, são ataques cibernéticos que geralmente visam interromper os servidores web, tornando-os incapazes de processar solicitações legítimas de usuários. Se um servidor é bombardeado com mais solicitações do que pode processar, ele descarta solicitações legítimas e, em alguns casos, trava, resultando em deterioração do desempenho ou interrupção para os usuários legítimos.

Tendências de ataques DDoS na camada de aplicação

Quando analisamos o gráfico abaixo, podemos ver uma clara tendência de queda nos ataques a cada trimestre deste ano. No entanto, apesar da tendência de queda, os ataques DDoS por HTTP ainda aumentaram 79% quando comparados ao mesmo trimestre do ano anterior.

Setores visados por ataques DDoS na camada de aplicação

No trimestre onde muitas pessoas viajam para as festas de final de ano, o setor de aviação e aeroespacial foi o mais atacado. Aproximadamente 35% do tráfego para o setor foi parte de ataques DDoS por HTTP. Em segundo lugar ficou a indústria de serviços de eventos com mais de 16% de seu tráfego como ataques DDoS por HTTP.

Nos lugares seguintes ficaram os setores de mídia e publicação, sem fio, relações governamentais e organizações sem fins lucrativos. Para saber mais sobre como a Cloudflare protege organizações sem fins lucrativos e de direitos humanos, leia nosso recente Relatório de impacto.

Quando dividimos regionalmente, e depois de excluir setores genéricos como internet e software, podemos ver que na América do Norte e Oceania o setor de telecomunicações foi o mais visado. Na América do Sul e na África, foi o setor hoteleiro. Na Europa e na Ásia, os setores de jogos e apostas foram os mais visados. E no Oriente Médio, o setor educacional foi o que mais sofreu ataques.

Países visados por ataques DDoS na camada de aplicação

A classificação de ataques pelo endereço de cobrança de nossos clientes nos ajuda a entender quais países são atacados com mais frequência. No quarto trimestre, mais de 42% de todo o tráfego para aplicativos HTTP da Geórgia por trás da Cloudflare foi tráfego de ataques DDoS.

Em segundo lugar, as empresas com sede em Belize tiveram quase um terço de seu tráfego como ataques DDoS, seguidas por San Marino em terceiro, com pouco menos de 20% de seu tráfego sendo de ataques DDoS.

Origem dos ataques DDoS na camada de aplicação

Observação rápida antes de nos aprofundarmos. Se um país for considerado uma das principais origens de ataques DDoS, isso não significa necessariamente que é esse país que lança os ataques. Nos ataques DDoS, muitas vezes, os invasores lançam ataques remotamente na tentativa de ocultar sua verdadeira localização. Os principais países de origem são, geralmente, indicadores de que existem nós de botnets operando dentro desse país, talvez servidores ou dispositivos IoT sequestrados.

No quarto trimestre, quase 20% de todo o tráfego HTTP originário da Líbia fazia parte de ataques DDoS por HTTP. Da mesma forma, 18% do tráfego originário de Timor-Leste, um país insular no Sudeste Asiático ao norte da Austrália, foi tráfego de ataques. O tráfego de ataques DDoS também representou 17% de todo o tráfego originário das Ilhas Virgens Britânicas e 14% de todo o tráfego originário do Afeganistão.

Ataques DDoS na camada de rede

Enquanto os ataques na camada de aplicação visam o aplicativo (Camada 7 do Modelo OSI) que executa o serviço que os usuários finais estão tentando acessar (HTTP/S em nosso caso), os ataques na camada de rede visam sobrecarregar a infraestrutura de rede, como roteadores e servidores internos, e o próprio link da internet.

Tendências de ataques DDoS na camada de rede

Após um ano de aumento constante nos ataques DDoS na camada de rede, no quarto e último trimestre do ano, a quantidade de ataques diminuiu 14% no trimestre e 13% no ano.

Agora vamos nos aprofundar um pouco mais para entender as várias propriedades dos ataques, como taxas de ataques volumétricos, durações, vetores de ataque e ameaças emergentes.

Taxa de ataques DDoS
Embora a grande maioria dos ataques seja relativamente curta e pequena, vimos um aumento nos ataques maiores e mais longos neste trimestre. A quantidade de ataques DDoS volumétricos na camada de rede, com uma taxa superior a 100 Gbps, aumentou 67% no trimestre. Da mesma forma, os ataques na faixa de 1 a 100 Gbps aumentaram em aproximadamente 20% no trimestre e os ataques na faixa de 500 Mbps a 1 Gbps aumentaram em 108% no trimestre.

Abaixo está um exemplo de um desses ataques superiores a 100 Gbps que ocorreram na semana após o Dia de Ação de Graças. Este foi um ataque DDoS de 1 Tbps direcionado a um provedor de hospedagem coreano. Esse ataque em particular foi uma inundação de ACK e durou aproximadamente um minuto. Como o provedor de hospedagem estava usando o Magic Transit, o serviço de proteção contra DDoS da camada 3 da Cloudflare, o ataque foi detectado e mitigado automaticamente.

Embora os ataques intensivos em bits geralmente tenham como objetivo obstruir a conexão com a internet para causar um evento de negação de serviço, os ataques intensivos em pacotes tentam travar os dispositivos em linha. Se um ataque enviar mais pacotes do que você pode lidar, os servidores e outros dispositivos em linha podem não conseguir processar o tráfego legítimo do usuário ou até travar completamente.

Duração dos ataques DDoS
No quarto trimestre, a quantidade de ataques mais curtos com duração inferior a 10 minutos diminuiu 76% no trimestre e a quantidade de ataques mais longos aumentou. Mais notavelmente, os ataques com duração de 1 a 3 horas aumentaram 349% no trimestre e a quantidade de ataques com duração superior a três horas aumentou 87% no trimestre. A maioria dos ataques, mais de 67% deles, durou de 10 a 20 minutos.

Vetores de ataques DDoS
Vetor de ataque é um termo usado para descrever o método de ataque. No quarto trimestre, as inundações SYN continuaram sendo o método preferido dos invasores, na verdade, quase metade de todos os ataques DDoS na camada de rede foram inundações SYN.

Recapitulando, inundações SYN são inundações de pacotes SYN (pacotes TCP com o sinalizador Synchronize ativado, ou seja, o bit definido como 1). As inundações SYN aproveitam o estado do handshake TCP de três vias, que é a maneira de estabelecer uma conexão entre um servidor e um cliente.

O cliente começa enviando um pacote SYN, o servidor responde com um pacote Synchronize-acknowledgement (SYN/ACK) e espera pelo pacote Acknowledgment (ACK) do cliente. Para cada conexão, uma certa quantidade de memória é alocada. Na inundação SYN, os endereços de IP de origem podem ser falsificados (alterados) pelo invasor, fazendo com que o servidor responda com os pacotes SYN/ACK aos endereços de IP falsificados, que provavelmente ignoram o pacote. O servidor então espera ingenuamente que os pacotes ACK, que nunca chegam, cheguem para completar o handshake. Depois de um tempo, o servidor atinge o tempo limite e libera esses recursos. No entanto, devido a uma quantidade suficiente de pacotes SYN em um curto período de tempo, eles podem ser o bastante para drenar os recursos do servidor e torná-lo incapaz de lidar com as conexões de usuários legítimos ou até mesmo travar completamente.

Após as inundações SYN, com uma grande queda na participação, as inundações de DNS e os ataques de amplificação ficaram em segundo lugar, respondendo por aproximadamente 15% de todos os ataques DDoS na camada de rede. E em terceiro, ataques DDoS e inundações baseados em UDP com 9% de participação.

Ameaças DDoS emergentes
No quarto trimestre, os ataques DDoS baseados em Memcached tiveram o maior crescimento, um aumento de 1.338% no trimestre. O Memcached é um sistema de cache de banco de dados para acelerar sites e redes. Os servidores Memcached compatíveis com UDP podem ser usados para lançar ataques DDoS de amplificação/reflexão. Nesse caso, o invasor solicita o conteúdo do sistema em cache e falsifica o endereço de IP da vítima como o IP de origem nos pacotes UDP. A vítima é inundada com as respostas do Memcache, que podem ser amplificadas por um fator de até 51.200x.

Em segundo lugar, os ataques DDoS baseados em SNMP aumentaram 709% no trimestre. O Simple Network Management Protocol (SNMP) é um protocolo baseado em UDP frequentemente usado para descobrir e gerenciar dispositivos de rede, como impressoras, switches, roteadores e firewalls de uma rede doméstica ou corporativa na conhecida porta 161 do UDP. Em um ataque de reflexão SNMP, o invasor envia várias consultas SNMP enquanto falsifica o endereço de IP de origem no pacote como alvo para dispositivos na rede que, por sua vez, respondem ao endereço desse alvo. Várias respostas dos dispositivos na rede resultam em DDoSed na rede de destino.

Em terceiro lugar, os ataques DDoS baseados em VxWorks aumentaram 566% no trimestre. VxWorks é um sistema operacional em tempo real (RTOS) frequentemente usado em sistemas embarcados, como dispositivos de Internet das Coisas (IoT). Ele também é usado em dispositivos de rede e segurança, como switches, roteadores e firewalls. Por padrão, ele possui um serviço de depuração ativado que não apenas permite que qualquer pessoa faça praticamente qualquer coisa nesses sistemas, mas também pode ser usado para ataques de amplificação de DDoS. Esta exploração (CVE-2010-2965) foi exposta já em 2010 e, como podemos ver, ainda está sendo usada para gerar ataques DDoS.

Setores visados por ataques DDoS na camada de rede

No quarto trimestre, o setor de gerenciamento educacional registrou a maior porcentagem de tráfego de ataques DDoS na camada de rede, 92% de todo o tráfego roteado para o setor era tráfego de ataques DDoS na camada de rede.

Não muito atrás, em segundo e terceiro lugares, os setores de tecnologia da informação e serviços, juntamente com os setores de relações públicas e comunicações, também viram uma quantidade significativa de tráfego de ataques DDoS na camada de rede (~ 73%). Com uma margem alta, os setores de finanças, jogos e apostas, e prática médica vieram em seguida, com aproximadamente um terço de seu tráfego sinalizado como tráfego de ataques.

Países visados por ataques DDoS na camada de rede

O agrupamento de ataques por país de cobrança de nossos clientes nos permite entender quais países estão sujeitos a mais ataques. No quarto trimestre, impressionantes 93% do tráfego para ativos chineses da internet por trás da Cloudflare foi tráfego de ataques DDoS na camada de rede.

Em segundo lugar, os ativos da internet da Lituânia por trás da Cloudflare viram 87% de seu tráfego pertencer ao tráfego de ataques DDoS na camada de rede. A seguir, Finlândia, Cingapura e Taiwan, com a maior porcentagem de tráfego de ataques.

Origem de ataques DDoS na camada de rede

Na camada de aplicação, usamos os endereços de IP de ataque para entender o país de origem dos ataques. Isso ocorre porque nessa camada, os endereços de IP não podem ser falsificados (ou seja, alterados). No entanto, na camada de rede, os endereços de IP de origem podem ser falsificados. Portanto, em vez de confiar em endereços de IP para entender a origem, usamos a localização de nossos data centers onde os pacotes de ataque foram ingeridos. Conseguimos obter precisão geográfica devido à nossa ampla cobertura global em mais de 275 locais em todo o mundo.

No quarto trimestre, mais de 52% do tráfego que ingerimos em nosso data center baseado em Botsuana era tráfego de ataque. Não muito atrás, mais de 43% do tráfego no Azerbaijão era tráfego de ataque, seguido pelo Paraguai, Palestina, Laos e Nepal.

Observação: os provedores de serviços de internet às vezes podem rotear o tráfego de maneiras diferentes, o que pode distorcer os resultados. Por exemplo, o tráfego da China pode passar pela Califórnia devido a várias considerações operacionais.

Entenda o cenário das ameaças DDoS

Neste trimestre, ataques maiores e mais longos se tornaram mais frequentes. A duração dos ataques aumentou em geral, os ataques volumétricos avançaram e os ataques DDoS com pedido de resgate continuaram a aumentar. Durante a temporada das festas de final de ano de 2022, os principais setores visados por ataques DDoS na camada de aplicação foram aviação/aeroespacial e serviços de eventos. Os ataques DDoS na camada de rede visaram empresas de jogos e apostas, finanças e gerenciamento educacional. Também observamos uma mudança nas principais ameaças emergentes, com ataques DDoS baseados em Memcashed continuando a aumentar em prevalência.

A defesa contra ataques DDoS é fundamental para organizações de todos os tamanhos. Embora os ataques possam ser iniciados por humanos, eles são executados por bots e para vencer, você deve combater bots com bots. A detecção e a mitigação devem ser automatizadas o máximo possível, porque os defensores ficam em desvantagem ao depender apenas de humanos. Os sistemas automatizados da Cloudflare detectam e mitigam constantemente ataques DDoS para nossos clientes para que eles não precisem fazer isso.

Ao longo dos anos, tornou-se mais fácil, barato e acessível para invasores e invasores contratados lançar ataques DDoS. Então, queremos garantir que seja ainda mais fácil, e gratuito, para os defensores de organizações de todos os tamanhos, se protegerem contra ataques DDoS de todos os tipos. Fornecemos proteção contra DDoS ilimitada e não medida gratuitamente para todos os nossos clientes desde 2017, quando fomos pioneiros no conceito. A missão da Cloudflare é ajudar a construir uma internet melhor. Uma internet melhor é aquela que é mais segura, rápida e confiável para todos, mesmo diante de ataques DDoS.

Inscreva-se no webinar sobre tendências de DDoS para saber mais sobre as ameaças emergentes e como se defender delas.