Boas vindas ao terceiro relatório de ameaças DDoS de 2023. Os ataques DDoS, ou ataques de negação de serviço distribuída, são um tipo de ataque cibernético que visa interromper sites (e outros tipos de ativos da internet) para torná-los indisponíveis para usuários legítimos, sobrecarregando os sites com mais tráfego do que podem suportar, semelhante a um motorista preso em um engarrafamento a caminho do supermercado.
Vemos muitos ataques DDoS de todos os tipos e tamanhos, e nossa rede é uma das maiores do mundo, abrangendo mais de 300 cidades em mais de 100 países. Através desta rede atendemos mais de 64 milhões de solicitações HTTP por segundo no pico e cerca de 2,3 bilhões de consultas DNS todos os dias. Em média, mitigamos 140 mil milhões de ameaças cibernéticas a cada dia. Essa quantidade colossal de dados nos dá um ponto de vantagem único para entender o cenário de ameaças e fornecer à comunidade acesso a tendências de DDoS esclarecedoras e acionáveis.
Nas últimas semanas, também observamos um aumento nos ataques DDoS e outros ataques cibernéticos contra jornais e sites de meios de comunicação israelitas, bem como contra instituições financeiras e sites governamentais. Os sites palestinos também registraram um aumento significativo nos ataques DDoS. Veja a cobertura completa aqui.
Usando a Cloudflare para visualizar ataques DDoS por HTTP contra sites israelenses
O cenário mundial das ameaças DDoS
No terceiro trimestre de 2023, a Cloudflare enfrentou uma das campanhas de ataque DDoS mais sofisticadas e persistentes já registradas na história.
A Cloudflare mitigou milhares de ataques DDoS por HTTP hipervolumétricos, 89 dos quais ultrapassaram 100 milhões de solicitações por segundo (rps) e com o maior pico de 201 milhões de rps, um número três vezes maior que o maior ataque anterior já registrado (71 milhões de rps).
A campanha contribuiu para um aumento geral de 65% no tráfego de ataques DDoS por HTTP no terceiro trimestre em comparação com o trimestre anterior. Da mesma forma, os ataques DDoS nas camadas 3 e 4 também aumentaram 14%.
As empresas de jogos e apostas foram bombardeadas com o maior volume de tráfego de ataques DDoS por HTTP, ultrapassando o setor de criptomoedas no último trimestre.
Lembrete: uma versão interativa deste relatório também está disponível como relatório no Cloudflare Radar. No Radar, você também pode se aprofundar e explorar tendências de tráfego, ataques, interrupções e muitos outros insights para seu setor, rede e país específicos.
Ataques DDoS por HTTP e ataques hipervolumétricos
Um ataque DDoS por HTTP é um ataque DDoS através do protocolo de transferência de hipertexto (HTTP). Ele tem como alvo ativos da internet HTTP, como servidores de aplicativos móveis, sites de comércio eletrônico e gateways de API.
Ilustração de um ataque DDoS por HTTP
O HTTP/2, que representa 62% do tráfego HTTP, é uma versão do protocolo que visa melhorar o desempenho do aplicativo. A desvantagem é que o HTTP/2 também pode ajudar a melhorar o desempenho de uma botnet.
Distribuição de versões HTTP pelo Radar
Campanha de ataques DDoS hipervolumétricos explorando HTTP/2 Rapid Reset
A partir do final de agosto de 2023, a Cloudflare e vários outros fornecedores foram sujeitos a uma campanha sofisticada e persistente de ataques DDoS que explorou a vulnerabilidade HTTP/2 Rapid Reset (CVE-2023-44487).
Ilustração de um ataque DDoS HTTP/2 Rapid Reset
A campanha de DDoS incluiu milhares de ataques DDoS hipervolumétricos sobre HTTP/2 que atingiram o pico de milhões de solicitações por segundo. A taxa média de ataque foi de 30 milhões de rps. Aproximadamente 89 dos ataques atingiram um pico acima de 100 milhões de rps e o maior que vimos atingiu 201 milhões de rps.
Campanha HTTP/2 Rapid Reset de ataques DDoS hipervolumétricos
Os sistemas da Cloudflare detectaram e mitigaram automaticamente a grande maioria dos ataques. Implantamos contramedidas de emergência e melhoramos a eficácia e a eficiência dos nossos sistemas de mitigação para garantir a disponibilidade da nossa rede e dos nossos clientes.
Confira nosso blog de engenharia que se aprofunda no mundo do HTTP/2, o que aprendemos e quais ações tomamos para tornar a internet mais segura.
Ataques DDoS hipervolumétricos habilitados por botnets baseadas em VM
Como vimos nesta campanha e nas anteriores, as botnets que aproveitam plataformas de computação em nuvem e exploram HTTP/2 são capazes de gerar até 5.000 vezes mais força por nó de botnet. Isso permitiu que elas lançassem ataques DDoS hipervolumétricos com uma pequena botnet de 5 a 20 mil nós apenas. Para colocar isso em perspectiva, no passado, as botnets baseadas em IoT consistiam em frotas de milhões de nós e mal conseguiam atingir alguns milhões de solicitações por segundo.
Comparação de uma botnet baseada em Internet das Coisas (IoT) e uma botnet baseada em Máquina Virtual (VM)
Ao analisar a campanha de DDoS de dois meses, podemos perceber que a infraestrutura da Cloudflare foi o principal alvo dos ataques. Mais especificamente, 19% de todos os ataques tiveram como alvo os sites e a infraestrutura da Cloudflare. Outros 18% visaram empresas de jogos e 10% foram direcionados a provedores de VoIP conhecidos.
Principais setores visados pelos ataques DDoS HTTP/2 Rapid Reset
O tráfego de ataques DDoS por HTTP aumentou 65%
A campanha de ataques contribuiu para um aumento geral na quantidade de tráfego de ataques. No último trimestre, o volume de ataques DDoS por HTTP aumentou 15% no trimestre. Neste trimestre, cresceu ainda mais. O volume de ataques aumentou 65% em relação ao trimestre anterior, para um número impressionante de 8,9 trilhões de solicitações DDoS por HTTP que os sistemas da Cloudflare detectaram e mitigaram automaticamente.
Volume agregado de solicitações de ataques DDoS por HTTP por trimestre
Juntamente com o aumento de 65% nos ataques DDoS por HTTP, também vimos um pequeno aumento de 14% nos ataques DDoS nas camadas 3 e 4, semelhante aos números que vimos no primeiro trimestre deste ano.
Ataques DDoS nas camadas 3 e 4 por trimestre
Um aumento nos grandes ataques DDoS volumétricos contribui para esse aumento. No terceiro trimestre, nossas defesas contra DDoS detectaram e mitigaram automaticamente vários ataques DDoS na faixa de terabits por segundo. Os maiores ataques que vimos atingiram um pico de 2,6 Tbps. Foi uma inundação UDP lançada por uma variante da Mirai.
Principais origens de ataques DDoS por HTTP
Ao comparar o volume de solicitações de ataques DDoS por HTTP globais e específicos por país, vemos que os EUA continuam sendo a maior fonte de ataques DDoS por HTTP. Uma em cada 25 solicitações de DDoS por HTTP originou-se dos EUA. A China permanece em segundo lugar. O Brasil substituiu a Alemanha como a terceira maior fonte de ataques DDoS por HTTP, com a Alemanha caindo para o quarto lugar.
Ataques DDoS por HTTP: principais origens em comparação com todo o tráfego de ataques
Alguns países recebem naturalmente mais tráfego devido a vários factores como a população e a utilização da internet e, portanto, também recebem/geram mais ataques.Portanto, embora seja interessante entender a quantidade total de tráfego de ataques originados de um determinado país, também é útil remover esse viés normalizando o tráfego de ataques em relação a todo o tráfego para o país em questão.
Ao fazer isso, observamos um padrão diferente. Os Estados Unidos sequer aparecem entre os dez primeiros. Em vez disso, Moçambique está em primeiro lugar (novamente). Uma em cada cinco solicitações HTTP originadas em Moçambique fazia parte de um tráfego de ataque DDoS por HTTP.
O Egito permanece em segundo lugar. Aproximadamente 13% das solicitações originadas do Egito fizeram parte de um ataque DDoS por HTTP. A Líbia e a China seguem como a terceira e quarta maior origem de ataques DDoS por HTTP.
Ataques DDoS por HTTP: principais origens em comparação com seu próprio tráfego
Principais origens de ataques DDoS nas camadas 3 e 4
Quando examinamos as origens dos ataques DDoS nas camadas 3 e 4, ignoramos o endereço de IP de origem porque ele pode ser falsificado. Em vez disso, nos baseamos na localização do data center da Cloudflare onde o tráfego foi ingerido. Graças à nossa grande rede e cobertura global, conseguimos obter precisão geográfica para entender de onde vêm os ataques.
No terceiro trimestre, aproximadamente 36% de todo o tráfego de ataques DDoS nas camadas 3 e 4 que vimos teve origem nos EUA. Muito atrás, a Alemanha ficou em segundo lugar com 8% e o Reino Unido seguiu em terceiro lugar com quase 5%.
Ataques DDoS nas camadas 3 e 4: principais origens em comparação com todo o tráfego de ataques
Ao normalizar os dados, vemos que o Vietnã caiu para a segunda maior origem de ataques DDoS nas camadas 3 e 4, depois de ter sido o primeiro por dois trimestres consecutivos. A Nova Caledônia, território francês composto por dezenas de ilhas no Pacífico Sul, ficou em primeiro lugar. Dois em cada quatro bytes ingeridos nos data centers da Cloudflare na Nova Caledônia foram ataques.
Ataques DDoS nas camadas 3 e 4: principais origens em comparação com seu próprio tráfego
Principais setores atingidos por ataques DDoS por HTTP
Em termos de volume absoluto de tráfego de ataques DDoS por HTTP, o setor de jogos salta para o primeiro lugar, ultrapassando o setor de criptomoedas. Mais de 5% de todo o tráfego de ataques DDoS por HTTP que a Cloudflare observou teve como alvo o setor de jogos e apostas.
Ataques DDoS por HTTP: principais setores atingidos em comparação com todo o tráfego de ataques
O setor de jogos e apostas tem sido um dos setores mais atacados em comparação com outros. Mas quando olhamos para o tráfego de ataque DDoS por HTTP relativo a cada setor específico, vemos uma imagem diferente. O setor de jogos e apostas tem tanto tráfego de usuários que, apesar de ser o setor mais atacado em volume, nem sequer chega aos dez principais quando o colocamos no contexto por setor.
Em vez disso, o que vemos é que o setor de Mineração e Metais foi alvo do maior número de ataques em comparação com o seu tráfego total, 17,46% de todo o tráfego para empresas de Mineração e Metais foi tráfego de ataques DDoS.
Seguindo de perto, em segundo lugar, 17,41% de todo o tráfego para organizações sem fins lucrativos foram ataques DDoS por HTTP. Muitos desses ataques foram direcionados a mais de 2.400 organizações de mídia independentes e sem fins lucrativos, em 111 países, que a Cloudflare protege gratuitamente como parte do Projeto Galileo, que celebrou seu nono aniversário este ano. Somente no último trimestre, a Cloudflare mitigou uma média de 180,5 milhões de ameaças cibernéticas contra sites protegidos pelo Galileo todos os dias.
Ataques DDoS por HTTP: principais setores atingidos em comparação com seu próprio tráfego
As empresas farmacêuticas, de biotecnologia e de saúde ficaram em terceiro lugar, e os sites do governo federal dos EUA em quarto lugar. Quase uma em cada 10 solicitações HTTP para ativos da internet do governo federal dos EUA foi parte de um ataque. Em quinto lugar, criptomoedas e depois agricultura e pesca não muito atrás.
Setores mais atacados por região
Agora vamos nos aprofundar para entender quais setores foram mais visados em cada região.
Ataques DDoS por HTTP: principais setores visados por ataques DDoS por HTTP por região
Análises regionais aprofundadas
África
Após dois trimestres consecutivos como o setor mais atacado, o setor de Telecomunicações caiu do primeiro para o quarto lugar. As empresas de produção de mídia foram o setor mais atacado na África. O setor bancário, de serviços financeiros e de seguros (BFSI) segue como o segundo mais atacado. Empresas de jogos e apostas ficaram em terceiro.
Ásia
O setor de criptomoedas continua sendo a mais atacada na APAC pelo segundo trimestre consecutivo. Jogos e apostas ficaram em segundo lugar. Empresas de tecnologia da informação e serviços ficaram em terceiro.
Europa
Pelo quarto trimestre consecutivo, o setor de jogos continua a ser o mais atacado na Europa. As empresas de varejo ficaram em segundo lugar e as empresas de software de computador em terceiro.
América Latina
A agricultura foi o setor mais visado na América Latina no terceiro trimestre. Ele sofreu impressionantes 53% de todos os ataques contra a América Latina. Muito atrás, as empresas de jogos e apostas foram as segundas mais visadas. As organizações cívicas e sociais ficaram em terceiro lugar.
Oriente Médio
As empresas de varejo foram as mais visadas no Oriente Médio no terceiro trimestre. As empresas de software de computador ficaram em segundo lugar e a indústria de jogos e apostas em terceiro.
América do Norte
Após dois trimestres consecutivos, o setor de marketing e publicidade caiu do primeiro para o segundo lugar. O de software de computador assumiu a liderança. Em terceiro lugar ficaram as empresas de telecomunicações.
Oceania
O setor de telecomunicações foi, de longe, o mais visado na Oceania no terceiro trimestre, mais de 45% de todos os ataques à Oceania.As empresas de criptomoedas e software de computador ficaram em segundo e terceiro lugares, respectivamente.
Principais setores atingidos por ataques DDoS nas camadas 3 e 4
Ao descer pelas camadas do modelo OSI, as redes e serviços de internet mais visados pertenciam ao setor de tecnologia da informação e serviços. Quase 35% de todo o tráfego de ataques DDoS nas camadas 3 e 4 (em bytes) teve como alvo o setor de tecnologia da informação e internet.
Muito atrás, as empresas de telecomunicações ficaram em segundo lugar, com apenas 3%. Jogos e apostas ficaram em terceiro, e as empresas do setor bancário, de serviços financeiros e de seguros (BFSI) em quarto.
Ataques DDoS nas camadas 3 e 4: principais setores atingidos em comparação com todo o tráfego de ataques
Ao comparar os ataques aos setores com todo o tráfego daquele setor específico, vemos que o setor musical salta para o primeiro lugar, seguido pelas empresas de segurança de computadores e redes, empresas de tecnologia da informação e internet e aviação e aeroespacial.
Ataques DDoS nas camadas 3 e 4: principais setores atingidos em comparação com seu próprio tráfego
Principais países atingidos por ataques DDoS por HTTP
Ao examinar o volume total de tráfego de ataques, os EUA continuam sendo o principal alvo dos ataques DDoS por HTTP. Quase 5% de todo o tráfego de ataques DDoS por HTTP teve como alvo os EUA.Cingapura ficou em segundo lugar e a China em terceiro.
Ataques DDoS por HTTP: principais países atingidos em comparação com todo o tráfego
Se normalizarmos os dados por país e região e dividirmos o tráfego de ataques pelo tráfego total, obtemos uma imagem diferente. Os três países mais atacados são nações insulares.
Anguila, um pequeno conjunto de ilhas a leste de Porto Rico, salta para o primeiro lugar como o país mais atacado. Mais de 75% de todo o tráfego para sites de Anguila foram ataques DDoS por HTTP. Em segundo lugar está a Samoa Americana, um grupo de ilhas a leste de Fiji. Em terceiro lugar, as Ilhas Virgens Britânicas.
Em quarto lugar, a Argélia e depois o Quênia, a Rússia, o Vietnã, Cingapura, Belize e o Japão.
Ataques DDoS por HTTP: principais países atingidos em comparação com seu próprio tráfego
Principais países atingidos por ataques DDoS nas camadas 3 e 4
Pelo segundo trimestre consecutivo, as redes e serviços de internet chineses continuam a ser os mais visados por ataques DDoS nas camadas 3 e 4. Esses ataques direcionados à China representam 29% de todos os ataques que observamos no terceiro trimestre.
Muito, muito atrás, os EUA ficaram em segundo lugar (3,5%) e Taiwan em terceiro lugar (3%).
Ataques DDoS nas camadas 3 e 4: principais países atingidos em comparação com todo o tráfego
Ao normalizar a quantidade de tráfego de ataques em comparação com todo o tráfego para um país, a China permanece em primeiro lugar e os EUA desaparecem dos dez primeiros. A Cloudflare constatou que 73% do tráfego para as redes de internet da China foram de ataques.No entanto, a classificação normalizada muda a partir do segundo lugar, com os Países Baixos recebendo a segunda maior proporção de tráfego de ataques (representando 35% do tráfego total do país), seguidos de perto pela Tailândia, Taiwan e Brasil.
Ataques DDoS nas camadas 3 e 4: principais países atingidos em comparação com seu próprio tráfego
Principais vetores de ataque
O Domain Name System, ou DNS, atua como a lista telefônica da internet. O DNS ajuda a traduzir o endereço do site de forma legível para os humanos (por exemplo, www.cloudflare.com) em um endereço de IP legível por máquinas (por exemplo, 104.16.124.96). Ao interromper os servidores de DNS, os invasores afetam a capacidade das máquinas de se conectarem a um site, tornando os sites indisponíveis para os usuários.
Pelo segundo trimestre consecutivo, os ataques DDoS baseados em DNS foram os mais comuns. Quase 47% de todos os ataques foram baseados em DNS. Isso representa um aumento de 44% em relação ao trimestre anterior. As inundações de SYN permanecem em segundo lugar, seguidas pelas inundações de RST, inundações de UDP e ataques da Mirai.
Principais vetores de ataque
Ameaças emergentes – reduzidas, reutilizadas e recicladas
Além dos vetores de ataque mais comuns, também observamos aumentos significativos em vetores de ataque menos conhecidos. Eles tendem a ser muito voláteis, pois os agentes de ameaças tentam “reduzir, reutilizar e reciclar” vetores de ataque mais antigos. Eles tendem a ser protocolos baseados em UDP que podem ser explorados para lançar ataques DDoS de amplificação e reflexão.
Uma tática bem conhecida que continuamos a observar é o uso de ataques de amplificação/reflexão. Neste método de ataque, o invasor desvia o tráfego dos servidores e direciona as respostas para a vítima. Os invasores são capazes de direcionar o tráfego devolvido para suas vítimas por meio de vários métodos, como falsificação de IP.
Outra forma de reflexão pode ser alcançada de forma diferente em um ataque denominado "ataque de lavagem de DNS". Em um ataque de lavagem de DNS, o invasor consulta subdomínios de um domínio que é gerenciado pelo servidor de DNS da vítima. O prefixo que define o subdomínio é aleatório e nunca é usado mais do que uma ou duas vezes em tal ataque. Devido ao elemento de aleatoriedade, os servidores de DNS recursivos nunca terão uma resposta armazenada em cache e precisarão encaminhar a consulta para o servidor DNS autoritativo da vítima. O servidor DNS autoritativo é então bombardeado com tantas consultas que não consegue atender consultas legítimas ou até mesmo pode falhar completamente.
Ilustração de um ataque de reflexão e de amplificação
No geral, no terceiro trimestre, os ataques DDoS baseados em Multicast DNS (mDNS) foram o método de ataque que mais aumentou. Em segundo lugar ficaram os ataques que exploram o Constrained Application Protocol (CoAP) e, em terceiro, o Encapsulating Security Payload (ESP). Vamos conhecer um pouco melhor esses vetores de ataque.
Principais ameaças emergentes
Ataques DDoS mDNS aumentaram 456%
Multicast DNS (mDNS) é um protocolo baseado em UDP usado em redes locais para descoberta de serviços/dispositivos. Os servidores mDNS vulneráveis respondem a consultas unicast originadas fora da rede local, que são “falsificadas” (alteradas) com o endereço de origem da vítima. Isso resulta em ataques de amplificação. No terceiro trimestre, notamos um grande aumento nos ataques mDNS; um aumento de 456% em relação ao trimestre anterior.
Ataques DDoS CoAP aumentaram 387%
O Constrained Application Protocol (CoAP) foi projetado para uso em eletrônica simples e permite a comunicação entre dispositivos de maneira leve e com baixo consumo de energia. No entanto, pode ser utilizado de forma abusiva para ataques DDoS através de falsificação de IP ou amplificação, à medida que agentes maliciosos exploram o seu suporte multicast ou aproveitam dispositivos CoAP mal configurados para gerar grandes quantidades de tráfego de rede indesejado. Isto pode levar à interrupção do serviço ou à sobrecarga dos sistemas visados, tornando-os indisponíveis para usuários legítimos.
Ataques DDoS ESP aumentaram 303%
O protocolo Encapsulating Security Payload (ESP) faz parte do IPsec e fornece confidencialidade, autenticação e integridade às comunicações de rede. No entanto, pode ser potencialmente abusado em ataques DDoS se agentes maliciosos explorarem sistemas mal configurados ou vulneráveis para refletir ou amplificar o tráfego em direção a um alvo, levando à interrupção do serviço. Tal como acontece com outros protocolos, proteger e configurar adequadamente os sistemas que utilizam ESP é essencial para mitigar os riscos de ataques DDoS.
Ataque DDoS com pedido de resgate
Ocasionalmente, os ataques DDoS são realizados para extorquir pagamentos de resgate. Temos realizado pesquisas com os clientes da Cloudflare há três anos e acompanhado a ocorrência de eventos de ataques DDoS com pedido de resgate.
Comparação entre ataques de ransomware e DDoS com pedido de resgate
Ao contrário dos ataques de ransomware, nos quais as vítimas geralmente caem em armadilhas ao baixar um arquivo malicioso ou clicar em um link comprometido em um e-mail, que bloqueia, exclui ou vaza seus arquivos até que um resgate seja pago, os ataques DDoS com pedido de resgate podem ser muito mais simples para os agentes de ameaças executarem. Os ataques DDoS com pedido de resgate evitam a necessidade de táticas enganosas, como atrair vítimas para abrir e-mails suspeitos ou clicar em links fraudulentos, e não exigem uma violação da rede ou acesso a recursos corporativos.
No último trimestre, os relatos de ataques DDoS com pedido de resgate continuaram a diminuir. Aproximadamente 8% dos entrevistados relataram ter sido ameaçados ou sujeitos a ataques DDoS com pedido de resgate, o que dá continuidade ao declínio que temos acompanhado ao longo do ano. Esperamos que seja porque os agentes da ameaça perceberam que as organizações não vão pagar (que é a nossa recomendação).
Ataques DDoS com pedido de resgate por trimestre
No entanto, tenha em mente que isto também é muito sazonal e podemos esperar um aumento nos ataques DDoS com pedido de resgate durante os meses de novembro e dezembro. Se analisarmos os números do quarto trimestre dos últimos três anos, podemos ver que os ataques DDoS com pedido de resgate têm aumentado significativamente em relação ao ano anterior em novembro. Nos últimos quartos trimestres, chegou-se a um ponto em que um em cada quatro entrevistados relatou ter sido sujeito a ataques DDoS com pedido de resgate.
Melhorando suas defesas na era dos ataques DDoS hipervolumétricos
No último trimestre, observamos um aumento sem precedentes no tráfego de ataques DDoS. Esse aumento foi impulsionado em grande parte pela campanha de ataques DDoS por HTTP/2 hipervolumétricos.
Os clientes da Cloudflare que usam nosso proxy reverso HTTP, ou seja, nossos serviços CDN/WAF, já estão protegidos contra esses e outros ataques DDoS por HTTP. Os clientes da Cloudflare que usam serviços não HTTP e as organizações que não usam a Cloudflare são fortemente incentivados a usar um serviço de proteção contra DDoS por HTTP automatizado e sempre ativo para seus aplicativos HTTP.
É importante lembrar que a segurança é um processo, não um único produto ou um toque de botão. Além de nossos sistemas automatizados de proteção contra DDoS, oferecemos recursos abrangentes, como firewall, detecção de bots, proteção de APIs e armazenamento em cache para reforçar suas defesas. Nossa abordagem multicamadas otimiza sua postura de segurança e minimiza o possível impacto. Também reunimos uma lista de recomendações para ajudar a otimizar suas defesas contra ataques DDoS, e você pode seguir nossos assistentes passo a passo para proteger seus aplicativos e evitar ataques DDoS.
...Metodologias do relatórioSaiba mais sobre nossas metodologias e como geramos esses insights: https://developers.cloudflare.com/radar/reference/quarterly-ddos-reports