De acordo o relatório “Summary of DPS Attacks in 2022”, realizado pela NSFOCUS, referência global em soluções de cibersegurança, por meio do Active Defense Business Operations System, mais de 150 Gbps de ataques foram registrados nos 12 meses do ano passado, com 68,24% deles menores que 5 Gbps e 2,18% maiores que 100 Gbps.
No mês de abril, o time registrou e mitigou o maior ataque DDoS volumétrico de 2022, em um pico de 309,4 Gbps. Entre os trimestres, julho, agosto e setembro registraram os maiores volumes de ataques DDoS, com 30% do total, sendo que o UDP Flood* foi o tipo de ataque predominante, seguido pelo ACK Flood**.
Novos tipos de ataques
Em meio a pesquisa foram detectados novos tipos de ataques, como o de amplificação de reflexão baseado no CVE-2022-26143, o UDP Flood com a porta de destino 10074 e o alto impacto do TP-240 usando um único pacote. Outra descoberta realizada pelos especialistas da NSFOCUS ao examinar o binário tp240dvr revelou que, devido ao seu design, um invasor pode fazer com que o serviço emita 2.147.483.647 respostas a um único comando malicioso. Cada resposta gera dois pacotes, levando a cerca de 4.294.967.294 pacotes amplificados direcionados à vítima do ataque.
Também foram capturados alguns pacotes de UDP Flood, que são usados frequentemente para comunicações entre dispositivos IoT, e descobriu que o UDP possui informações de cabeçalhos HTTP. Com isso, os invasores podem usar a técnica para fazer com que os dispositivos da rede pública se tornem fontes de reflexão para ataques DDoS.
Segundo Marcio Oliveira, engenheiro de pré-vendas da NSFOCUS para América Latina, o relatório corrobora com as expectativas de alta e aprimoramento dos ataques no mundo todo. “Tivemos uma explosão de crimes virtuais, com destaque para àqueles com volumes de tráfego maiores que 150 Gbps, observados em todos os 12 meses de 2022, com pico que ultrapassou 300 Gbps”.
Outro ponto que chama a atenção do especialista é a versatilidade e a variação dos meios de execução usados pelos cibercriminosos, culminando em 28 técnicas registradas ao longo do ano. “Ou seja, o crescimento de dispositivos conectados à internet, sobretudo IoT, que são grandes fontes de retransmissão de ataques distribuídos, deve culminar no maior número de elementos vulneráveis e prontos para servir como vetores de ataques”, finaliza.
*UDP Flood é o ataque onde o criminoso sobrecarrega portas aleatórias do alvo com pacotes IP contendo datagramas UDP (User Datagram Protocol), que checa as aplicações e, não os encontrando, retorna um pacote. Com mais e mais pacotes UDP sendo recebidos e respondidos, o sistema sobrecarrega e deixa de responder outros clientes.
**ACK Flood é um ataque de inundação onde o invasor sobrecarrega um servidor com pacotes ACK TCP (sistema de endereços da internet), com o objetivo de negar o serviço a outros usuários, diminuindo a velocidade ou travando o alvo com dados indesejados.
