Há alguns anos, agências de pesquisa e prestadores de serviços de segurança da informação começaram a relatar número de ataques DDoS. Mas no primeiro trimestre de 1, os mesmos investigadores relataram a sua impressionante em 84%. E então tudo foi ficando cada vez mais forte. Mesmo a pandemia não contribuiu para a atmosfera de paz – pelo contrário, os cibercriminosos e os spammers consideraram este um excelente sinal para atacar, e o volume de DDoS aumentou .
Acreditamos que o tempo para ataques DDoS simples e facilmente detectados (e ferramentas simples que podem evitá-los) acabou. Os cibercriminosos melhoraram em esconder esses ataques e em executá-los com cada vez mais sofisticação. A indústria obscura passou da força bruta para ataques em nível de aplicação. Ela recebe ordens sérias para destruir processos de negócios, inclusive os bastante off-line.
Invadindo a realidade
Em 2017, uma série de ataques DDoS contra os serviços de transporte suecos resultou em . Em 2019, o operador ferroviário nacional da Dinamarca Os sistemas de vendas caíram. Com isso, as máquinas de bilhetes e os portões automáticos não funcionaram nas estações e mais de 15 mil passageiros não conseguiram sair. Também em 2019, um poderoso ataque cibernético causou um corte de energia em .
As consequências dos ataques DDoS são agora sentidas não apenas pelos utilizadores online, mas também pelas pessoas, como se costuma dizer, IRL (na vida real). Embora historicamente os invasores tenham como alvo apenas serviços on-line, seu objetivo agora é frequentemente interromper qualquer operação comercial. Estimamos que hoje mais de 60% dos ataques têm esse propósito – extorsão ou concorrência desleal. As transações e a logística são especialmente vulneráveis.
Mais inteligente e mais caro
O DDoS continua a ser considerado um dos tipos de crime cibernético mais comuns e de crescimento mais rápido. Segundo especialistas, a partir de 2020 seu número só aumentará. Isto está associado a vários motivos - com uma transição ainda maior dos negócios online devido à pandemia, e com o desenvolvimento da indústria paralela do cibercrime, e mesmo com .
Os ataques DDoS tornaram-se “populares” devido à sua facilidade de implantação e baixo custo: apenas alguns anos atrás, eles podiam ser lançados por US$ 50 por dia. Hoje, tanto os alvos como os métodos de ataque mudaram, aumentando a sua complexidade e, consequentemente, o custo. Não, preços a partir de US$ 5 por hora ainda estão nas tabelas de preços (sim, os cibercriminosos têm tabelas de preços e tabelas de tarifas), mas para um site com proteção já exigem a partir de US$ 400 por dia, e o custo de pedidos “individuais” para grandes empresas atinge vários milhares de dólares.
Existem atualmente dois tipos principais de ataques DDoS. O primeiro objetivo é tornar um recurso online indisponível por um determinado período de tempo. Os atacantes cobram por eles durante o ataque em si. Nesse caso, o operador DDoS não se preocupa com nenhum resultado específico e o cliente paga adiantado para lançar o ataque. Esses métodos são bastante baratos.
O segundo tipo são os ataques que são pagos somente quando um determinado resultado é alcançado. É mais interessante com eles. São muito mais difíceis de implementar e, portanto, significativamente mais caros, uma vez que os atacantes devem escolher os métodos mais eficazes para atingir os seus objectivos. Na Variti, às vezes jogamos partidas inteiras de xadrez com cibercriminosos, onde eles mudam instantaneamente de táticas e ferramentas e tentam invadir múltiplas vulnerabilidades em vários níveis ao mesmo tempo. Estes são claramente ataques de equipe nos quais os hackers sabem perfeitamente como reagir e contrariar as ações dos defensores. Lidar com eles não é apenas difícil, mas também muito dispendioso para as empresas. Por exemplo, um de nossos clientes, um grande varejista online, manteve durante quase três anos uma equipe de 30 pessoas, cuja tarefa era combater ataques DDoS.
De acordo com Variti, ataques DDoS simples realizados puramente por tédio, trollagem ou insatisfação com uma determinada empresa representam atualmente menos de 10% de todos os ataques DDoS (é claro, recursos desprotegidos podem ter estatísticas diferentes, olhamos os dados de nossos clientes) . Todo o resto é trabalho de equipes profissionais. No entanto, três quartos de todos os bots “ruins” são bots complexos que são difíceis de detectar usando a maioria das soluções modernas do mercado. Eles imitam o comportamento de usuários ou navegadores reais e introduzem padrões que dificultam a distinção entre solicitações “boas” e “ruins”. Isso torna os ataques menos perceptíveis e, portanto, mais eficazes.
Dados da GlobalDots
Novos alvos DDoS
Relatório de analistas da GlobalDots afirma que os bots agora geram 50% de todo o tráfego da web, e 17,5% deles são bots maliciosos.
Os bots sabem como arruinar a vida das empresas de diferentes maneiras: além de “cravar” sites, agora também estão empenhados em aumentar os custos de publicidade, clicar em anúncios, analisar preços para ganhar um centavo a menos e atrair compradores e roubar conteúdo para vários fins nocivos (por exemplo, recentemente sobre sites com conteúdo roubado que forçam os usuários a resolver captchas de outras pessoas). Os bots distorcem enormemente diversas estatísticas empresariais e, como resultado, as decisões são tomadas com base em dados incorretos. Um ataque DDoS costuma ser uma cortina de fumaça para crimes ainda mais graves, como hacking e roubo de dados. E agora vemos que toda uma nova classe de ameaças cibernéticas foi adicionada - esta é uma interrupção no trabalho de certos processos de negócios da empresa, muitas vezes offline (já que em nossa época nada pode estar completamente “offline”). Especialmente frequentemente vemos que os processos logísticos e as comunicações com os clientes falham.
"Não entregue"
Os processos de negócios logísticos são fundamentais para a maioria das empresas, por isso são frequentemente atacados. Aqui estão os possíveis cenários de ataque.
não disponível
Se você trabalha com comércio online, provavelmente já está familiarizado com o problema dos pedidos falsos. Quando atacados, os bots sobrecarregam os recursos logísticos e tornam as mercadorias indisponíveis para outros compradores. Para isso, fazem um grande número de pedidos falsos, igual ao número máximo de produtos em estoque. Essas mercadorias não são pagas e depois de algum tempo são devolvidas ao local. Mas a escritura já foi feita: foram marcados como “esgotados” e alguns compradores já recorreram a concorrentes. Essa tática é bem conhecida no setor de passagens aéreas, onde os bots às vezes “vendem” instantaneamente todas as passagens assim que ficam disponíveis. Por exemplo, um dos nossos clientes, uma grande companhia aérea, sofreu um ataque deste tipo organizado por concorrentes chineses. Em apenas duas horas, seus bots encomendaram 100% dos ingressos para determinados destinos.
Bots de tênis
O próximo cenário popular: os bots compram instantaneamente uma linha inteira de produtos e seus proprietários os vendem posteriormente a um preço inflacionado (em média, uma margem de lucro de 200%). Esses bots são chamados de bots de tênis, porque esse problema é bem conhecido na indústria de tênis da moda, especialmente em coleções limitadas. Os bots compraram novas linhas que surgiram em quase minutos, enquanto bloqueavam o recurso para que usuários reais não pudessem passar por lá. Este é um caso raro em que os bots foram escritos em revistas da moda. Embora, em geral, os revendedores de ingressos para eventos bacanas, como jogos de futebol, utilizem o mesmo cenário.
Outros cenários
Mas isso não é tudo. Existe uma versão ainda mais complexa de ataques à logística, que ameaça com graves perdas. Isso pode ser feito caso o serviço possua a opção “Pagamento no recebimento da mercadoria”. Os bots deixam pedidos falsos desses produtos, indicando endereços falsos ou mesmo reais de pessoas inocentes. E as empresas incorrem em custos enormes de entrega, armazenamento e descoberta de detalhes. Neste momento, as mercadorias não estão disponíveis para outros clientes e também ocupam espaço no armazém.
O que mais? Os bots deixam críticas falsas e negativas sobre produtos, bloqueiam a função de “devolução de pagamento”, bloqueiam transações, roubam dados de clientes, enviam spam para clientes reais – há muitas opções. Um bom exemplo é o recente ataque à DHL, Hermes, AldiTalk, Freenet, Snipes.com. Hackers , que estão “testando sistemas de proteção DDoS”, mas no final colocaram de lado o portal de clientes empresariais da empresa e todas as APIs. Como resultado, ocorreram grandes interrupções na entrega de mercadorias aos clientes.
Ligue amanhã
No ano passado, a Comissão Federal de Comércio (FTC) relatou uma duplicação nas reclamações de empresas e usuários sobre spam e ligações fraudulentas de bots. De acordo com algumas estimativas, equivalem a todas as chamadas.
Tal como acontece com o DDoS, os objetivos do TDoS – ataques massivos de bots em telefones – variam de “hoaxes” a competição sem escrúpulos. Os bots podem sobrecarregar os contact centers e evitar que clientes reais sejam perdidos. Este método é eficaz não apenas para call centers com operadoras “ao vivo”, mas também onde são utilizados sistemas AVR. Os bots também podem atacar massivamente outros canais de comunicação com os clientes (chat, e-mails), atrapalhar o funcionamento dos sistemas de CRM e até, até certo ponto, afetar negativamente a gestão de pessoal, pois os operadores ficam sobrecarregados tentando fazer frente à crise. Os ataques também podem ser sincronizados com um ataque DDoS tradicional aos recursos online da vítima.
Recentemente, um ataque semelhante interrompeu o trabalho do serviço de resgate nos EUA - as pessoas comuns que precisavam urgentemente de ajuda simplesmente não conseguiam passar. Na mesma época, o Zoológico de Dublin sofreu o mesmo destino, com pelo menos 5000 pessoas recebendo mensagens de texto SMS de spam incentivando-as a ligar urgentemente para o número de telefone do zoológico e pedir uma pessoa fictícia.
Não haverá Wi-Fi
Os cibercriminosos também podem bloquear facilmente uma rede corporativa inteira. O bloqueio de IP é frequentemente usado para combater ataques DDoS. Mas esta não é apenas uma prática ineficaz, mas também muito perigosa. O endereço IP é fácil de encontrar (por exemplo, através do monitoramento de recursos) e fácil de substituir (ou falsificar). Tivemos clientes antes de vir para a Variti onde o bloqueio de um IP específico simplesmente desativava o Wi-Fi em seus próprios escritórios. Houve um caso em que um cliente “deslizou” o IP necessário e bloqueou o acesso ao seu recurso para usuários de uma região inteira, e por muito tempo não percebeu isso, pois senão todo o recurso funcionava perfeitamente.
O que há de novo?
Novas ameaças exigem novas soluções de segurança. No entanto, este novo nicho de mercado está apenas começando a surgir. Existem muitas soluções para repelir com eficácia ataques simples de bots, mas com os complexos não é tão simples. Muitas soluções ainda praticam técnicas de bloqueio de IP. Outros precisam de tempo para coletar os dados iniciais para começar, e esses 10 a 15 minutos podem se tornar uma vulnerabilidade. Existem soluções baseadas em aprendizado de máquina que permitem identificar um bot pelo seu comportamento. E, ao mesmo tempo, as equipes do “outro” lado se gabam de já possuírem bots que podem imitar padrões reais, indistinguíveis dos humanos. Ainda não está claro quem vencerá.
O que fazer se você tiver que lidar com equipes profissionais de bots e ataques complexos e em vários estágios em vários níveis ao mesmo tempo?
Nossa experiência mostra que você precisa se concentrar na filtragem de solicitações ilegítimas sem bloquear endereços IP. Ataques DDoS complexos exigem filtragem em vários níveis ao mesmo tempo, incluindo nível de transporte, nível de aplicativo e interfaces API. Graças a isso, é possível repelir até ataques de baixa frequência que geralmente são invisíveis e, portanto, muitas vezes perdidos. Finalmente, todos os usuários reais devem ter permissão para passar, mesmo enquanto o ataque estiver ativo.
Em segundo lugar, as empresas precisam da capacidade de criar os seus próprios sistemas de protecção em várias fases, que, além de ferramentas para prevenir ataques DDoS, terão sistemas integrados contra fraude, roubo de dados, protecção de conteúdos, e assim por diante.
Terceiro, eles devem funcionar em tempo real desde a primeira solicitação – a capacidade de responder instantaneamente a incidentes de segurança aumenta muito as chances de prevenir um ataque ou reduzir seu poder destrutivo.
Futuro próximo: gestão de reputação e coleta de big data usando bots
A história do DDoS evoluiu de simples para complexa. A princípio, o objetivo dos invasores era impedir o funcionamento do site. Eles agora acham mais eficiente direcionar os processos de negócios principais.
A sofisticação dos ataques continuará a aumentar, é inevitável. Além disso, o que os bots malvados estão fazendo agora - roubo e falsificação de dados, extorsão, spam - os bots coletarão dados de um grande número de fontes (Big Data) e criarão contas falsas “robustas” para gerenciamento de influência, reputação ou phishing em massa.
Atualmente, apenas as grandes empresas podem investir em proteção contra DDoS e bots, mas nem sempre conseguem monitorar e filtrar totalmente o tráfego gerado por bots. A única coisa positiva sobre o fato de os ataques de bots estarem se tornando mais complexos é que isso estimula o mercado a criar soluções de segurança mais inteligentes e avançadas.
O que você acha – como a indústria de proteção contra bots se desenvolverá e quais soluções são necessárias no mercado neste momento?
Fonte: habr.com