Ataques DDos: novo método amplifica ataques

Os cibercriminosos que disparam ataques de negação de serviço distribuídos (DDos) agora estão empregando uma técnica nova e altamente eficaz ao seu arsenal para amplificar os ataques em até 51,2 mil vezes, usando servidores memcached mal-configurados acessados ​​via Internet.

A técnica foi reportada pela Akamai, Arbor Networks e Cloudflare esta semana. As empresas observaram um aumento nos ataques DDoS usando pacotes UDP (User Datagram Protocol), amplificados pelos servidores memcached, nos últimos dois dias. Essas máquinas são um tipo de servidor utilizado para reforçar a capacidade de resposta dos sites baseados em banco de dados, melhorando o sistema de cache de memória.

“Infelizmente, há várias implementações de memcached em todo o mundo usando a configuração insegura padrão”, escreveu Marek Majkowski, engenheiro da Cloudflare, em descrição técnica dos ataques DDoS.

Ataques de reflexão ocorrem quando um atacante forja os endereços IP da vítima para estabelecer os sistemas dela como fonte de pedidos enviados para uma grande quantidade de máquinas. Os destinatários emitem milhões de respostas à rede da vítima e, finalmente, a derrubam. Esse tipo de ataque DDoS difere dos de amplificação, em que servidores DNS abertos de acesso público são usados ​​para inundar vítimas com respostas DNS.

No caso de ataques de amplificação, os invasores puderam enviar uma solicitação de pacote baseada em UDP de pequeno tamanho ao servidor memcached (na porta 11211). Os pacotes seriam falsificados para aparecer como se fossem enviados do alvo pretendido do ataque DDoS. Em resposta, o servidor memcached envia ao alvo falsificado uma resposta massivamente desproporcional.

15 bytes

“Quinze bytes de solicitação desencadearam 134KB de resposta. É um fator de ampliação de 10 mil vezes! Na prática, vimos um resultado de 15 bytes com resposta de 750KB (amplificação de 51 200x) “, disse Majkowski.

As implicações de tal ataque, que requer tão poucos recursos com impacto tão grande, são abrangentes, não apenas contra as vítimas, mas também em termos de infra-estrutura crítica de rede, disseram os pesquisadores.

“É difícil determinar o fator de amplificação exato do memcached, mas os ataques que a Akamai viu geraram quase 1 Gbps por refletor. Outras organizações relataram ataques acima de 500 Gbps”, de acordo com alerta da Akamai.

De acordo com estimativas, existem mais de 88 mil servidores abertos vulneráveis ​​a abusos. Servidores memcached vulneráveis ​​foram identificados globalmente, com a maior concentração na América do Norte e na Europa, disse a Cloudflare.

Para piorar as coisas, esses servidores suportam UDP, protocolo de comunicação alternativo para o TCP e considerados maduros para abusos em ataques de amplificação.

“A especificação do UDP mostra ser um dos melhores ​​para amplificação! Há absolutamente zero verificações, e os dados são entregues ao cliente com velocidade máxima! Além disso, o pedido pode ser minúsculo e a resposta enorme”, observaram os pesquisadores da Cloudflare.

“Semelhante à maioria dos ataques de reflexão e amplificação anteriores, a principal solução para ataques memcached é não ter os refletores expostos na Internet. No entanto, confiar em administradores remotos de sistemas para remover seus servidores da Internet não é uma solução de resultados imediatos. Entretanto, as organizações precisam estar preparadas para mais ataques multigigabit usando este protocolo”, disse a Akamai.

Fonte: Kaspersky

O perigo associado aos ataques DDoS

DDOS-Attack

Grandes quantias de dinheiro têm sido roubadas através de uma nova tática utilizada pelos cibercriminosos – onde um ataque DDos é utilizado como “cortina de fumaça” para encobrir as verdadeiras ações e assalto ao sistema de pagamentos de um banco.

Avivah Litan, analista da Gartner, descreve este tipo de ataque como “sinistro” e afirma que ele surgiu nos últimos meses. Em conversa com a SC Magazine, Litan afirmou que estes ataques DDoS mascarados já foram utilizados em diversos roubos, totalizando “milhões”.

Litan escreveu no blog da Gartner que os “ataques DDoS são um método cada vez mais popular para os criminosos captarem a atenção dos responsáveis de segurança do banco, sendo que estas alturas são aproveitadas para se levarem a cabo diversas fraudes nos sistemas bancários”.

Se até agora os ataques visavam normalmente contas bancárias individuais, agora visam sistemas de pagamento o que representa uma mudança significativa na táctica.

“Assim que o ataque DDoS (Distributed Denial of Service) está em andamento, os cibercriminosos tentam acessar o sistema de pagamentos através de uma conta de usuário com privilégios. Deste modo, ao invés de terem de acessar à conta dos usuários uma a uma, para desviarem dinheiro, podem controlar todo o sistema de pagamentos e roubar o máximo de dinheiro possível até serem descobertos”.

“Destes ataques resultam prejuízos financeiros consideráveis”. Uma forma de evitar estes problemas será, por exemplo, controlar-se o sistema de transferência de dinheiro, enquanto estiver a ocorrer um ataque DDoS.

Em tempo: Um ataque de negação de serviço (também conhecido como DoS Attack, um acrônimo em inglês para Denial of Service), é uma tentativa em tornar os recursos de um sistema indisponíveis para seus usuários. Alvos típicos são servidores web, e o ataque tenta tornar as páginas hospedadas indisponíveis na Internet. Não se trata de uma invasão do sistema, mas sim da sua invalidação por sobrecarga. Os ataques de negação de serviço são feitos geralmente de duas formas:
– Forçar o sistema vítima a reinicializar ou consumir todos os recursos (como memória ou processamento por exemplo) de forma que ele não pode mais fornecer seu serviço.
– Obstruir a mídia de comunicação entre os usuários e o sistema vítima de forma a não comunicarem-se adequadamente.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: Eset blog

Downloads de ferramentas para ataques DDoS continuam crescendo

O número de downloads da ferramenta chamada LOIC (sigla para Low Orbit IonCannon), utilizada para realizar ataques DDoS, disparou este ano, superando o número total referente a 2011, a uma taxa de 3,5 mil downloads por dia, de acordo com a empresa de segurança Imperva. Até 22/4 deste ano, a quantidade de vezes que o LOIC havia sido baixado durante 2011 inteiro (que corresponde a 381 mil vezes) foi superada, e a marca deve ultrapassar 1 milhão antes de 2013.

No ano passado, os EUA continuavam como maior fonte de downloads da ferramenta, que foi baixada no país cerca de 73 mil vezes, seguidos este ano por França, Brasil, Ucrânia e Polônia, respectivamente. O Reino Unido despencou da quinta para a oitava posição, entretanto o número de downloads feitos em 2011 (12.392) facilmente deixará o ano passado comendo poeira, quando a ferramenta foi requisitada 16.734 vezes.

A crescente popularidade do LOIC é surpreendente, visto que o recurso também pode ser executado como uma ferramenta Java em um website sem a necessidade de executar um app dedicado. Esse método é muito menos eficiente, porém ele também é suscecível a rastreamento através de endereço de IP. Uma possibilidade é que o LOIC está sendo baixado para atacar alvos que provavelmente não recorram às autoridades, como governos impopulares como Síria ou Irã.

Contudo, a curiosidade dos usuários que desejam ter uma ferramenta DDoS tem sido explorada por cibercriminosos. No começo do ano, durante a polêmica a respeito do fechamento do Megaupload, um cracker alterou o link de download de uma ferramenta de DDoS para fazer com que os usuários baixassem um trojan capaz de roubar dados bancários. Enquanto milhares de pessoas pensavam que estavam baixando uma ferramenta para “se vingar”, estavam, na verdade, dando seus dados bancários a crackers.

Agradeço ao Davi, amigo e colaborador do Seu micro seguro, pela referência a esta notícia.

Fonte: IDG Now!