Ataques DDoS crescem nos meios financeiros, e isso preocupa

DDOS-AttackOs ataques de Distributed Denial-of-Service (ataques distribuídos de negação de serviço, DDoS em sua sigla em inglês), nos quais vários computadores atacam um único sistema para tornar uma rede ou website indisponível para seus usuários, devem ser considerados mais do que uma tentativa temporária de derrubar sites e impedir o acesso a serviços.

Principalmente nos setores financeiros, os ataques de DDoS têm aumentado muito, ganhando espaço na mídia nos últimos anos. Países como a Suíça tem sido particularmente vítimas desses ataques, por conta de seu setor de serviços financeiros de alta tecnologia. O ataque mais recente aconteceu em março de 2016, quando um grupo conhecido como NSHC assumiu a responsabilidade pela ação contra sites de diversas organizações suíças, partidos políticos, incluindo o Swiss People’s Party (SVP), a operadora ferroviária nacional e varejistas online. Durante o ataque ao SVP, 50 mil endereços de e-mail, nomes e listas de contatos foram roubados.

Esse tipo de investida sobrecarrega um site ou rede por meio de uma grande quantidade de solicitações falsas geradas pelos sistemas comprometidos, conhecidos coletivamente por botnet. O objetivo inicial dos ataques DDoS é interromper a rede alvo e negar acesso aos usuários verdadeiros. Muitas vezes, porém, além de paralisar o website, os hackers utilizam estes ataques para mascarar ações mais perigosas, funcionando como uma cortina de fumaça para mascarar o roubo de dados dos clientes e inclusão de vírus e malware para invadir redes.

Espera-se que a frequência desses ataques traiçoeiros aumente, à medida que se tornam mais sofisticados e audaciosos. Cibercriminosos já fizeram sites reféns e ameaçaram causar danos a indivíduos ou instalações até receber dinheiro como resgate.

Para combater esse tipo ação, as empresas precisam adotar medidas como:

√ Instruir funcionários em treinamentos de segurança para assegurar que eles tenham cautela ao utilizar os computadores da empresa.
√ Estabelecer políticas internas de proteção digital.
√ Encontrar um fornecedor de segurança que possa conduzir ataques simulados e testes de invasão para verificar vulnerabilidades existentes na rede e falhas nos sistemas de segurança.
√ Instalar uma proteção de DDoS abrangente e proativa com um parceiro que possua recursos de scrubbing (depuração de dados).

Para o futuro de seus negócios, é fundamental que as empresas estejam preparadas para se proteger das ações cada vez mais sofisticadas dos criminosos da internet.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech Corporate

Brasil: entre os 10 países líderes em ataques de negação de serviço

DDoS concept

O mais recente relatório sobre ataques de negação de serviço desenvolvido pela Nexus guard coloca o Brasil na sexta posição de um ranking de países que mais foram alvo desse tipo de golpe. De acordo com o levantamento, mais de 3,6 mil tentativas de DDoS foram registradas por aqui no último trimestre de 2015, um total que nos coloca à frente de países como a Alemanha, por exemplo.

Apesar disso, o número de ataques registrados no Brasil ainda é bem menor que os vistos no topo do ranking. E isso acontece, principalmente, por uma tendência interessante identificada pela Nexusguard – entre outubro e dezembro de 2015, os golpes de DDoS foram motivados mais por tensões e inimizades políticas do que efetivamente por tentativas de interromper os serviços de companhias.

Foi isso que, por exemplo, colocou a Turquia no topo dessa lista, com mais de 118 mil golpes do tipo identificados. Mais do que isso, esse total foi registrado em pouco menos de um mês e meio, entre 13 de novembro e 27 de dezembro do ano passado, com o crescimento das tensões entre o país e a Rússia, uma nação que já é velha conhecida quando se fala em ataques desse tipo.

Em segundo lugar, estão os Estados Unidos, que sempre aparecem na lista, com pouco mais de 31 mil golpes identificados. Na sequência vem a China (17,6 mil), França (5,7 mil) e Grã-Bretanha (4 mil). Alemanha, Russia, Canadá e Áustria completam a lista dos dez países que mais receberam ataques.

É importante lembrar que os números indicam tentativas, e não necessariamente golpes bem-sucedidos. Para chegar aos resultados, a Nexusguard analisou a rede em busca de vetores de ataques ou de diversos IPs, em sequência, acessando muitas vezes um mesmo domínio de forma simultânea. A eficácia desse tipo de ação, entretanto, depende da força dos servidores que estão recebendo o alto volume de acessos, e eles podem ou não acabar saindo do ar.

Para a Nexusguard, as questões de política cada vez mais serão grandes motivadores para a realização de ataques DDoS. O governo brasileiro, por exemplo, foi alvo de golpes desse tipo durante o primeiro fim de semana de fevereiro, que derrubaram o site da Presidência da República e causaram lentidão em outros domínios, como os da Polícia Federal, Ministério Público e Receita Federal.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech

Hackers usam roteadores brasileiros para ataques DDoS

hackersA empresa de segurança Incapsula descobriu uma botnet (rede de programas conectados à internet que se comunicam entre si) de roteadores usada para realizar ataques DDoS a fim de derrubar determinados sites.

Segundo a empresa, 21% dos 40.269 endereços de IP de onde vinham os ataques estavam no Brasil. O país era o segundo com maior número de IPs realizando ataques. A Tailância, com 64% dos endereços, era o primeiro.

De acordo com a Incapsula, os roteadores que participam da botnet estão infectados por ao menos duas dentre centenas de variantes de malwares ao mesmo tempo. Entre os mais comuns estavam os malwares MrBlack, Dofloo e Mayday.

Ataques DDoS (Distributed Denial of Service) acontecem quando muitos IPs diferentes tentam acessar o mesmo site smultaneamente. O servidor no qual o site está hospedado não consegue processar todas as solicitações de acesso e, com isso, o site sai do ar.

Além de realizar ataques DDoS, os hackers infectados também podem fornecer informações sobre os hábitos de navegação dos usuários conectados a ele a pessoas indesejadas e até acessar dispositivos conectados à rede.

A infecção dos roteadores decorre em parte, segundo o ArsTechnica, da proliferação de usuários inexperientes e de roteadores mal configurados. Até certo ponto, isso acontece de propósito: fabricantes precisam fazer com que seus dispositivos sejam facilmente acessíveis e confguráveis. Por esse motivo, eles muitas vezes possuem nomes de usuário e senhas facilmente decifráveis.

Uma das maneiras de evitar que seu roteador seja infectado é alterando as credenciais de acesso. Se o seu nome de usuário é “admin” e a senha é “admin”, essa é a primeira medida a ser alterada. Cada roteador exige um procedimento diferente para isso, mas eles em geral vêm com um guia de configuração que explica o processo. Esse vídeo também oferece mais dicas para proteger sua rede.

Outra medida importante a ser tomada é desativar os recursos de acesso, administração ou gerenciamento remoto. O recurso permite que o usuário mude as configurações do roteador de qualquer lugar do mundo, mas acaba também permitindo esse acesso a usuários ou programas mal intencionados.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital

Ataques DDoS crescem assustadoramente no Brasil

DDOS-Attack-lizard-stresserAs notificações de incidentes de rede triplicaram no ano passado, com especial destaque para ataques de negação de serviço – que chegaram a 223.935 casos, ou 217 vezes maior do que o registrado um ano antes. No total, as notificações ao Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) somaram 1.047.031 em 2014.

“Este tipo de ataque só funciona porque as redes abusadas não implementam uma técnica chamada Antispoofing. É importante que todos os provedores de conectividade e todas as empresas implementem esta técnica, para reduzir os impactos dos ataques”, diz a gerente do CERT.br, Cristine Hoepers.

A maior parte das notificações recebidas foi relativa a servidores mal configurados no Brasil sendo abusados para amplificar ataques de negação de serviço – computadores ‘zumbis’. “Ativismo digital, extorsão, vandalismo e relação com jogos on-line constituem as principais motivações por trás desse tipo de ataque”, explica a gerente do CERT.br.

As notificações de tentativas de fraude constituem a maior parte (44%) dos relatos recebidos pelo CERT.br em 2014. Foram 467.621, um número cinco vezes maior do que o de 2013. Os casos de páginas falsas de bancos e sítios de comércio eletrônico (phishing clássico) cresceram 80% e os casos de páginas falsas não relacionadas com fraudes financeiras, como as de serviços de webmail e redes sociais, tiveram um aumento de 73% em 2014.
Ataques a servidores Web aumentaram 54% em relação a 2013, totalizando 28.808 notificações recebidas. São casos em que os atacantes exploram vulnerabilidades em aplicações Web para, então, hospedar nesses sítios páginas falsas de instituições financeiras, Cavalos de Troia, ferramentas utilizadas em ataques a outros servidores Web e scripts para envio de spam ou scam.

“Ações simples podem minimizar os riscos e diminuir a vulnerabilidade da máquina, como ter um bom antivírus atualizado e instalado, manter programas e sistema operacional atualizados e instalar um firewall pessoal. Também é importante evitar abrir sítios e links recebidos ou presentes em páginas duvidosas”, recomenda Cristine Hoepers.

As notificações de atividades relacionadas com a propagação de worms (programas capazes de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador) e bots (programas que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente) totalizaram 42.191 em 2014, aumentando 51% em comparação com 2013.

As ações com intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles, conhecidos como varreduras, totalizaram 263.659 notificações em 2014, representando um aumento de 59%. As notificações de varreduras de SMTP (25/TCP), que em 2013 eram 35% do total, registraram diminuição e correspondem, em 2014, a 24% de todas as varreduras.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Convergência Digital

Relatório identifica crescimento de 90% de ataques DDoS

ddos_ataqueA Akamai anuncia nova edição do estudo State of the internet Security, relatório trimestral com foco em segurança, referente aos últimos três meses de 2014. O estudo, que fornece uma análise sobre o cenário global de ameaças e ataques de negação de serviço – Distributed Denial of Service (DDoS) -, identificou aumento de 90% no total de ataques DDoS em comparação ao trimestre anterior (Q3/2014). Já em relação ao último período de um ano, o aumento foi de 57%.

Durante o trimestre analisado, o estudo observou que as ameaças foram distribuídas de forma mais uniforme em relação ao trimestre anterior (Q3/2014), o que aconteceu devido ao aumento de ocorrências em localizações geográficas anteriormente pouco representativas. Além disso, houve mudanças na lista de países originadores de tráfego malicioso: Estados Unidos (31,64%), China (17,61%), Alemanha (12%), México (11,69%), França (7,64%), Índia (4,31%), Espanha (4,12%), Reino Unido (3,80%), Coréia (3,65%) e Rússia (3,64%).

Comparativo último trimestre de 2013 x último trimestre de 2014:

  • 57% de aumento no total de ataques DDoS
  • 52% de aumento no pico médio de banda
  • diminuição de 77% no pico médio de pacotes por segundo
  • aumento de 51% de ataques na camada de aplicação
  • crescimento de 58% de ataques na camada de infraestrutura
  • 28% de aumento na duração média do ataque
  • 84% mais ataques multi-vetores (camada de aplicação junto com infraestrutura)
  • 200% de aumento em ataques com mais de 100 Gbps (3 vs. 9)

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: Tecmundo e State of the Internet

PlayStation Network sofreu ataque de grande proporções

playstationNos últimos dias, todos têm acompanhado os ataques hackers que ocorreram nos servidores da PSN e de tantos outros serviços ao redor do mundo. O ataque do tipo DDoS foi assumido pelo grupo Lizard Squad e vitimou não só a Sony, como também o Xbox Live, Twitch, League of Legends e Battle.net.

O ataque ocorrido nos servidores da Sony utilizou o NTP, ou Network Time Protocol. Os servidores que atendem esse protocolo são simplesmente sistemas que mantém um registro do horário e o informa a um grupo de clientes quando requisitado. No Windows, se você deixa o relógio para atualizar automaticamente, o que o sistema faz, na realidade, é consultar servidores NTP de tempos em tempos para verificar se a máquina está configurada com o horário correto.

O ataque realizado a PSN tirou vantagem da necessidade de esses servidores estarem conectados a uma grande quantidade de máquinas. É como se todas elas tivessem perguntado “Que horas são?” ao mesmo tempo para o mesmo servidor.

Segunda dados do site Kotaku, as requisições feitas a PSN ultrapassaram a marca de 263,35 gigabits por segundo. Esse tipo de ataque é difícil de ser evitado porque os pedidos das máquinas são legítimos aos olhos do servidor que o recebe, uma vez manter os horários corretamente configurados é essencial para o funcionamento de toda a infraestrutura da internet.

Apesar disso, o ataque aos servidores da Sony não chegou perto dos 400 gigabits por segundo registrado no começo do ano e categorizado como o maior ataque DDoS já realizado. No entanto, o acontecimento ainda causou bastante estrago, sem mencionar a preocupação levantada em relação a segurança desse serviço (e de muitos outros) utilizamos todos os dias.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Cibercriminosos instalam bot DDoS em servidores da Amazon

amazonOs atacantes se aproveitaram de uma brecha do software open source de busca Elasticsearch para instalar malware na Amazon e possivelmente em outros servidores de nuvem

Cibercriminosos estão explorando uma vulnerabilidade existente no software de mecanismo de busca Elasticsearch, opens-source, para instalar um malware DDoS na nuvem da Amazon e possivelmente em outros servidores de cloud.

O Elasticsearch é um servidor de mecanismo de busca com popularidade crescente, desenvolvido em Java, que permite fazer buscas em texto por vários tipos de documentos utilizando uma API REST (representational state transfer application programming interface). Como utiliza de uma arquitetura distribuída que permite múltiplos nós, o Elasticsearch é muito usado em ambientes de cloud. Ele pode ser habilitado em várias plataformas de cloud, entre elas a Amazon Elastic Compute Cloud (EC2), a Microsoft Azure, e a Google Compute Engine .

Versão 1.1.x do Elasticsearch tem suporte para script ativo por meio de chamadas da API em sua configuração padrão. Esse recurso representa um risco de segurança porque não exige autenticação nem está contido emsandbox. Pesquisadores de segurança comunicaram no início do ano que invasores poderiam explorar o recurso de script do Elasticsearch que permitiria executar código arbitrário no servidor.

Na semana passada, pesquisadores da Kaspersky Lab encontraram novas variações do cavalo de Tróia Mayday, para Linux, que é usado para lançar ataques de distributed denial-of-service (DDoS, ou ataque de negação de serviço), rodando em instâncias comprometidas de servidores Amazon EC2. Segundo o pesquisador do Kaspersky Lab, Kurt Baumgartner, os servidores da Amazon não foram os únicos atacados.

Os atacantes invadiram as instâncias EC2 – máquinas virtuais utilizadas por clientes da Amazon EC2 – explorando a vulnerabilidade CVE-2014-3120 do Elasticsearch 1.1.x, que ainda está sendo usado em várias organizações, apesar de já ter sido superado pelo Elasticsearch 1.2.x e 1.3.x, segundo o pesquisador.

A variante do Mayday encontrada nas instâncias EC2 comprometidas não usou amplificação do DNS e apenas inundou os sites com tráfego UDP. Mesmo assim, o ataque forçou os alvos, que incluem um grande banco regional nos EUA e um grande fabricante de eletrônicos do Japão, a mudar seu endereço IP (Internet Protocol) para um provedor que mitigasse o ataque DDoS, escreveu Baumgartner em um post no seu blog.

“O fluxo do ataque é forte o suficiente para a Amazon notificar seus clientes, provavelmente por conta de um potencial estouro na cobrança de uso excessivo de banda”, disse o pesquisador. “A situação é possivelmente similar em outros provedores de cloud”, diz Baumgartner.

Os desenvolvedores do Elasticsearch não liberaram uma correção para a versão 1.1.x, mas a versão 1.2.0, lançada em 22 de maio, desabilitou o script dinâmico como padrão. Usuários do Elasticsearch 1.1.x devem, fazer o upgrade para uma nova versão do software e aqueles que precisarem da funcionalidade de script artivada precisam seguir as recomendações de segurança publicadas no blog do desenvolvedor em 9 de julho.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: ComputerWorld