RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO DE SERVIÇO DA VERISIGN 1A EDIÇÃO - 1O TRIMESTRE DE 2015

Transcrição

1 RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO 1A EDIÇÃO - 1O TRIMESTRE DE 2015

2 RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO CONTEÚDO A MAIS QUE NO 3 TENDÊNCIAS DE ATAQUE DDoS OBSERVADAS PELA VERISIGN: 4 Mitigações por tamanho do ataque 4 Mitigações por setor 5 DESTAQUE: AS MOTIVAÇÕES POR TRÁS DOS ATAQUES DDOS DA ATUALIDADE 6 CONCLUSÃO 8 2 2

3 RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO DE SERVIÇO DA VERISIGN RESUMO EXECUTIVO A Verisign mitigou mais ataques no T1 de 2015 do que em qualquer trimestre de 2014, e 7% A MAIS QUE NO T4 de 2014 Este relatório contém as observações e conhecimentos derivados de mitigações de ataque distribuído de negação de serviço (DDoS) em nome dos clientes do DDoS Protection Services da Verisign, ou em colaboração com os mesmos, além da pesquisa de segurança do Verisign idefense Security Intelligence Services. Ele representa uma visão única sobre as tendências dos ataques on-line referentes ao trimestre, inclusive estatísticas de ataque e tendências de comportamento. No período de 1o de janeiro a 31 de março de 2015, a Verisign observou as seguintes tendências: A Verisign mitigou mais ataques no T1 de 2015 do que em qualquer trimestre de A taxa de mitigação foi 7% maior, comparado com o T4 de A frequência dos ataques contra os clientes dos setores público e de serviços financeiros aumentou. Cada setor passou de 15% no T4 de 2014 para 18% de todas as mitigações realizadas pela Verisign no T1 de Mais da metade dos ataques teve um pico de mais de um gigabit por segundo (Gbps), 34% dos ataques tiveram um pico entre um e cinco Gbps e quase 10% tiveram um pico de mais de 10 Gbps. O tamanho dos ataques DDoS volumétricos apresentou pico de 54 Gbps/18 milhões de pacotes por segundo (Mpps) para inundações de Protocolo de Datagrama do Usuário (UDP) e 8 Gbps/22 Mpps para ataques baseados em Protocolo de Controle de Transmissão (TCP). O setor que foi alvo com mais frequência no T1 de 2015: SERVIÇOS DE TI/NUVEM/ SAAS Os serviços de TI/nuvem/SaaS foram o setor que mais sofreu ataques no T1, representando mais de um terço de toda a atividade de mitigação. Destaque: as motivações por trás dos ataques DDoS da atualidade Desde os primórdios da Internet, os agentes maliciosos utilizam os ataques DDoS como ferramentas de protesto, lucros financeiros, retaliação ou simplesmente por maldade. Analisar os motivos pelos quais esses agentes utilizam essa forma cada vez mais eficaz de ataque on-line pode ajudar as vítimas e os profissionais de segurança a entenderem melhor, preverem e se prepararem para essas ameaças destruidoras cada vez mais acessíveis. 3 3

4 RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO Mais de 50 POR CENTO dos ataques tiveram pico acima de 1 G bps no T1 de 2015 TENDÊNCIAS DE ATAQUE DDoS OBSERVADAS PELA VERISIGN: Mitigações por tamanho do ataque A atividade de ataques DDoS na categoria de "1 a 5 Gbps" apresentou o maior aumento no T1 de Passou de 19% no T4 de 2014 para mais de 34% de todos os ataques (ver Figura 1). Além disso, quase 10% dos ataques do T1 tinham pico de mais de 10 Gbps. De maneira geral, 50% dos ataques apresentaram pico de mais de 1 Gbps, o que ainda representa uma quantidade significativa de largura de banda para qualquer organização que dependa de redes para lidar com ataques DDoS em excesso. >10 Gbps >5<10 Gbps >1<5 Gbps >1 Gbps 2014-T T T T T Porcentagem de ataques Figura 1: picos de mitigação por categoria O tamanho médio de pico dos ataques mitigados pela Verisign no primeiro trimestre de 2015 foi de 3,64 Gbps (ver Figura 2), o que representa uma queda de 50% no tamanho médio do ataque, comparado com o T4 de 2014, mas um aumento de 7% no tamanho médio do ataque comparado com o T1 de Conforme já foi dito, isso ainda representa uma quantidade significativa de largura de banda para qualquer organização para lidar com a proteção contra DDoS em excesso. Embora o tamanho médio de pico do ataque tenha diminuído em relação ao trimestre anterior, a Verisign mitigou mais ataques no T1 de 2015 do que em qualquer trimestre de 2014, inclusive 7% a mais do que no T4 de ,92 4,60 6,46 7, T T T T T1 Figura 2: tamanho médio de pico do ataque por trimestre O maior ataque volumétrico mitigado pela Verisign no T1 foi um ataque refletivo de UDP que utilizou o Protocolo de Tempo de Rede (NTP) e o Protocolo de Descoberta de Serviço Simples (SSDP), combinados com um volume menor de tráfego de inundação SYN, com pico de 54 Gbps/18 Mpps. Esse ataque tinha como alvo um cliente de serviços de TI/nuvem/SaaS e durou aproximadamente quatro horas. 3, Gbps 4 4

5 RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO DE SERVIÇO DA VERISIGN Mitigações por setor Maior ataque volumétrico no T1: UDP refletivo usando NTP e SSDP, com pico de 54 Gbps/ 18 Mpps No T1 de 2015, os clientes de SERVIÇOS DE TI/NUVEM/ SAAS sofreram o maior volume de ataques Os ataques DDoS são uma ameaça global e não se limitam a um setor específico, conforme mostra a Figura 3. A Verisign reconhece que os ataques por setor vertical relatados nesse documento apenas refletem a base de clientes protegidos da Verisign. No entanto, esses dados podem ser úteis para entender a evolução dos ataques por setor e a importância de priorizar os gastos com segurança, para garantir que os mecanismos de proteção estejam bem posicionados. No T1 de 2015, os clientes de serviços de TI/nuvem/SaaS sofreram o maior volume de ataques (ver Figura 3), o que representou mais de um terço de todos os ataques, com pico de tamanho acima de 54 Gbps. A Verisign prevê que a tendência de ataques contra o setor de serviços de TI/nuvem/ SaaS continue, à medida que mais organizações migram de ativos de IP para serviços e infraestrutura baseados na nuvem. Os setores público e de serviços financeiros ficaram em segundo lugar como os clientes que sofreram ataques com mais frequência no T1; cada um representou 18%. A Verisign observou um aumento nos ataques que tinham esses setores como alvo no T4 de 2014, e essa tendência continuou no primeiro trimestre de A Verisign acredita que esse aumento se deve parcialmente ao maior uso dos ataques DDoS como ativismo político, ou hacktivismo, contra empresas de serviços financeiros e várias organizações reguladoras internacionais. A Verisign também acredita que esses ataques possam ser uma reação a vários eventos divulgados durante o trimestre, inclusive o ataque terrorista ao Charlie Hebdo em Paris, França, e os protestos na Venezuela, na Arábia Saudita e nos Estados Unidos. A grande disponibilidade de uma quantidade cada vez maior de botnets DDoS e kits de ferramentas, conforme ressaltado no relatório de tendências de DDoS da Verisign para o T4 de 2014, também pode ter contribuído para o aumento dos ataques contra esses setores no T1. Serviços de TI/Nuvem/SaaS 34% Financeiro Setor público 18% 18% 0 Fabricação 13% Mídia e entretenimento Outro 12% 5% 100 Figura 3: mitigações por setor no T1 de

6 RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO DE SERVIÇO DA VERISIGN AS MOTIVAÇÕES POR TRÁS DOS ATAQUES DDoS DA ATUALIDADE Desde os primórdios da Internet, os agentes maliciosos utilizam os ataques DDoS como ferramentas de protesto, lucros financeiros, retaliação ou simplesmente por maldade. Analisar os motivos pelos quais esses agentes utilizam essa forma muito eficaz de ataque on-line pode ajudar as vítimas e os profissionais de segurança a entenderem melhor, preverem e se prepararem contra essas ameaças destruidoras cada vez mais acessíveis. Ativismo e protesto Hacktivismo 21 de dez. de 1995 Ataques DDoS da Strano Network na França 21 de dezembro de 1995: uma entidade autointitulada "Strano Network" fez um anúncio em vários boletins eletrônicos, convocando seus membros e simpatizantes a acessarem simultaneamente alguns sites do governo francês, para fazer com que saíssem do ar.1 O ativismo on-line, ou "hacktivismo", é um ato de agressores motivados por uma ideologia para afetar a mudança. Os ataques DDoS se tornaram uma das principais armas dos agressores para fazerem protestos cibernéticos. Um ataque DDoS hacktivista normalmente é desencadeado por um evento notável ou descontentamento que é divulgado pela mídia e amplificado por meio das mídias sociais. Essas campanhas geralmente se baseiam em sentimentos negativos em relação à organização-alvo. No entanto, o alcance global da tecnologia interconectada significa que os alvos não se limitam necessariamente aos principais "malfeitores"; eles podem ser ampliados a outros alvos relacionados, como afiliadas, fornecedores, anunciantes e até mesmo clientes. Embora os "protestos eletrônicos passivos" da Strano Network sejam considerados um dos primeiros ataques hacktivistas cujo objetivo era interromper o acesso e a disponibilidade de sites da Internet por motivos ideológicos (os agentes se ofenderam com a posição do governo francês em relação às armas nucleares), o primeiro movimento moderno de protesto na Internet a adotar os ataques DDoS como ferramenta foi o "Operation Payback" (ou "OpPayback").2 Hacktivismo 29 de out. de 2010 Ataque DDoS do OpPayback derruba o site da RIAA Hacktivismo 8 de dez. de 2010 Ataque DDoS da Operation Avenge Assange derruba o site da MasterCard e da Visa O OpPayback começou como uma retaliação da organização Anonymous pelos ataques em sites distribuídos de compartilhamento de conteúdo, como The Pirate Bay. Os primeiros ataques do OpPayback tinham como alvo a Associação da Indústria de Gravação da América (RIAA) e a Associação de Filmes da América (MPAA). Logo após o OpPayback, vários ataques DDoS chamados de "Operation Avenge Assange" dirigiram-se e derrubaram os sites do PayPal, Visa e MasterCard. Essa operação foi lançada como um protesto contra a decisão das organizações-alvo de suspenderem as transações do site WikiLeaks.3 Desde o OpPayback, grupos de diferentes bandeiras realizaram ataques DDoS com motivação ideológica contra vários alvos. Alguns ataques foram terceirizados, enquanto outros foram lançados com o uso de botnets. A maioria desses ataques de protesto vem acompanhada de anúncios de vários grupos sobre os ataques, que assumem a responsabilidade por eles após o fato. As mídias sociais muitas vezes se tornam boletins eletrônicos para esses anúncios. 1 Wang, Wally. Steal this Computer Book 4.0: What They Won t Tell You about the Internet. No Starch Press, Schwartz, Mathew J. Operation Payback: Feds Charge 13 On Anonymous Attacks. InformationWeek. 4 de outubro de Staff. PayPal says it stopped WikiLeaks payments on US letter. 8 de dezembro de 2010 BBC

7 RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO Crime cibernético O que diferencia o crime cibernético do hacktivismo é seu objetivo-alvo, que geralmente é o lucro financeiro em vez da supremacia ideológica. Os agentes dessa categoria buscam o lucro de maneira direta ou indireta, ao lançar ataques DDoS ou possuir uma infraestrutura de DDoS. Crime cibernético 3 de março de 2014 Ataque DDoS de extorsão do Meetup Crime cibernético 24 de março de 2014 Ataque DDoS de extorsão do Basecamp Crime cibernético 14 de fev. de 2004 FBI desvenda "Operation Cyberslam" Crime cibernético 17 de set. de 2012 Publicação conjunta do FBI, FS-ISAC, IC3 sobre DDoS por diversão para fraude eletrônica Um uso criminoso comum dos ataques DDoS é a chantagem. Indivíduos ou grupos que têm acesso a botnets capazes de lançar ataques DDoS podem chantagear organizações para que paguem um "resgate" (ou atendam a outros pedidos), para que não sejam atacados ou para que um ataque já iniciado seja suspenso. As vítimas desses ataques normalmente não os reconhecem publicamente por questões de reputação. Além disso, nem todo ataque desse tipo é bem-sucedido, pois alguns alvos são capazes de mitigá-lo sem que ele afete sua organização. O Basecamp, uma colaboração on-line e serviço de gerenciamento de projetos, e o Meetup, um serviço de organização de eventos sociais, sofreram essas tentativas de extorsão, mas impediram e reconheceram os ataques no início de ,5 Outro uso criminoso popular dos ataques DDoS envolve o ataque à concorrência por parte de empresas legítimas, ou concorrentes que obtêm vantagens de negócios. A disponibilidade de recursos e ferramentas on-line, inclusive , aplicativos e serviços de comércio eletrônico e produtividade, podem ser a força vital de negócios baseados na Internet. Empresas concorrentes podem procurar abalar os ativos baseados na Internet da concorrência, em uma tentativa de afetar a capacidade de funcionamento da vítima. Um incidente desse tipo veio à tona em 2014, quando o Federal Bureau of Investigation (FBI) dos EUA acusou o proprietário da Orbit Communication Corp., uma empresa de TV via satélite, de recrutar agressores para realizar ataques DDoS contra três concorrentes. Esse golpe, apelidado de "Operation Cyberslam", é considerado um dos primeiros serviços de contratação de DDoS direcionados a um concorrente. 6 Finalmente, os agressores com mentes criminosas podem usar os ataques DDoS como uma cortina de fumaça eficaz para lançar outros tipos de invasões em redes, geralmente com objetivos financeiros. Enquanto as equipes de resposta a invasões concentram-se na mitigação contra DDoS, os agressores têm maior chance de passarem despercebidos ao realizar roubos de dados e financeiros, inclusive transferências eletrônicas fraudulentas. 7 Uma declaração conjunta feita em 2012 pelo FBI, pelo Financial Services Information Sharing and Analysis Center (FS-ISAC) e pelo Internet Crime Complaint Center (IC3) observou a nova tendência do momento de usar ataques DDoS como diversão, e identificou o malware "DirtJumper" como uma das ferramentas preferidas dos agressores. Essa declaração conjunta alertou as instituições financeiras e descreveu o DirtJumper como "um kit comercial de crimes que pode ser comprado e vendido em fóruns criminosos por aproximadamente US$ 200". 8 4 Wilson, Mark. Basecamp held to ransom as hackers launch massive DDoS attack. Fevereiro de Betanews. 5 We are standing up against a DDoS attack. 3 de março de Meetup. 6 Poulsen, Kevin. FBI busts alleged DDoS Mafia. 26 de agosto de SecurityFocus. 7 Litan, Avivah. DDoS diverts attention during payment switch takeover. 12 de agosto de Gartner.com. 8 FBI, FS-ISAC, IC3. Fraud Alert Cyber Criminals Targeting Financial Institution Employee Credentials to Conduct Wire Transfer Fraud. 17 de set. de Ic3.gov

8 RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO Retaliação e maldade No entanto, nem todos os motivos de agressores que enviam ataques DDoS se limitam à ideologia ou ao lucro financeiro. Retaliação 19 de março de 2013 Ataques DDoS atingem a Spamhaus Maldade 25 de dez. de 2014 Vários sites e serviços de jogos on-line são atacados Maldade 25 de março de 2015 Sites do governo de Maine e afiliados são atacados Alguns ataques DDoS parecem ter o propósito de retaliação. O ataque DDoS lançado contra a empresa antispam sem fins lucrativos Spamhaus, em março de 2013, teve como motivação o apoio da empresa a servidores de criação de listas negras que incluíam nomes que, possivelmente, eram responsáveis pelo envio de s não desejados. Em resposta à sua inclusão em listas negras pela Spamhaus, o polêmico provedor de hospedagem CyberBunker lançou um ataque DDoS contra a Spamhaus como retaliação, que, sem querer, afetou vários pontos de retransmissão da Internet além do seu alvo, tornando o tráfego notavelmente mais lento. 9 A disponibilidade imediata e o acesso a botnets DDoS por meio de ferramentas como a infame Low-Orbit Ion Cannon (LOIC), ao lado de serviços de contratação de DDoS ("booters"), simplificaram os ataques para aqueles interessados em pura maldade. Uma onda de ataques direcionados a vários elementos do setor de vídeo games em 2014 pode ser classificada nessa categoria, pois não há motivos financeiros ou ideológicos aparentes por trás deles. 10 Os ataques a serviços de jogos on-line se tornaram meios cada vez mais eficazes para esses agentes ganharem notoriedade e status entre os membros da comunidade desse submundo, remetendo à época em que agentes habilidosos e marginalizados realizavam a destruição de sites e outras invasões simplesmente para provar que eram capazes. Um exemplo mais recente de ataques DDoS com esse propósito inclui os ataques realizados no fim de março de 2015 contra sites do governo do estado americano de Maine. Os sites relacionados ao governo desse estado sofreram vários ataques, que impediam que os visitantes acessassem serviços públicos e informações on-line. De acordo com um relatório do Portland Press Herald, um usuário do Twitter, supostamente afiliado ao grupo responsável, afirmou na plataforma de mídia social que "o grupo realizava os ataques por diversão e para mostrar seu talento em ataques cibernéticos". 11 CONCLUSÃO Os realizadores de ataques DDoS da atualidade escolhem seus alvos e táticas por vários motivos. Muitos deles podem não ficar claros para as vítimas ou para os profissionais de segurança e as organizações de cumprimento da lei que os ajudam. Entender os motivos potenciais dos ataques DDoS pode ajudar os defensores a preverem esses ataques antes que eles causem danos irreparáveis às operações de negócios, à geração de receita on-line e à reputação da empresa. Independente do motivo, os realizadores de ataques DDoS demonstram estar mais adeptos e eficazes do que nunca para atingir seus alvos, e as organizações que dependem de redes de todos os setores, tipos e tamanhos devem analisar seu risco e se preparar de maneira adequada. 9 Allen, Peter. Revealed: Secretive fanatic behind worst ever cyber attack and the former Cold War command post where chaos is orchestrated. 29 de março de The Daily Mail Scimeca, Dennis. Gaming s frustrating history of DDoS attacks. 25 de agosto de The Daily Dot Anderson, J. Craig. More Maine websites targeted on third day of attacks. 25 de março de Portland Press Herald. VerisignInc.com 2015 VeriSign, Inc. Todos os direitos reservados. VERISIGN, o logotipo VERISIGN e outras marcas comerciais, marcas de serviços e designs são marcas comerciais registradas ou não registradas da VeriSign, Inc. e de suas subsidiárias nos Estados Unidos e em outros países. Todas as outras marcas comerciais pertencem a seus respectivos proprietários. Material público da Verisign