264 views 5 mins

A vida secreta dos botnets corporativos

em Mais
quinta-feira, 21 de setembro de 2023

Raphael Tedesco (*)

Com a agilidade da Internet e a ampla aplicação da tecnologia em todas as frentes de trabalho, as ameaças de DDoS seguem um ritmo de crescimento maior do qualquer outro tipo de tráfego. De 2010 a 2022, a maior parte do tráfego de ataques DDoS foi falsificado por meio de servidores DNS, NTP e LADP mal configurados. Mas todo esse cenário passou recentemente por algumas mudanças, já que pela primeira vez a maior parte desse tráfego malicioso está sendo originado de botnets corporativos.

Sem dúvidas, um dos principais motivos é a ampla aplicação de dispositivos IoT nas empresas. O número de conexões IoT globais cresceu 8% em 2021, o que significa 12,2 bilhões de endpoints ativos, com a expectativa de chegar a 27 bilhões de dispositivos IoT conectados até 2025, de acordo com o relatório “IoT Analytics Research State of IoT – Spring 2022”.

Os botnets corporativos são particularmente perigosos porque são usados em ataques DDoS, que podem ser comercialmente devastadores e extremamente difíceis de interromper, e já forçaram inúmeras empresas a pagarem grandes resgates em vários casos.

Entre as causas para milhares de dispositivos IoT estarem comprometidos, uma das mais graves é em relação às deficiências de gerenciamento na maioria deles. Por exemplo, o acesso remoto é um recurso essencial para a maioria deles, no entanto, é amplamente explorado por cibercriminosos, sendo que muitos dispositivos IoT ainda usam as senhas padrão nas operações e manutenções diárias.

Um ponto que chama a atenção é que até 2022, o tráfego DDoS originado de botnets IoT não era tão relevante, o que se deve em grande parte ao fato de que a maioria dos provedores de serviços de Internet (ISPs) fornecia o serviço de conexão assimétrica para clientes residenciais, ou seja, não era possível ter velocidades iguais de download/upload.

Porém, muita coisa mudou a partir de 2023. Os ISPs começaram a atualizar seus serviços para uma conexão simétrica com velocidade de download e upload de mais de 1 Gbps. Essa mudança resultou no crescimento exponencial do tráfego DDoS de botnets IoT.

Outro fato crítico é que o preço para lançar um DDoS de 100 Gbps caiu significativamente de 2018 a 2022. Ou seja, qualquer pessoa má intencionada pode lançar ataques DDoS para interromper serviços ou atrair negócios com o custo de algumas dezenas de dólares. Além disso, alguns proprietários de botnets são operados legitimamente e se comercializam como “estressores de IP” ou “booters”, que podem ser usados para testar a resiliência de um site.

Isso pode criar um círculo vicioso em que os cibercriminosos capitalizam constantemente o incentivo financeiro adicional para obter mais botnets. E os preços em queda de DDoS como serviço diminuem o limite de habilidade de tais ataques e, portanto, os tornam amplamente aplicados.

De acordo com estudos da NSFOCUS, são sete os fatores de mitigação que devem ser seguidos pelas organizações para limitar os danos causados por botnets corporativas de Internet das Coisas. Ou seja, implementar uma estratégia de segmentação de rede, seguir uma política de senha rígida, verificar a versão do software dos dispositivos IoT em intervalos regulares, monitorar o tráfego de rede de entrada e saída, estabelecer um mecanismo de gerenciamento de vulnerabilidade para priorizar possíveis ameaças e minimizar sua “superfície de ataque”, além de manter uma solução avançada anti-DDoS e a análise de tráfego e visibilidade.

(*) É formado em redes de computadores pelo Instituto Brasileiro de Tecnologia Avançada (IBTA) e Pós-Graduado em Gestão de Negócios pelo Insper.