Como os botnets estão sendo usados ​​em ataques DDoS?

Os ataques DDoS, assim como os botnets que permitem que eles aconteçam, são uma das armas mais poderosas da Internet. Além do mais, qualquer um pode comprar um botnet e causar estragos com apenas alguns cliques. Tudo o que eles precisam para fazer isso com sucesso é algumas dezenas de dólares e algumas precauções de segurança.

Por exemplo, o Mirai, um dos maiores e mais (in)famosos botnets de todos os tempos, foi o trabalho de três estudantes universitários tentando invadir os servidores do Minecraft. No entanto, esse ataque de 2016 acabou se tornando o maior do gênero até hoje, roubando mais de 1 terabit por segundo e infectando mais de 600.000 dispositivos IoT.

Se você quiser evitar se tornar parte de um botnet ou ser atacado por um, proteção e preparação adequadas são essenciais. Em primeiro lugar, você deve aprender como botnets e ataques DDoS funcionam.

O que é um botnet?

Como o próprio nome sugere, uma botnet é uma rede de bots, ou seja, dispositivos que foram sequestrados por algum tipo de malware. Os hackers os usam de várias maneiras maliciosas - desde ataques DDoS e geração de cliques até roubo de dados e spam, mas eles geralmente combinam estratégias de ataque.

Cada botnet tem três componentes principais. Para começar, nada seria possível sem os criadores de bots, os mentores da operação.

Depois, há também os servidores ou dispositivos de comando e controle (C&C) que permitem que o pastor se comunique com os bots. Eles fazem isso de um local remoto, tentando ao máximo esconder sua identidade. Além disso, existem vários protocolos de comunicação que os hackers podem escolher - IRC antigo, TelNet, domínio, ponto a ponto, mídia social, etc.

Por último, um botnet não seria nada sem seu 'exército de computadores zumbis'. Qualquer dispositivo IoT pode facilmente se tornar um bot sem o conhecimento ou aprovação dos usuários, não importa se é um smartphone ou um simples monitor de bebê.

Recomendado para você: Ataque DDoS: como manter seu site protegido contra ataques DDoS?

Botnets e ataques DDoS

Quando se trata de ataques DDoS, o principal objetivo dos botnets é trazer grandes quantidades de tráfego para um servidor e, eventualmente, derrubá-lo. O tempo de inatividade faz com que as empresas percam tempo e dinheiro preciosos. Consequentemente, isso prejudica sua reputação e quebra a confiança de milhares e milhares de clientes.

De acordo com um relatório de 2018 do International Data Group, o tempo de inatividade médio por ataque é de 7 a 12 horas, o que equivale a US$ 2,3 a US$ 4 milhões em custos por ataque. A motivação por trás da maioria dos ataques de botnet DDoS é vantagem competitiva, pura raiva e vandalismo ou dinheiro (no caso de ransomware).

Com ataques DDoS de rede ou camada 3, os bots inundam o servidor de destino com tráfego, consumindo sua largura de banda e sobrecarregando-o com solicitações. Os ataques da camada 7, ou ataques da camada de aplicativos, usam a mesma estratégia. No entanto, seus principais alvos são aplicativos e sistemas operacionais fracos.

A cada ano, os ataques DDoS estão se tornando mais comuns, bem como mais sofisticados, tornando as botnets mais difíceis de rastrear e erradicar do que nunca. Além do mais, qualquer pessoa pode comprar ou alugar um botnet, às vezes por menos de US$ 10 a hora. Também existem kits de botnet para alugar, que chamamos de booters/stressers, e eles estão se tornando cada vez mais populares.

Meios de controle de botnet

Os dois principais modelos de controle de botnet são cliente-servidor e ponto a ponto.

Servidor cliente

Antes que as redes peer-to-peer surgissem, os hackers usavam o método cliente-servidor tradicional. Este tipo de rede implica a existência de um servidor central que controla os recursos e dados. Por outro lado, novas e mais eficazes maneiras de fazê-lo surgiram nesse meio tempo.

Pessoa para pessoa

Uma dessas formas é a rede ponto a ponto (P2P). Sua principal vantagem é que não possui um servidor centralizado. Em vez disso, uma rede de pares ou nós controla todos os recursos. Esse modelo reduz significativamente o risco de interrupção ou falha, pois sempre há servidores de backup caso algum seja desativado. Essas redes P2P geralmente são criptografadas, o que as torna ainda mais difíceis de detectar e derrotar. A maioria dos botnets modernos utiliza esse tipo de rede.

Os botnets mais notórios da história

Embora não saibamos os números exatos, o número e o tamanho das redes de bots estão aumentando há algum tempo, com as redes de bots de hoje tendo milhões de lacaios em seus exércitos. À luz disso, vamos explorar as maiores e mais memoráveis ​​botnets que já existiram.

Você pode gostar: As 5 principais ameaças à segurança cibernética hoje e além.

Earthlink Spammer (2000)

O Earthlink Spammer foi a primeira botnet de todos os tempos. Ele enviou milhões de e-mails maliciosos, mas aparentemente legítimos, com a intenção de phishing, ou seja, roubar dados confidenciais do destinatário. Ao clicar no link do e-mail, o vírus seria baixado instantaneamente em seu computador, após o que enviaria as informações de volta ao remetente.

Srizbi (2007-2008)

Srizbi era um botnet baseado em trojan que consistia em mais de 450.000 dispositivos Microsoft infectados. Na época, era o maior botnet de todos os tempos, superando o infame botnet Storm.

Srizbi foi responsável por metade do spam enviado naquele ano, distribuindo mais de 60 trilhões de ameaças todos os dias, incluindo e-mails de spam anunciando relógios, canetas e pílulas para aumentar o pênis. A certa altura, Srizbi chegou a enviar spam político, promovendo a campanha do candidato presidencial dos Estados Unidos, Ron Paul, embora ainda não esteja claro o porquê disso hoje.

Zeus (2007-2014)

ZeuS era um malware trojan popular há cerca de 10 anos, permitindo que o hacker realizasse todos os tipos de atividades criminosas, mais comumente para roubar informações bancárias. Antes da prisão de suspeitos ligados ao ZeuS, ele conseguiu infectar mais de 3,6 milhões de dispositivos e mais de 70.000 contas em vários sites, como Bank of America, NASA, Amazon, ABC, etc.

No entanto, menos de uma década depois, o ZeuS surgiu mais uma vez, desta vez como uma rede ponto a ponto criptografada chamada GameOver Zeus. Ele foi retirado do ar em 2014, mas seu criador, Evgeny Bogachev, ainda está na lista dos mais procurados pelo FBI.

Emotet (2014-2021)

Emotet não era apenas um botnet, mas também uma grande operação internacional de cibercrime. Como muitos outros, ele usava um trojan bancário, distribuindo-o por meio de anexos de e-mail de aparência inocente, como documentos do Microsoft Word.

No entanto, o Emotet era muito mais do que isso. Ele evoluiu para se tornar a solução de Malware-as-a-Service (MaaS) para grupos cibercriminosos de alto nível, auxiliando operações de ransomware como Ryuk. A repressão do Emotet em 2021 foi o resultado de um esforço colaborativo entre mais de oito países, incluindo Alemanha, Ucrânia, Estados Unidos etc.

Mirai (2016-dia atual)

Claro, nenhuma lista estaria completa sem o lendário botnet e malware Mirai. Com milhões de bots à sua disposição, é a botnet mais difundida da atualidade. Ele visa principalmente dispositivos IoT (ou seja, detectores de fumaça, termostatos, alto-falantes inteligentes e outros dispositivos), explorando suas senhas fracas ou inexistentes.

Como mencionamos no início, os mentores por trás do Mirai eram alguns estudantes universitários que procuravam agitar o Minecraft, mas acabou se tornando muito mais. Na verdade, foi responsável por alguns dos ataques DDoS mais impactantes da história recente. Por exemplo, a Mirai estava por trás do ataque de 2016 ao provedor de DNS Dyn, que é o maior ataque DDoS já registrado. Por causa do ataque, milhares de sites populares ficaram fora do ar durante o dia, incluindo Twitter, Reddit, Netflix e CNN.

Após o ataque, os criadores decidiram, de forma inteligente, liberar o código-fonte do Mirai no GitHub para ocultar suas identidades. Sem surpresa, o código foi baixado e reutilizado milhares de vezes e em vários projetos de malware. Portanto, o alcance total do impacto do Mirai é insondável. Embora os autores tenham sido supostamente capturados, o Mirai continua sendo uma das maiores ameaças cibernéticas da atualidade.

Como ficar longe de botnets e ataques DDoS?

Infelizmente, a maioria dos usuários nem sabe que seu dispositivo faz parte de uma rede de bots maliciosa. A nova tecnologia permitiu que os hackers fossem tão discretos e rápidos quanto possível, ao mesmo tempo em que causavam milhões de dólares em danos aos negócios online. Os ataques DDoS são bastante difíceis de detectar e muitos deles passam despercebidos até horas depois. Mesmo assim, às vezes é difícil diferenciar um ataque de hacker de um bug ou mau funcionamento.

Se você notar uma atividade estranha e não conseguir identificar a causa, talvez seja hora de suspeitar de um ataque. Por exemplo, clientes ou funcionários podem relatar que seu site está lento ou fora do ar. Além disso, ao fazer a análise de log, você pode notar picos drásticos no tráfego do site. Depois de analisar cuidadosamente e eliminar todas as outras fontes potenciais, você poderá descobrir. Ainda assim, a essa altura, as horas terão se passado e o estrago já terá sido feito.

A melhor coisa a fazer é criar várias soluções preventivas e implementá-las todas. Por exemplo, não basta instalar um software anti-malware e encerrar. Você também deve considerar configurar alguns servidores adicionais, aumentar a largura de banda e adquirir algumas ferramentas de alto nível para ajudá-lo a monitorar seus recursos e atividades. Em suma, você deve se certificar de que não há pontos fracos no sistema de segurança.

Você também pode gostar de: A crescente necessidade de segurança cibernética: 10 dicas para se manter protegido online.

Pensamentos finais

Em suma, os botnets foram e continuam a ser grandes ameaças à nossa sociedade cada vez mais digitalizada. Mais importante, eles foram um elemento crucial em alguns dos ataques DDoS mais devastadores da história. Visto que eles estão se tornando cada vez mais populares, você deve adotar práticas rígidas de segurança antes que um ataque DDoS aconteça e cause grandes contratempos aos seus negócios.

Mesmo se você for extremamente cauteloso, um ataque DDoS ainda pode acontecer com você. Nesse caso, sua melhor aposta é estar bem organizado e preparado. Elaborar um plano de resposta completo com antecedência certamente ajudará a mitigar o ataque de botnet e suas consequências no menor tempo possível.