Como os botnets estão sendo usados ​​em ataques DDoS?

Os ataques DDoS, bem como os botnets que permitem que eles aconteçam, são uma das armas mais poderosas da Internet. Além do mais, qualquer um pode comprar uma botnet e causar estragos com apenas alguns cliques. Tudo o que eles precisam para fazer isso com sucesso são algumas dezenas de dólares e algumas precauções de segurança.

Por exemplo, Mirai, um dos maiores e mais famosos botnets de todos os tempos, foi o trabalho de três estudantes universitários tentando invadir servidores Minecraft. No entanto, esse ataque de 2016 acabou se tornando o maior do tipo até hoje, roubando mais de 1 terabit por segundo e infectando mais de 600.000 dispositivos IoT.

Se você quiser evitar se tornar parte de uma botnet ou ser atacado por uma, proteção e preparação adequadas são essenciais. Em primeiro lugar, você deve aprender como botnets e ataques DDoS funcionam.

O que é uma Botnet?

Como o próprio nome sugere, um botnet é uma rede de bots, ou seja, dispositivos que foram invadidos por algum tipo de malware. Os hackers os usam de várias maneiras maliciosas — desde ataques DDoS e geração de cliques até roubo de dados e spam, mas geralmente combinam estratégias de ataque.

Cada botnet tem três componentes principais. Para começar, nada seria possível sem os criadores de bots, os mentores da operação.

Depois, há também os servidores ou dispositivos de comando e controle (C&C) que permitem que o pastor se comunique com os bots. Eles fazem isso de um local remoto, tentando ao máximo esconder sua identidade. Além disso, existem vários protocolos de comunicação que os hackers podem escolher - IRC da velha escola, TelNet, domínio, ponto a ponto, mídia social etc.

Por último, uma botnet não seria nada sem seu 'exército de computadores zumbis'. Qualquer dispositivo IoT pode facilmente se tornar um bot sem o conhecimento ou aprovação dos usuários, não importa se é um smartphone ou um simples monitor de bebê.

Recomendado para você: Ataque DDoS: Como manter seu site seguro contra ataques DDoS?

Botnets e ataques DDoS

Quando se trata de ataques DDoS, o principal objetivo dos botnets é trazer grandes quantidades de tráfego para um servidor e, eventualmente, derrubá-lo. O tempo de inatividade faz com que as empresas percam tempo e dinheiro preciosos. Consequentemente, isso prejudica sua reputação e quebra a confiança de milhares e milhares de seus clientes.

De acordo com um relatório de 2018 do International Data Group, o tempo de inatividade médio por ataque é de 7 a 12 horas, o que equivale a US$ 2,3 a US$ 4 milhões em custos por ataque. A motivação por trás da maioria dos ataques de botnet DDoS é vantagem competitiva, pura raiva e vandalismo ou dinheiro (no caso de ransomware).

Com ataques DDoS de rede ou camada 3, os bots inundam o servidor de destino com tráfego, consumindo sua largura de banda e sobrecarregando-o com solicitações. Os ataques de camada 7, ou ataques de camada de aplicativo, usam a mesma estratégia. No entanto, seus principais alvos são aplicativos e sistemas operacionais fracos.

A cada ano, os ataques DDoS estão se tornando mais comuns, bem como mais sofisticados, tornando as botnets mais difíceis de rastrear e erradicar do que nunca. Além disso, qualquer pessoa pode comprar ou alugar uma botnet, às vezes por menos de US$ 10 por hora. Também existem kits de botnets para aluguel, que chamamos de booters/stressers, e eles estão se tornando cada vez mais populares.

Meios de controle de botnet

Os dois principais modelos de controle de botnet são cliente-servidor e ponto a ponto.

Servidor cliente

Antes do surgimento das redes peer-to-peer, os hackers usavam o método tradicional cliente-servidor. Este tipo de rede implica a existência de um servidor central que controla os recursos e dados. Por outro lado, formas novas e mais eficazes de fazê-lo surgiram nesse meio tempo.

Pessoa para pessoa

Uma dessas maneiras é a rede ponto a ponto (P2P). Sua principal vantagem é que não possui um servidor centralizado. Em vez disso, uma rede de pares ou nós controla todos os recursos. Esse modelo reduz significativamente o risco de interrupção ou falha, pois sempre há servidores de backup caso um seja derrubado. Essas redes P2P geralmente são criptografadas, o que as torna ainda mais difíceis de detectar e derrotar. A maioria dos botnets modernos utiliza esse tipo de rede.

Os botnets mais notórios da história

Embora não saibamos os números exatos, o número e o tamanho das botnets vêm aumentando há algum tempo, com as botnets de hoje tendo milhões de lacaios em seus exércitos. À luz disso, vamos explorar os maiores e mais memoráveis ​​botnets que já existiram.

Você pode gostar: As 5 principais ameaças à segurança cibernética hoje e além.

Spammer Earthlink (2000)

O Earthlink Spammer foi o primeiro botnet de todos os tempos. Ele enviou milhões de e-mails maliciosos, mas aparentemente legítimos, com a intenção de phishing, ou seja, roubar dados confidenciais do destinatário. Ao clicar no link do e-mail, o vírus seria baixado instantaneamente em seu computador, após o que enviaria as informações de volta ao remetente.

Sribi (2007-2008)

Srizbi era um botnet baseado em trojan que consistia em mais de 450.000 dispositivos da Microsoft infectados. Na época, era o maior botnet de todos os tempos, superando o infame botnet Storm.

Srizbi foi responsável por metade do spam enviado naquele ano, distribuindo mais de 60 trilhões de ameaças todos os dias, incluindo e-mails de spam anunciando relógios, canetas e pílulas para aumento do pênis. A certa altura, Srizbi estava até enviando spam político, promovendo a campanha do candidato presidencial dos EUA, Ron Paul, embora ainda não esteja claro o motivo disso hoje.

Zeus (2007-2014)

O ZeuS era um malware trojan popular há cerca de 10 anos, permitindo que o hacker realizasse todos os tipos de atividades criminosas, mais comumente para roubar informações bancárias. Antes da prisão de suspeitos vinculados ao ZeuS, ele conseguiu infectar mais de 3,6 milhões de dispositivos e mais de 70.000 contas em vários sites, como Bank of America, NASA, Amazon, ABC, etc.

No entanto, menos de uma década depois, o ZeuS emergiu mais uma vez, desta vez como uma rede peer-to-peer criptografada chamada GameOver Zeus. Foi retirado do ar em 2014, mas seu criador, Evgeny Bogachev, ainda está na lista dos mais procurados do FBI.

Emotet (2014-2021)

O Emotet não era apenas um botnet, mas também uma grande operação internacional de crimes cibernéticos. Como muitos outros, ele usou um trojan bancário, distribuindo-o por meio de anexos de e-mail aparentemente inocentes, como documentos do Microsoft Word.

No entanto, o Emotet era muito mais do que isso. Ele evoluiu para se tornar a solução Malware-as-a-Service (MaaS) para grupos de cibercriminosos de alto nível, auxiliando operações de ransomware como Ryuk. A repressão do Emotet de 2021 foi resultado de um esforço colaborativo entre mais de oito países, incluindo Alemanha, Ucrânia, EUA, etc.

Mirai (2016-dia atual)

Claro, nenhuma lista estaria completa sem o lendário botnet e malware Mirai. Com milhões de bots à sua disposição, é a botnet mais difundida atualmente. Ele visa principalmente dispositivos IoT (ou seja, detectores de fumaça, termostatos, alto-falantes inteligentes e outros gadgets), explorando suas senhas fracas ou inexistentes.

Como mencionamos no início, os cérebros por trás do Mirai eram alguns estudantes universitários que queriam apressar o Minecraft, mas acabou se tornando muito mais. Na verdade, foi responsável por alguns dos ataques DDoS mais impactantes da história recente. Por exemplo, Mirai estava por trás do ataque de 2016 ao provedor de DNS Dyn, que é o maior ataque DDoS já registrado. Por causa do ataque, milhares de sites populares ficaram inativos durante o dia, incluindo Twitter, Reddit, Netflix e CNN.

Após o ataque, os criadores decidiram habilmente liberar o código-fonte do Mirai no GitHub para ocultar suas identidades. Sem surpresa, o código foi baixado e reutilizado milhares de vezes e em vários projetos de malware. Portanto, o alcance total do impacto do Mirai é insondável. Embora os autores tenham sido supostamente pegos, o Mirai continua sendo uma das maiores ameaças cibernéticas da atualidade.

Como ficar longe de botnets e ataques DDoS?

Infelizmente, a maioria dos usuários nem sabe que seu dispositivo faz parte de uma botnet viciosa. A nova tecnologia permitiu que os hackers fossem tão discretos e rápidos quanto possível, causando milhões de dólares em danos aos negócios online. Os ataques DDoS são bastante difíceis de detectar e muitos deles passam despercebidos até horas depois. Mesmo assim, às vezes é difícil diferenciar um ataque de hacker de um bug ou mau funcionamento.

Se você notar uma atividade estranha e não conseguir identificar a causa, talvez seja hora de suspeitar de um ataque. Por exemplo, clientes ou funcionários podem relatar que seu site está lento ou totalmente inativo. Além disso, ao fazer a análise de log, você pode notar picos drásticos no tráfego do site. Depois de analisar e eliminar cuidadosamente todas as outras fontes potenciais, você poderá descobrir. Ainda assim, nesse ponto, horas terão passado e o estrago já terá sido feito.

A melhor coisa a fazer é criar várias soluções preventivas e implementar todas elas. Por exemplo, não basta instalar um software anti-malware e desistir. Você também deve considerar configurar alguns servidores adicionais, aumentar a largura de banda e adquirir algumas ferramentas de alto nível para ajudá-lo a monitorar seus recursos e atividades. Em suma, você deve certificar-se de que não há pontos fracos no sistema de segurança.

Você também pode gostar: A crescente necessidade de segurança cibernética: 10 dicas para se manter protegido online.

Pensamentos finais

Em suma, as botnets foram e continuam sendo grandes ameaças à nossa sociedade cada vez mais digitalizada. Mais importante, eles foram um elemento crucial em alguns dos ataques DDoS mais devastadores da história. Dado que eles estão se tornando cada vez mais populares, você deve adotar práticas de segurança rígidas antes que um ataque DDoS aconteça com você e cause grandes contratempos em seus negócios.

Mesmo se você for extremamente cauteloso, um ataque DDoS ainda pode acontecer com você. Nesse caso, sua melhor aposta é estar bem organizado e preparado. Elaborar um plano de resposta completo com antecedência certamente o ajudará a mitigar o ataque de botnet e suas consequências no menor tempo possível.