Milhões de computadores comprometidos, conhecidos como Aisuru e Kimwolf, foram usados para lançar alguns dos maiores ataques de negação de serviço distribuída, ou DDoS, já registrados.
Agora, autoridades dos Estados Unidos derrubaram esses dois botnets da internet, junto com outros dois grupos de máquinas sequestradas, em uma única operação de grande escala.
Na quinta-feira, o Departamento de Justiça dos Estados Unidos, em parceria com o Defense Criminal Investigative Service, órgão de combate a crimes cibernéticos do Departamento de Defesa, anunciou que desmantelou quatro botnets massivos em uma única ação.
A operação removeu os servidores de command and control usados para coordenar os exércitos de dispositivos comprometidos conhecidos como JackSkid, Mossad, Aisuru e Kimwolf.
Segundo o Departamento de Justiça, os operadores desses quatro botnets controlavam mais de 3 milhões de dispositivos.
Em muitos casos, vendiam acesso a essas máquinas para outros criminosos e também as usavam para lançar ondas massivas de tráfego malicioso, com o objetivo de derrubar sites e serviços na internet.
De acordo com a empresa de defesa contra DDoS Cloudflare, Aisuru e Kimwolf, um botnet distinto, mas relacionado ao Aisuru, somavam mais de 1 milhão de dispositivos.
O Aisuru infectava diferentes tipos de equipamentos, de DVRs a appliances de rede e webcams.
Já o Kimwolf atingia dispositivos Android, incluindo smart TVs e set-top boxes.
A Cloudflare afirma que os dois botnets, atuando em conjunto, realizaram um ataque cibernético contra um cliente da empresa em novembro passado que chegou a mais de 30 terabits por segundo, quase três vezes maior do que o maior ataque desse tipo já visto até então.
Nenhuma prisão foi anunciada imediatamente junto com as derrubadas, mas o comunicado do Departamento de Justiça informou que o governo dos EUA trabalhava em colaboração com autoridades do Canadá e da Alemanha, “que tiveram como alvo indivíduos que operavam esses botnets”.
“Os Estados Unidos mantêm seu compromisso firme de proteger a infraestrutura crítica da internet e combater os cibercriminosos que ameaçam sua segurança, onde quer que vivam”, escreveu o procurador norte-americano Michael J.
Heyman em nota.
Entre os quatro botnets desativados na operação, o Aisuru era o mais notório, por trás de uma série de ataques cibernéticos recordistas ou quase recordistas no último outono.
O botnet, cujo uso era alugado, como muitos serviços de “booter” que oferecem capacidade de ataque bruto a qualquer pessoa disposta a pagar, ficou mais conhecido por mirar serviços de games como Minecraft e o jornalista independente de cibersegurança Brian Krebs.
Krebs, que investigou amplamente o submundo dos botnets e, em especial, o Aisuru, foi alvo repetidas vezes de ataques do grupo no ano passado.
Em novembro, a Cloudflare absorveu um ataque combinado recordista de Aisuru e Kimwolf que durou apenas 35 segundos, mas atingiu 31,4 terabits por segundo, um volume de tráfego malicioso quase três vezes maior do que qualquer outro já observado.
A empresa não revelou qual cliente foi atingido.
Em um relatório sobre o cenário de DDoS, a Cloudflare descreveu o pico de tráfego de ataque dos botnets Aisuru e Kimwolf combinados como equivalente a “toda a população do Reino Unido, da Alemanha e da Espanha digitando ao mesmo tempo o endereço de um site e pressionando ‘enter’ no mesmo segundo”.
Segundo os analistas da empresa, o botnet era capaz de “lançar ataques DDoS que podem paralisar infraestrutura crítica, derrubar a maioria das soluções legadas de proteção contra DDoS baseadas em nuvem e até interromper a conectividade de países inteiros”.
Na prática, todos os quatro botnets atingidos pela operação dos EUA eram variantes do Mirai, um botnet voltado para dispositivos da internet das coisas que surgiu em 2016, quebrou recordes na época pelo tamanho dos ataques cibernéticos que permitia e acabou sendo usado em um ataque ao provedor de DNS Dyn, que derrubou 175.000 sites simultaneamente em grande parte dos Estados Unidos.
Desde então, o código do Mirai passou a servir como ponto de partida para uma década de outros botnets da internet das coisas.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...