Uma nova botnet descoberta, composta por uma estimativa de 30.000 webcams e gravadores de vídeo—com a maior concentração nos EUA—tem realizado o que provavelmente seja o maior ataque de negação de serviço (denial-of-service) já visto, segundo um pesquisador de segurança da Nokia.
A botnet, monitorada sob o nome Eleven11bot, veio à tona no final de fevereiro quando pesquisadores da equipe de resposta a emergências Deepfield da Nokia observaram um grande número de endereços IP geograficamente dispersos realizando "ataques hipervolumétricos".
Desde então, o Eleven11bot tem realizado ataques de grande escala.
Os DDoS volumétricos interrompem serviços ao consumir toda a largura de banda disponível, seja dentro da rede alvo ou em sua conexão com a Internet.
Este método funciona de maneira diferente dos DDoS de exaustão, que sobrecarregam os recursos computacionais de um servidor.
Ataques hipervolumétricos são DDoS volumétricos que entregam quantidades impressionantes de dados, tipicamente medidos em terabits por segundo.
A Botnet Johnny-Come-Lately Estabelece um Novo Recorde
Com 30.000 dispositivos, a Eleven11bot já era excepcionalmente grande (embora algumas botnets ultrapassem bem os 100.000 dispositivos).
A maioria dos endereços IP participantes, disse o pesquisador da Nokia, Jérôme Meyer, nunca havia sido vista participando de ataques DDoS.
Além de uma botnet de 30.000 nós parecer surgir da noite para o dia, outra característica saliente da Eleven11bot é o volume recorde de dados que envia aos seus alvos.
O maior ataque visto pela Nokia até o momento ocorreu em 27 de fevereiro e atingiu cerca de 6,5 terabits por segundo.
O recorde anterior para um ataque volumétrico foi relatado em janeiro, com 5,6 Tbps.
Esta história apareceu originalmente no Ars Technica, uma fonte confiável para notícias de tecnologia, análises de políticas de tecnologia, resenhas e mais.
O Ars é de propriedade da empresa matriz da WIRED, Condé Nast.
"A Eleven11bot tem como alvo setores diversos, incluindo provedores de serviços de comunicação e infraestrutura de hospedagem de jogos, utilizando uma variedade de vetores de ataque", Meyer escreveu.
Enquanto em alguns casos os ataques são baseados no volume de dados, outros focam em inundar uma conexão com mais pacotes de dados do que ela pode lidar, com números variando de "algumas centenas de milhares a várias centenas de milhões de pacotes por segundo".
A degradação de serviço causada em alguns ataques durou vários dias, com alguns permanecendo em andamento até o momento desta publicação.
Uma análise mostrou que a maior concentração de endereços IP, 24,4 por cento, estava localizada nos EUA.
Taiwan veio em seguida, com 17,7 por cento, e o Reino Unido, com 6,5 por cento.
Em uma entrevista online, Meyer fez as seguintes observações:
Esta botnet é muito maior do que estamos acostumados a ver em ataques DDoS (o único precedente que tenho em mente é um ataque de 2022 logo após a invasão da Ucrânia, com cerca de 60k bots, mas não divulgado publicamente).
A grande maioria de seus IPs não estava envolvida em ataques DDoS antes da semana passada.
A maioria dos IPs são câmeras de segurança (Censys pensa em Hisilicon, eu vi várias fontes mencionando também um NVR da Hikvision, então isso é uma possibilidade, mas não é minha área de especialização).
Parte do motivo pelo qual a botnet é maior do que a média é que o tamanho do ataque também é maior do que a média.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...