HostCuritiba

  Por Mês

Abril 2024
Março 2024
Fevereiro 2024
Janeiro 2024
Dezembro 2023
Outubro 2023
Julho 2023
Junho 2023
Maio 2023
Abril 2023
Antigos Anuncios...
Ver RSS Feed

  Por Mês

Maior ataque DDoS bloqueado pelo Google Cloud

  • Domingo, 21st Agosto, 2022
  • 15:45pm

O Google Cloud alegou ter bloqueado o maior ataque DDoS da Camada 7 (HTTPS) até o momento depois que um cliente do Cloud Armor foi alvo de uma série de ataques que atingiram 46 milhões de solicitações por segundo (rps). O Google afirmou que o ataque, que ocorreu em 1º de junho, foi pelo menos 76% maior do que o registro https DDoS relatado anteriormente e mostrou características que o ligam à família de ataque Mēris.

A gigante da tecnologia disse que o Cloud Armor Adaptive Protection foi capaz de detectar e analisar o tráfego no início do ciclo de vida de ataque do cliente, bloqueando o ataque e garantindo que o serviço do cliente permanecesse on-line. O ataque ocorre em meio ao aumento da atividade DDoS direcionada às organizações, à medida que os atacantes empregam cada vez mais infraestrutura e diversidade em campanhas.

O ataque HTTPS DDoS atingiu 46 milhões de solicitações por segundo

Em um post no blog, o Google escreveu que, por volta das 9h45 (horário de Brasília) de 1º de junho de 2022, um ataque de mais de 10.000 rps começou a atingir o balanceador de carga HTTPS de um cliente. "Oito minutos depois, o ataque cresceu para 100.000 pedidos por segundo", acrescentou a empresa. O Cloud Armor gerou um alerta contendo a assinatura do ataque avaliando o tráfego e uma regra recomendada para bloquear a assinatura maliciosa, afirmou o Google.

A equipe de segurança de rede do cliente implantou a regra recomendada em sua política de segurança, e começou a bloquear o tráfego de ataque. "Eles escolheram a ação 'acelerador' em vez de uma ação de 'negar' para reduzir a chance de impacto no tráfego legítimo, limitando severamente a capacidade de ataque, diminuindo a maior parte do volume de ataque na borda da rede do Google", escreveu o Google.

"Nos dois minutos que se seguiram, o ataque começou a aumentar, crescendo de 100.000 rps para um pico de 46 milhões de rps. Como a Cloud Armor já estava bloqueando o tráfego de ataque, a carga de trabalho de alvo continuou a operar normalmente." O ataque então começou a diminuir de tamanho, terminando 69 minutos depois às 10:54 da manhã "Presumivelmente, o atacante provavelmente determinou que não estava tendo o impacto desejado enquanto incorreva em despesas significativas para executar o ataque", afirmou o Google.

"O ataque ilustra duas tendências: que os tamanhos de ataque DDoS continuam a crescer exponencialmente e que os métodos de ataque continuam a evoluir, aproveitando novos tipos de serviços vulneráveis para lançar ataques", diz Emil Kiner, gerente sênior de produtos do Google Cloud, à CSO.

Novos anões de ataque campanhas anteriores do HTTPS DDoS

O ataque de 46 milhões de rps é o maior ataque HTTPS DDoS registrado anteriormente. Em junho de 2022, a Cloudfare detectou e atenuou um ataque de 26 milhões de rps que se originou de uma botnet pequena, mas poderosa, de 5.067 dispositivos. Em 2021, a mesma empresa frustrou um ataque DDoS então recorde que atingiu 17,2 milhões de rps, antes de parar um ataque ligeiramente menor (15 milhões de rps) em abril de 2022.

Características notáveis do maior ataque HTTPS DDoS, links para botnet Mēris

Junto com um volume de tráfego significativamente alto, o Google citou várias outras características notáveis no ataque. Identificou 5.256 IPs de origem de 132 países contribuindo para o ataque, com os quatro principais países contribuindo com aproximadamente 31% do tráfego total. Kiner diz à CSO que esses países eram Brasil, Índia, Rússia e Indonésia. Além disso, o ataque aproveitou as solicitações criptografadas, o que teria levado recursos adicionais de computação para gerar, afirmou o Google.

"Embora o término da criptografia fosse necessário para inspecionar o tráfego e mitigar efetivamente o ataque, o uso de pipelining HTTP exigiu que o Google completasse relativamente poucos apertos de mão TLS", acrescentou a empresa. O Google aproximou que 22% (1.169) dos IPs de origem correspondiam aos nódulos de saída do Tor, embora o volume de solicitação proveniente desses nódulos representasse apenas 3% do tráfego de ataque. "Embora acreditemos que a participação do Tor no ataque tenha sido incidental devido à natureza dos serviços vulneráveis, mesmo em 3% do pico (superior a 1,3 milhão de rps), nossa análise mostra que os nós de saída do Tor podem enviar uma quantidade significativa de tráfego indesejado para aplicativos e serviços web", escreveu o Google.

O mais interessante é que o Google afirmou que a distribuição geográfica e os tipos de serviços não garantidos alavancados correspondem à família de ataques Mēris, conhecida por campanhas de DDoS que abusam de proxies não inseguras para ofuscar a verdadeira origem dos ataques.

DDoS ataca em ascensão, apresentam rica mistura de volume e duração

Geralmente, a atividade DDoS está aumentando, impactando organizações em setores e geografias. O Relatório de Análise Global de Ameaças H1 da Radware de 2022 descobriu que, nos primeiros seis meses de 2022, o número de eventos DDoS maliciosos mitigados por cliente cresceu 203% em relação aos primeiros seis meses de 2021, e 239% em comparação com os últimos seis meses de 2021.

"As tendências de ataque DDoS tendem a ser um pouco cíclicas em seu formato, embora haja uma tendência subjacente ao longo do tempo de aumento de volume, seja em bits por segundo (bps), pacotes por segundo (pps) ou pedidos por segundo (rps)", diz Rik Turner, analista principal sênior da Omdia, à CSO. Essa tendência ascendente é explicada em parte pela capacidade dos atacantes de aproveitar cada vez mais a infraestrutura - ou seja, maiores quantidades de bots dos quais lançar ataques - e a disponibilidade de DDoS como um serviço, que oferece infraestrutura que pode ser alugada para montar um ataque por quanto tempo o atacante desejar, acrescenta.

"Dito isto, os ataques volumosxo são apenas uma variedade de exploração, e embora seu tamanho geral continue a aumentar com novos volumes recordes anunciados quase anualmente, não é o caso de que a porcentagem de ataques DDoS que são volumosos está subindo linearmente", continua Turner. Alguns anos, a porcentagem de ataques volumoscos diminui, mesmo com o aumento do volume máximo, porque os atacantes podem estar experimentando novas variantes da metodologia de ataque, diz ele.

"Também vale a pena ficar de olho na duração média de um ataque DDoS, pois muitas vezes pode ser que um volume monstruosamente grande seja lançado por apenas alguns minutos, apenas para mostrar do que os atacantes são capazes, e então seguido com um pedido de resgate." Outros tipos de ataque, incluindo ataques de camada de aplicativo (Camada 7), são muitas vezes baixos e lentos porque querem evitar a detecção e descobrir quais defesas o alvo tem no local e quanto tempo leva para ativá-los, diz Turner. "Em última análise, os ataques DDoS apresentam uma rica mistura de volume e duração, tornando mais difícil se defender deles, pois você nunca tem certeza de quais tipos virão em sua infraestrutura."

Fonte: Maior ataque DDoS bloqueado pelo Google Cloud (coderoasis.com)

« Retornar

ico-whatsapp
Dúvidas por WhatsApp
ico-chat
Dúvidas por Web Chat
ico-ticket.png
Abrir ticket Suporte