Ataque DDoS: uma perfeita cortina de fumaça para APTs e violações silenciosas de dados

s200_guy.daudaNo início do ano, a Forbes mencionou uma tendência de crescimento de ataques DDoS em todo o mundo. Durante este ano, muitas empresas de segurança anunciaram um aumento significativo de ataques DDoS, com destaque para o crescimento de sua diversidade, complexidade e quantidade. Os principais recursos, geralmente direcionados pelos atacantes, são aplicações web ou sites.

Um relatório recente da Verizon diz que houve 34% mais ataques DDoS no primeiro semestre de 2015 do que no primeiro semestre de 2014, enquanto a média de tamanho dos ataques DDoS aumentou 52%. A SC Magazine cobriu recentemente uma tendência relativamente nova de ataques DDoS. As principais vítimas são bancos e instituições financeiras que possuem plataformas bancárias na web.

No entanto, em alguns casos, um ataque DDoS é apenas uma cortina de fumaça para distrair a equipe de segurança de TI e encobrir um incidente muito maior. Semanas atrás, esta questão foi destacada pela pesquisa da Kaspersky. Vamos analisar por que os ataques DDoS se tornaram um companheiro confiável para avançadas ameaças persistentes (APT) nos dias de hoje.

Robert Metcalf, um especialista em segurança cibernética da PwC Suíça, diz: “Em nossa experiência profissional de recentes ciberataques, DDoS e DoS são muitas vezes um prelúdio para outros ataques, e minimizar o tempo para detecção e resposta é crítico.”

É importante entender que os ataques DDoS clássicos, com o objetivo de tornar um recurso da Web indisponível por um período de tempo, são raramente usados por profissionais. O principal objetivo do ataque DDoS é prejudicar um concorrente ou forçar a vítima a pagar o resgate. Dias de inatividade são insuficientes para realizar qualquer uma dessas metas, simplesmente porque um curto tempo de inatividade não é suficiente para prejudicar seriamente a empresa, exceto se for um comerciante de linha popular ou varejista.

Além disso, o tempo de inatividade estável de um grande e-commerce vai custar aos atacantes bastante mesmo para um período de dois dias: as grandes empresas geralmente têm infraestrutura bem protegida na nuvem com todos os tipos de mecanismos de proteção DDoS e exigem botnets muito poderosas e portanto, caras. Além disso, depois de ataques em larga escala contra as principais empresas norte-americanas ou europeias, agências de aplicação da lei e empresas de segurança cibernética geralmente juntam suas forças para acompanhar e desligar botnets utilizadas para o ataque, amortizando o valor muito mais rápido do que o esperado pelos cibercriminosos.

Portanto, se os cibercriminosos realmente querem prejudicar os negócios da vítima, seria melhor usar ataques conhecidos com RansomWeb. Desde então, várias empresas, incluindo IBM e PwC, mencionam esse termo em suas pesquisas.

Semelhante a ataques DDoS clássicos, aos taques RansomWeb afetam a disponibilidade de recursos da vítima, tornando-os inacessíveis. No entanto, eles pode durar para sempre, sem nenhum custo adicional para os atacantes e, portanto, causam muito mais danos sérios e perdas financeiras para as suas vítimas.

A cereja no topo do bolo vem de um relatório da Verizon dizendo que 99,9% das vulnerabilidades exploradas em 2014 foram divulgadas, com destaque para a facilidade com que uma empresa pode ser invadida usando vulnerabilidades públicas. Como você pode ver, os grupos de hackers sofisticados preferem comprometer a sua vítima e depois usar táticas de RansomWeb, que possui alguns limites e não é aplicável para alguns tipos de sistemas, mas geralmente não é um problema para encontrar uma aplicação web vulnerável adequada para ele.

É por isso que profissionais Black Hat tendem a usar ataques DDoS não como principal vetor de ataque, mas sim como uma cortina de fumaça para ocultar violações de dados mais sérios. Black Hats têm uma boa compreensão da segurança cibernética e equipes de resposta a incidentes de suas vítimas.

Normalmente, quando uma empresa é atingida por um ataque DDoS, todos os funcionários, incluindo a gestão superior, estão conscientes disso pois afeta quase todas as partes interessadas em todos os níveis. Equipes de segurança de TI, provavelmente, vão passar dias e noites no escritório tentando evitar o ataque. Enquanto este caos está acontecendo, quem irá manter um olho sobre alertas de segurança na web e incidentes? Muito provavelmente ninguém.

Empresas de todo o mundo continuam reduzindo custos operacionais e, normalmente, o mesmo grupo de especialistas em TI é responsável por tudo relacionado à segurança. Essa atmosfera é um grande presente para os invasores: mercenários cibernéticos profissionais preferem que a vítima nunca esteja ciente da violação de dados e, portanto, não realizem qualquer investigação legal ou forense.

Além de fatores humanos, muitas empresas utilizam a rotação de log configurada de tal forma que os registros antigos são substituídos pelos mais recentes. Normalmente registros crus para processos não críticos são armazenados por um período de três a seis meses para economizar espaço em disco. Um ataque DDoS pode substituir o mesmo volume de dados de log em vários dias, a exclusão de todos os registros anteriores que muito provavelmente contêm informações sobre uma sofisticada violação de dados. Quem vai se preocupar em recuperar os logs? Provavelmente ninguém.

Claro que às vezes, um ataque DDoS pode ser muito barato e simples. Se a aplicação web de uma vítima permite SQLInjection ou vulnerabilidades de lógica do aplicativo que os invasores podem usar para esgotar os recursos de CPU e RAM de infraestrutura web com apenas uma dúzia de solicitações HTTP, então DoS torna-se um vetor de ataque bastante interessante. O problema é que, geralmente, é muito fácil de descobrir uma vulnerabilidade de segurança alavancado pelos atacantes, e tais DoS não pode durar por um tempo.

No entanto, certifique-se de que o site é seguro, caso contrário as consequências do mais simples ataque de negação de serviço poderão ser bastante caras e entenda claramente os motivos por trás de um ataque DDoS e sua verdadeira finalidade, caso contrário invasores silenciosamente farão mais do que você pensa.

Acesse o conteúdo original (em inglês) no link.