Grande botnet surge repentinamente e lança ataques DDoS recordes

Uma botnet recém-identificada, composta por aproximadamente 30.000 webcams e gravadores de vídeo — com a maior concentração nos Estados Unidos — está promovendo o que pode ser o maior ataque de negação de serviço já registrado, segundo um especialista em segurança da Nokia.

O botnet, denominado Eleven11bot, foi detectado pela primeira vez no final de fevereiro, quando pesquisadores da equipe Deepfield Emergency Response da Nokia notaram uma grande quantidade de endereços IP distribuídos globalmente realizando “ataques hipervolumétricos”. Desde então, o Eleven11bot tem realizado investidas de grande escala.

Os ataques volumétricos de DDoS sobrecarregam a largura de banda de uma rede-alvo ou sua conexão com a Internet, ao contrário dos ataques de exaustão, que sobrecarregam os recursos computacionais de um servidor. Já os ataques hipervolumétricos representam DDoSes volumétricos que geram quantidades massivas de tráfego, frequentemente medidas em terabits por segundo.

Leia também

Botnet cresce rapidamente e estabelece novo recorde

Com 30.000 dispositivos, o Eleven11bot já se destacava por seu porte (ainda que algumas botnets ultrapassem 100.000 dispositivos). De acordo com o pesquisador da Nokia Jérôme Meyer, a maioria dos endereços IP envolvidos nunca havia sido associada a ataques DDoS antes.

Além de sua rápida expansão, outro fator impressionante do Eleven11bot é o volume inédito de tráfego que direciona às vítimas. O maior ataque registrado pela Nokia ocorreu em 27 de fevereiro, atingindo um pico de aproximadamente 6,5 terabits por segundo. O recorde anterior para um ataque volumétrico havia sido registrado em janeiro, com 5,6 Tbps.

“O Eleven11bot tem como alvo diversos setores, incluindo provedores de serviços de comunicação e infraestrutura de hospedagem de jogos, utilizando uma variedade de estratégias de ataque”, explicou Meyer. Em alguns casos, as ofensivas são baseadas no volume de tráfego; em outros, o objetivo é inundar a conexão com um número massivo de pacotes de dados, variando entre “algumas centenas de milhares a centenas de milhões por segundo”. Alguns ataques causaram degradação de serviço por vários dias, e alguns permaneciam ativos até a publicação desta matéria.

Uma análise apontou que a maior concentração de endereços IP comprometidos, 24,4%, estava nos Estados Unidos. Taiwan ocupava o segundo lugar, com 17,7%, seguido pelo Reino Unido, com 6,5%.

Em entrevista online, Meyer comentou:
• Essa botnet é significativamente maior do que a maioria dos ataques DDoS observados. O único caso similar que me recordo foi um ataque em 2022, logo após a invasão da Ucrânia, envolvendo cerca de 60.000 bots, mas que não foi amplamente divulgado.
• A grande maioria dos IPs nunca esteve envolvida em ataques DDoS antes da última semana.
• A maior parte dos dispositivos afetados são câmeras de segurança. A empresa Censys acredita que sejam da fabricante Hisilicon, mas há relatos de envolvimento de gravadores digitais Hikvision, embora essa não seja minha área de especialização.
• Como a botnet é maior do que o usual, o volume de ataque também supera a média.

Segundo uma atualização divulgada na quarta-feira pela empresa de segurança Greynoise, o Eleven11bot é provavelmente uma variante do Mirai, um malware criado para infectar dispositivos IoT como webcams. O Mirai surgiu em 2016, quando dezenas de milhares de dispositivos infectados geraram ataques recordes na época, chegando a 1 Tbps, e derrubaram o site KrebsOnSecurity por quase uma semana. Pouco depois, os criadores do Mirai divulgaram seu código-fonte, facilitando a replicação do ataque por outros grupos mal-intencionados. A Greynoise afirmou que a variante por trás do Eleven11bot utiliza um novo exploit para infectar gravadores digitais TVT-NVMS 9000 baseados em chips HiSilicon.

Há divergências quanto ao tamanho real da botnet. Enquanto a Nokia estimou cerca de 30.000 dispositivos no último sábado, a organização sem fins lucrativos Shadowserver Foundation afirmou na terça-feira que o número real seria superior a 86.000. Já na quarta-feira, a Greynoise, com base em dados da Censys, contestou ambas as estimativas, sugerindo que a botnet teria menos de 5.000 dispositivos ativos.

A revisão para cima do Shadowserver provavelmente se baseou na premissa equivocada de que cada dispositivo infectado exibia uma identificação única. Essa hipótese parece ter sido refutada, e Meyer acredita que a informação observada nos dispositivos afetados pode ser exibida em todo o hardware, infectado ou não. Pesquisadores da Greynoise e da Censys não estavam imediatamente disponíveis para comentar suas estimativas mais baixas.

Meyer declarou que tem monitorado consistentemente entre 20.000 e 30.000 IPs participando de ataques sucessivos, embora muitas ofensivas envolvam subconjuntos menores de dispositivos. Ele informou que já compartilhou sua lista de 30.000 endereços IP com a Censys e pretende enviá-la também ao Shadowserver para buscar um consenso sobre o tamanho real da botnet.

“Ainda confio na estimativa, pois é o que continuamos registrando nos ataques, mesmo após revisão manual dos IPs de origem”, afirmou Meyer.

Botnets baseadas no Mirai utilizam diferentes métodos para se disseminar. Um dos mais comuns é a tentativa de acessar dispositivos IoT com credenciais padrão de fábrica, frequentemente negligenciadas pelos usuários. Além disso, essas redes de malware exploram vulnerabilidades que permitem contornar proteções de segurança.

Para evitar infecções, qualquer pessoa que possua dispositivos IoT deve mantê-los protegidos por um roteador ou firewall, impedindo o acesso externo direto. O gerenciamento remoto pela Internet deve ser ativado apenas quando absolutamente necessário. Também é fundamental garantir que cada dispositivo possua uma senha forte e exclusiva, além de instalar atualizações de segurança assim que forem disponibilizadas.