Uma retrospectiva sobre as tendências de DDoS em 2023 e estratégias para 2024

Publicado originalmente em 9 de janeiro de 2024; atualizado em julho de 2025

Os ataques de DDoS têm crescido continuamente em tamanho e sofisticação, mas 2023 acelerou essa tendência em um ritmo imprevisto. Até mesmo os fornecedores de segurança e seus respectivos websites estão sendo atacados e, embora a Akamai tenha sido eficaz na atenuação de ataques, outros não foram. Em fevereiro de 2023, a Akamai protegeu com sucesso um cliente na APACcontra o maior ataque DDoS  já lançado contra um cliente Prolexic. O ataque atingiu um pico de 900,1 gigabits por segundo (Gbps) e de 158,2 milhões de pacotes por segundo (Mpps). Em setembro, a Akamai detectou e impediu novamente o maior ataque DDoS direcionado a uma das maiores e mais influentes instituições financeiras dos EUA. Os cibercriminosos usaram uma combinação de vetores de ataque de inundação ACK, PUSH, RESET e SYN, com pico de 633,7 Gbps e 55,1 Mpps.

Esses ataques que definiram recordes em 2023 eram uma anomalia em estado estagnado do crime cibernético? De jeito nenhum! Esses ataques estavam muito alinhados com a tendência de ataques de DDoS de "choque e pavor" que começaram em 2022. No ano passado, a Akamai defendeu com sucesso e repetidamente um cliente na Europa de um ataque DDoS recorde que atingiu o pico de 704,8 Mpps. Na verdade, 8 dos 10 maiores ataques de DDoS mitigados pela Akamai ocorreram nos últimos 18 meses.

Embora esses ataques tenham chegado às manchetes por sua complexidade, sofisticação e tamanho, houve vários outros ataques de DDoS altos em pacotes por segundo de Camada 3 e Camada 4 este ano impulsionados pelo hacktivismo geopolítico e outras motivações maliciosas. Na verdade, a Akamai observou o maior número desses ataques em 2023: um aumento de quase 50% em relação a 2021 (Figura 1).

A Akamai observa mais de 11 trilhões de solicitações de DNS diariamente, e esse ponto privilegiado fornece uma visão profunda das táticas, técnicas e procedimentos (TTP) utilizados pelos invasores para derrubar a infraestrutura de DNS de empresas e instituições. Após uma breve queda no primeiro semestre de 2022, houve um grande ressurgimento de ataques de DNS. Quase 60% dos ataques de DDoS mitigados pela Akamai em 2023 tinham um componente DNS (Figura 2).

De acordo com um relatório State of the Internet (SOTI) da Akamai publicado em março de 2023, até 16% das organizações encontraram tráfego de comando e controle (C2) em sua rede, indicando um ataque em andamento ou uma violação que poderia abrir caminho para um ataque de ransomware. A onipresença da superfície de ataque de DNS ficou evidente pelo fato de os invasores terem direcionado de tudo, desde websites e dispositivos habilitados para IoT até redes domésticas e tudo o que estava entre eles.

Os ataques de DDoS de Camada 7 também continuam a ser um problema para aplicações financeiras. Os agentes da ameaça estão fazendo esforços ininterruptos para elevar suas operações, redes e TTPs para escapar de defesas mais fortes. Algumas das caraterísticas mais comuns que observamos de muitos ataques de DDoS em grande escala incluem: 

• IP/sub-rede altamente distribuídos e países-alvo 

• Fontes de ataque abundantes, incluindo provedores de serviços de nuvem infectados/alugados, nós de saída Tor, nós de proxy anônimos/abertos 

• Inundações de consultas HTTP e DNS 

• URLs não armazenáveis em cache, como página inicial, URLs aleatórios, entradas de pesquisa e pontos de extremidade de login 

• Falsificação de IP por invasores avançados que criam botnets em ISPs residenciais, redes de operadoras móveis ou redes universitárias. 

• Golpes dinâmicos e adaptativos, baseados nas respostas dos defensores

Os cibercriminosos virtuais também fizeram um esforço concertado para perseguir o que é percebido como “alvos vulneráveis”. Durante a fase de reconhecimento ou mapeamento de ataques, os agentes de ameaça sabem quais serviços de produção têm proteções e planejam de acordo com isso. Organizações de pequeno e médio portes, instituições governamentais e infraestruturas públicas críticas, como escolas, hospitais, aeroportos e outros centros de transporte e logística, foram atacadas repetidamente com DDoS em 2023. Embora vários dos principais aeroportos dos Estados Unidos tenham sido atacados pelo grupo hacktivista pró-russo KillNet em 2022, outro grupo russo de hackers, conhecido como NoName057(16), atacou vários aeroportos, governos e instituições financeiras canadenses em 2023.

Da mesma forma, o notório grupo hacktivista Anonymous Sudan atacou seis grandes aeroportos indianos e várias instituições de saúde em abril de 2023. É claro que esta não é de forma alguma uma lista exaustiva de tais ataques de DDoS. Os cibercriminosos continuaram a aproveitar o DDoS como um formato de ataque relativamente barato, mas eficaz, para causar incômodo e distração para as equipes de segurança envolvidas e causar danos à reputação dos governos e das empresas.

Por fim, ao longo de 2023, observamos que houve um ressurgimento de campanhas mais longas de ataques de DDoS. Em média, muitos ataques foram campanhas sustentadas por mais de 20 minutos, e o número de ataques que continuaram por mais de uma hora aumentou 50% entre 2021 e 2023. Essa é uma inversão notável da tendência observada anteriormente de ataques extremamente agudos, mas curtos, que geralmente duraram menos de 2 minutos.

Os ataques curtos e rápidos são muito eficazes se as organizações não tiverem defesas proativas e não possibilitarem que a resposta ocorra rapidamente. Ataques prolongados sobrecarregam a produtividade e a capacidade das operações de manter a continuidade quando outras ameaças são detectadas e respostas são necessárias.

É nesse cenário de ameaças de DDoS em rápida evolução e cada vez mais desafiador que a Akamai fornece uma das soluções de proteção contra DDoS mais abrangentes, flexíveis e confiáveis para que os clientes defendam sua infraestrutura digital em todas as camadas, portas e protocolos.

Nos últimos 15 meses, houve vários marcos significativos, adições e atualizações para a plataforma Akamai Prolexic, oferecendo proteção e valor aos clientes em todos os principais segmentos, setores e regiões geográficas do mundo. A série de transformações começou com o lançamento da arquitetura totalmente definida por software da Prolexic em resposta às tendências de rede em constante mudança relacionadas à computação de borda, 5G e virtualização de rede. 

Com a transição para ambientes de software virtualizados, o Prolexic removeu todas as dependências de hardware especializado. Essa padronização da implantação permite à Akamai atender às necessidades crescentes dos clientes com mais rapidez, facilitar implantações modulares para extensão da capacidade, fornecer melhor cobertura regional com links de baixa latência e melhorar a redundância da plataforma. Além disso, a nova arquitetura acelera os recursos avançados de aprendizagem comportamental do Prolexic para aprender com assinaturas de ataque, adaptar-se a vetores de ameaças emergentes e criar de forma proativa posturas resilientes face a DDoS para os clientes. 

A nova arquitetura Prolexic ajudou a aumentar de forma rápida e massiva o número total de centros de depuração em nuvem Prolexic em todo o mundo. Atualmente, a Prolexic tem vários centros de depuração em 32 áreas metropolitanas globais e um total de mais de 20 Tbps de capacidade de defesa dedicada. A palavra-chave a ser observada aqui é "dedicado". Ao contrário de algumas soluções que utilizam a capacidade de rede de entrega de conteúdo, oferecendo aos cibercriminosos um único ponto de defesa a ser superado, 

A Prolexic é uma plataforma criada para fins específicos que é integrada à Akamai Cloud, mas também oferece o nível de segurança DDoS dedicada que os clientes corporativos exigem. Para colocar a capacidade de defesa do Prolexic em perspectiva, até mesmo os maiores ataques de DDoS conhecidos das Camadas 3 e 4 não compõem 10% da capacidade disponível para os clientes do Prolexic. 

Durante 2023, o Akamai Prolexic lançou novos centros de depuração de nuvem nos seguintes locais:

• Auckland, Nova Zelândia
• Dubai, Emirados Árabes Unidos
• Jeddah, Arábia Saudita
• Madri, Espanha
• Cidade do México, México
• Milão, Itália
• Montreal e Toronto, Canadá
• Mumbai e Chennai, Índia
• Rio de Janeiro, Brasil
• Zurique, Suíça

A distribuição geográfica e a presença local dos centros de depuração Prolexic oferecem vários benefícios aos clientes, incluindo: 

• Minimizar a latência e maximizar o desempenho da rede
• Otimizar custos operacionais relacionados ao redirecionamento de tráfego de rede
• Aumentar a visibilidade e o controle sobre os padrões específicos da região dos ataques de DDoS

Em setembro, a Akamai firmou uma parceria estratégica com a Corero, especialista líder em soluções DDoS locais, para ampliar a plataforma Prolexic com o Prolexic On-Prem (desenvolvido pela Corero) e o Prolexic Hybrid. 

• O Prolexic On-Prem oferece proteção contra DDoS sempre ativa, física ou lógica, em linha e de datapath, que se integra nativamente aos roteadores de edge para interromper automaticamente mais de 98% dos ataques na edge da rede do cliente, sem a necessidade de backhaul de tráfego. Isso é ideal para a grande maioria dos ataques pequenos e rápidos e para empresas que exigem proteção contra DDoS de latência ultrabaixa.

• O Prolexic Hybrid combina a potência, a automação e o desempenho do Prolexic On-Prem com a escala e a capacidade líderes do setor do Prolexic Cloud sob demanda para proteger as origens dos clientes contra os maiores ataques DDoS volumétricos.

Em abril de 2023, a Akamai anunciou o lançamento do Prolexic Network Cloud Firewall , um recurso totalmente autosserviço e configurável pelo usuário que permite que os clientes definam, implantem e gerenciem facilmente suas próprias listas de controle de acesso (ACLs) e as regras que desejam aplicar na edge de sua rede. É um firewall na frente de todos os outros firewalls. 

Com o Network Cloud Firewall, os clientes podem bloquear de forma rápida, centralizada e global o tráfego que não desejam que atinja suas redes ou determinados alvos em suas redes. O Network Cloud Firewall também recomenda ACLs para a melhor postura de defesa proativa com base nos dados de inteligência de ameaças da Akamai e fornece análises acionáveis das regras existentes. Como um firewall como serviço (FWaaS) de última geração, o Network Cloud Firewall capacita os clientes a: 

• definir defesas proativas para bloquear o tráfego mal-intencionado instantaneamente.
• aliviar a infraestrutura local, movendo as regras para a edge.
• adaptar-se rapidamente às alterações de rede por meio de uma nova interface de usuário.

Se 2023 foi um ano em que empresas, instituições governamentais e infraestrutura pública crítica foram incansavelmente alvo de ataques cibernéticos altamente sofisticados, provavelmente é seguro prever que os cibercriminosos definirão ainda mais seus objetivos em 2024. A proliferação de dispositivos digitais que podem ser infectados e transformados em botnets, a rápida adoção de infraestrutura digital nas regiões EMEA e APAC e as tensões geopolíticas contínuas na Europa e no Oriente Médio continuarão a promover um ambiente caótico que joga a favor dos cibercriminosos.

Neste cenário, a Akamai recomenda as três estratégias a seguir: 

• Prepare-se proativamente com uma postura de proteção contra DDoS
• Proteja sua infraestrutura de DNS
• Não confie em soluções "boas o suficiente"

O custo relativamente baixo do lançamento de ataques de DDoS, especialmente com a proliferação de DDoS como serviço, tornou-os uma poderosa arma de crime cibernético nas mãos de agentes mal-intencionados. Embora os ataques de DDoS não possam ser evitados, é 100% possível proteger seus ativos digitais contra tais ataques adotando as seguintes etapas: 

• verificar todas as sub-redes e espaços de IP fundamentais e garantir que tenham mecanismos de mitigação ativos.

• Implante controles de segurança de DDoS em uma postura de proteção sempre ativa como uma primeira camada de defesa para evitar um cenário de integração de emergência e reduzir a carga sobre os responsáveis pela resposta a incidentes. 

• reunir proativamente uma equipe de resposta a crises e garantir que os runbooks e os planos de resposta a incidentes estejam atualizados. Não seja pego de surpresa quando estiver sob ataque! 

• Faça backup de sua proteção contra DDoS no local com uma plataforma de proteção híbrida que protege contra ataques que sobrecarregam seus dispositivos no local. 

• Amplie sua postura de segurança além da proteção básica contra DDoS configurando controles de segurança proativos por meio de um firewall de nuvem de rede. 

• Por fim, utilize o conhecimento e a experiência de uma equipe SOCC global e testada em batalha para aliviar a pressão de seus recursos internos críticos. Os serviços SOCC complementam a automação e os recursos de uma plataforma de DDoS robusta.

A infraestrutura de DNS ressurgiu como um dos principais alvos de ataques de DDoS. Se o seu DNS cair, a sua presença online também cairá. Os ataques podem nem sempre ter o objetivo de derrubar os servidores de nomes DNS. Em vez disso, podem apenas esperar conseguir o esgotamento de recursos e deteriorar o desempenho do balanceamento de carga do servidor global a um ponto em que as solicitações legítimas sofrem.

Em alguns casos, proteger a segurança e o desempenho da sua infraestrutura de DNS pode ser um desafio se a sua configuração gerenciar algumas zonas na nuvem e outras no local. Em muitos desses casos, um firewall DNS tradicional fornece proteção inadequada. A solução mais ideal é uma plataforma híbrida que permite:

• proteger suas zonas de DNS no local e na nuvem contra todos os tipos de ataques, incluindo Water Torture de DNS, inundação de DNS e outros

• gerenciar de forma intuitiva e fácil políticas e listas de permissões de IP e fornecer análises acionáveis em tempo real para ajudá-lo a adotar uma postura de segurança proativa 

• melhorar o desempenho do DNS usando uma infraestrutura de ponto de presença altamente distribuída para responder aos usuários do local mais próximo