Um estressador ou iniciador de sites é um serviço de DDoS por encomenda que permite que hackers com pouca experiência e poucos recursos ainda assim realizem ataques devastadores contra um alvo. Estressores de sites sofisticados são configurados como ofertas de software como serviço (SaaS), completos com versões de teste gratuitas, tutoriais em vídeo, suporte por e-mail e pacotes de assinatura com preços a partir de apenas US$ 20 por mês.
O botnet Meris é uma operação de botnet incrivelmente poderosa que bateu recordes em 2021 e 2022 pelo tamanho dos ataques de DDoS que realizou. O Meris também se destacou pelo número de dispositivos infectados que controlava (estimados em 250.000 roteadores) e pelo volume de solicitações que podia enviar: até 46 milhões de solicitações por segundo (RPS) em um ataque de 2022 ao Google.
O que é um botnet?
O termo botnet é a abreviação de “robot network” (rede de robôs), um grupo de computadores ou dispositivos infectados com software malicioso (malware) que permite que sejam controlados por agentes de ameaça. Os botnets podem conter dezenas de milhares de dispositivos que podem ser usados para lançar ataques cibernéticos coordenados. Usos comuns de botnets incluem envio de spam, roubo de informações de cartão de crédito, campanhas de fraude de cliques e geração de enormes quantidades de tráfego malicioso para ataques de DDoS.
O que é um ataque DDoS?
Um ataque de negação de serviço distribuída (DDoS) é projetado para inundar uma máquina ou rede com tráfego malicioso, tornando-a incapaz de lidar com solicitações legítimas e tornando seus serviços inacessíveis para usuários legítimos. Ataques de DDoS frequentemente têm como alvo o site, as aplicações web, as APIs, a rede, o data center ou a infraestrutura de DNS de uma empresa. Hackers podem realizar ataques de DDoS para extorquir uma empresa, distrair equipes de segurança de outros tipos de ataques cibernéticos, buscar vingança, fazer uma declaração política ou simplesmente por diversão.
Como o botnet Meris funciona?
O botnet de DDoS Meris explora uma vulnerabilidade no sistema operacional (RouterOS) de roteadores fabricados pela empresa letã MikroTik, que também produz pontos de acesso Wi-Fi, gateways de IoT, switches e outros equipamentos. “Meris” é a palavra letã para praga.
Para realizar ataques de DDoS, o Meris concentra ataques volumétricos na camada de aplicação. O botnet Meris envia um volume esmagador de RPS a um servidor de destino para sobrecarregar sua capacidade de recursos de CPU e memória. Com mais de 250.000 roteadores sob seu controle, o botnet pode facilmente lançar ataques volumétricos de DDoS de vários terabits, capazes de quebrar todos os recordes de tamanho de ataque.
Especialistas acreditam que os invasores podem encaminhar solicitações de outros dispositivos para os roteadores infectados a fim de ocultar a origem do ataque. O botnet Meris também usa HTTP o pipeline, que permite que uma única conexão transmita várias solicitações sem precisar esperar que o servidor envie uma resposta, ajudando a aumentar o RPS do botnet.
Para criar um botnet mais poderoso, acredita-se que o Meris explorou uma vulnerabilidade corrigida nos dispositivos MikroTik (CVE-2018-14847) e reconfigurou o sistema operacional usado pelos roteadores MikroTik para permitir acesso remoto. Esse ataque teve sucesso mesmo com alguns roteadores MikroTik corrigidos, já que, para proteger os roteadores de se tornarem parte do botnet, as equipes de segurança também precisavam alterar a senha e atualizar o firewall.
Quão poderoso é o botnet Meris?
Em 2021, pesquisadores estimaram que o botnet Meris era composto por mais de 250.000 dispositivos e que mais de 40.000 dispositivos adicionais ainda estavam expostos à vulnerabilidade. O tamanho do botnet Meris permite que ele penetre em redes massivas, como provedores de serviços de internet (ISPs).
Com mais de 250.000 dispositivos, a capacidade máxima do Meris pode chegar a um recorde de 110 milhões de solicitações por segundo. Em comparação, o maior ataque de DDoS já medido anteriormente tinha aproximadamente 20% da capacidade do Meris.
O botnet Meris superou um dos botnets mais notórios, o Mirai, que infectou centenas de milhares de dispositivos IoT. No entanto, o Mirai era limitado pela pequena capacidade computacional e pelas capacidades de rede restritas dos dispositivos IoT. Em contraste, o Meris utiliza um exército de roteadores com muito mais poder de processamento e melhores capacidades de transferência de dados do que os dispositivos IoT. A tecnologia por trás do botnet Meris sugere que seus hackers têm acesso a considerável poder de processamento e Ethernet de alta velocidade, tornando o Meris uma ameaça muito mais potente para organizações que não contam com mitigação de DDoS baseada em nuvem.
Quais empresas foram visadas?
O botnet Meris foi usado para atacar uma ampla variedade de empresas. O grande número de ataques foi direcionado a negócios nos setores bancário, de serviços financeiros e de seguros (BFSI). Ataques notáveis incluem:
- Um ataque ao site Krebs on Security que atingiu mais de 2 milhões de RPS
- Ataques suspeitos ao mecanismo de busca Yandex
- Um ataque suspeito à empresa de nuvem Cloudflare, que registrou 17,2 milhões de RPS
- Um ataque suspeito em junho de 2022 contra o Google, que aumentou de 100.000 RPS para 46 milhões de RPS em uma hora, tornando-se o maior ataque de DDoS de camada 7 já registrado na história
Como as empresas podem se defender do botnet Meris?
Para se proteger contra o botnet Meris e outros ataques de DDoS, as equipes de segurança podem implementar várias camadas de proteção de cibersegurança, incluindo um firewall de DNS, proteção de API, um firewall de aplicações web e soluções abrangentes de proteção contra DDoS com capacidade de defesa dedicada para bloquear ataques na própria edge da rede da organização, antes que causem qualquer dano. As soluções de segurança devem incluir proteção para sites, aplicações, APIs, infraestrutura de DNS (incluindo servidores DNS autoritativos, GSLB etc.) e infraestrutura de rede.
Uma solução poderosa de proteção contra DDoS deve oferecer uma abordagem completa que utilize capacidade de defesa dedicada, fluxos de mitigação automatizados, uma combinação de inteligência humana e de máquina e a flexibilidade de implantação local, em nuvem ou híbrida para uma proteção contra DDoS abrangente e eficaz.
Perguntas frequentes (FAQ)
Um botnet, ou rede de robôs, é uma rede de computadores infectados por malware que permite que cibercriminosos os controlem. A pessoa que controla o botnet é chamada de “pastor de bots”, e cada máquina infectada é chamada de bot. Os botnets podem incluir computadores, servidores, dispositivos da Internet das Coisas (IoT) e outros tipos de máquinas.
Para lançar ataques de botnet, um pastor de bots envia comandos para os bots a partir de um servidor de comando e controle, direcionando-os a executar ações como escanear outras máquinas em busca de vulnerabilidades, distribuir malware, espalhar ransomware, minerar criptomoedas, fazer compras para esquemas de revenda de ingressos, enviar e-mails de phishing e spam, ou oferecer serviços de estressores de sites.
Por que os clientes escolhem a Akamai
A Akamai é a empresa de cibersegurança e computação em nuvem que potencializa e protege negócios online. Nossas soluções de segurança líderes de mercado, inteligência avançada contra ameaças e equipe de operações globais oferecem defesa em profundidade para garantir a segurança de dados e aplicações empresariais em todos os lugares. As abrangentes soluções de computação em nuvem da Akamai oferecem desempenho e acessibilidade na plataforma mais distribuída do mundo. Empresas globais confiam na Akamai para obter a confiabilidade, a escala e a experiência líderes do setor necessárias para expandir seus negócios com confiança.