Um ataque distribuído de negação de serviço ou DDoS (Distributed Denial of Service) é uma extensão de um ataque de negação de serviço (DoS) que é realizado a partir da geração de um grande tráfego de informações ou solicitações de várias fontes para um alvo em específico.
A diferença entre um e outro está no fato de que um ataque DoS (Denial of Service) se caracteriza por ter uma única origem, enquanto um ataque distribuído provém de várias origens, o que dificulta as tentativas de bloqueá-lo e aumenta sua eficácia.
Ambos os ataques consistem no envio em massa e simultâneo de certos pacotes de dados para um determinado alvo, geralmente um servidor web, afetando sua capacidade de processamento ao ser excedida e, consequentemente, colapsada. Como resultado, os serviços interrompem suas operações normais e os usuários legítimos não podem acessar os sites.
Veja mais:Mafiaboy: 20 anos de um dos primeiros ataques de Negação de Serviço (DoS)
Existem várias ferramentas ou serviços para a execução de um ataque DDoS, embora geralmente sejam realizados por meio de botnets, ou seja, um programa malicioso que pode ser controlado remotamente por um cibercriminoso. Este tipo de programa malicioso é composto por um painel de controle a partir do qual são executadas as ações que serão realizadas e um aplicativo servidor que estabelece a comunicação com a central de controle do cibercriminoso. A particularidade dos botnets é permitir que um atacante execute instruções em muitos computadores infectados com o malware simultaneamente. No caso de um ataque DDoS, os programas maliciosos são remotamente instruídos a fazer conexões ou solicitações ao alvo do ataque de forma sincronizada.
DDoS: ataques contra a disponibilidade das informações
A definição tradicional de segurança da informação é baseada na preservação da confidencialidade, integridade e disponibilidade das informações. A confidencialidade é a propriedade que permite que as informações estejam acessíveis apenas para entidades que possuem os privilégios e autorização; a integridade é a propriedade de manter a precisão e integridade das informações; enquanto a disponibilidade é a propriedade que permite que as informações estejam disponíveis e possam ser usadas sempre que necessário.
Nesse conjunto de ideias e definições, é necessário identificar a forma como os ataques que buscam comprometer um ativo ou sistema de informação são classificados, de acordo com sua manifestação e intenções: interceptação, interrupção, modificação e fabricação.
Nesse contexto, um ataque DDoS ameaça a disponibilidade das informações, afetando a localização dos ativos das informações; ou seja, os elementos onde as informações são armazenadas, processadas ou transportadas, na tentativa de inutilizar algum ativo.
Além disso, um ataque DDoS está incluído na categoria de interrupção, de modo que o cibercriminosos buscará afetar o contêiner do ativo de informações, que geralmente pode estar direcionado a um hardware, software, aplicativos, servidores ou redes, por meio de estouro de buffer (consumo do espaço de um disco rígido, memória ou capacidade de processamento), ou através de inundações (saturação de um serviço com um excesso de pacotes).
Imagine, por exemplo, uma loja on-line cujo negócio é baseado na venda de produtos que são ofertados por meio de uma plataforma ou site. Caso a loja seja vítima de um ataque de negação de serviço, a empresa será financeiramente afetada pela impossibilidade de compra por parte dos clientes devido à interrupção do serviço.
Motivações por trás de ataques DDoS
Existem vários motivos pelos quais ataques distribuídos de negação de serviço são executados. “Tradicionalmente” esse tipo de tentativa de afetar os ativos de informações estava relacionado a ações hacktivistas, ou seja, como uma medida de pressão exercida por grupos que buscavam afetar os serviços ou a imagem de organizações, causada principalmente por diferenças ideológicas ou políticas.
No entanto, nos últimos anos, os ataques DDoS começaram a ser usados por grupos cibercriminosos para extorquir organizações por meio de notas de resgate, ameaçando realizar esse tipo de ataque contra elas, a menos que grandes valores em dinheiro fossem pagas, geralmente em criptomoedas. Este modo de ataque foi denominado Ransom DDOS (RDDoS).
As notas de resgate incluíam ativos específicos na empresa da vítima como parte de um "ataque de teste" para demonstrar a gravidade da ameaça e gerar medo. Os cibercriminosos começaram a visar organizações de vários setores ao redor do mundo, embora em alguns casos essas fossem apenas ameaças, sem incluir a execução do ataque DDoS.
Recentemente, essa mesma técnica foi usada como uma medida para pressionar as vítimas de ataques de ransomware direcionados, que se recusaram a pagar resgates relacionados ao sequestro de suas informações.
Dentro do conjunto de práticas coercitivas, como doxing, print bombing ou cold calls, os criadores de ransomware começaram a adicionar ataques DDoS aos sites das organizações afetadas, com o objetivo de forçá-los a estabelecer ou retomar negociações de extorsão e, finalmente, monetizar os ataques de ransomware.
Ataques de negação de serviço afetando organizações
Os ataques de negação de serviço continuam sendo usados atualmente como uma forma de afetar recursos e colocar pressão sobre as organizações, não apenas por motivações ideológicas, mas até mesmo para monetizar vários ataques. Em outras palavras, esses tipos de ataques se tornaram mais uma ferramenta no arsenal de medidas empregadas por grupos cibercriminosos que estão se tornando cada vez mais agressivos e lucrativos.
Nesse contexto, as organizações precisam contar com estratégias de proteção abrangentes que, embora devam considerar ferramentas e serviços de segurança, também requerem práticas de gestão, educação e conscientização, bem como novas abordagens que ganharam relevância nos últimos anos, como inteligência de ameaças ou a emulação de adversários.
Veja mais:Saiba o que é um ataque de força bruta e como funciona