Maior ataque de negação de serviço da história usou técnica identificada um dia antes pela Netscout Arbor

O maior ataque de negação de serviço até hoje registrado, de 1,35 Terabit por segundo, foi lançado com a utilização de servidores memcached contra a infraestrutura da plataforma de desenvolvimento de software GitHub no dia 28 de fevereiro. No dia anterior, 27, texto publicado no blog da Netscout Arbor, que traduzimos para o site em português, alertava para o perigo desse tipo de ataque, inclusive no Brasil.

De acordo com o texto, a equipe técnica da Netscout Arbor vinha observando um aumento significativo na utilização, para ataques DDoS (Distributed Denial of Service), de servidores memcached – que são empregados em data centers, hospedando banco de dados na memória, e não em disco, para maior rapidez de acesso a informações.

Como os servidores memcached normalmente contam com links de acesso de grande largura de banda e residem em redes de data centers com alta velocidade de tráfego, eles se prestam, por sua natureza, à utilização para reflexão/amplificação de ataques DDoS – uma técnica que permite multiplicar o tráfego malicioso sem que se possa identificar sua fonte.

O crescimento da utilização desses servidores como armas de ataque levou a equipe ASERT (Arbor Security Engineering & Response Team) da Netscout Arbor a classificar como “crítica” sua gravidade.

No Brasil, a Netscout Arbor vem observando, desde o dia 16 de fevereiro, um aumento do tráfego memcached, com crescimento súbito no dia 25 de fevereiro e com tendência de alta para março. Esse comportamento indica a criação e crescimento de botnets que usam memcached para amplificação. E se parece com o detectado meses antes de um grande evento esportivo no Rio de Janeiro, em 2016, que culminou em ataques potentes durante o evento.

“Tudo indica que uma botnet está sendo construída com servidores memcached no Brasil, o que levanta a hipótese de uma onda de ataque de alta volumetria para próximos meses, com a realização em julho de um outro evento esportivo global, também expressivo, e com forte significado para empresas brasileiras”, comenta Kleber Carrielo, senior consulting engineer da Netscout Arbor.

Na avaliação da Netscout Arbor, os ataques DDoS de memcached, como acontece com a maioria das metodologias de ataque, foram inicialmente – e por um curto período – operados manualmente; tornaram-se, em seguida, amplamente disponíveis por meio de botnets de aluguel. As recomendações de defesa passam pela adoção das práticas consagradas no mercado para proteger os servidores memcached e para garantir medidas rápidas de mitigação.