Uma nova rede de botnets recém-descoberta, composta por cerca de 30.000 webcams e gravadores de vídeo – com a maior concentração nos Estados Unidos – está realizando o que provavelmente é o maior ataque de negação de serviço já visto, disse um pesquisador de segurança da Nokia.
A botnet, rastreada sob o nome Eleven11bot, veio à tona no final de fevereiro, quando pesquisadores dentro da Equipe de Resposta de Emergência da Nokia Deepfield observaram um grande número de endereços IP geograficamente dispersos realizando “ataques hiper-volumétricos”. Desde então, o Eleven11bot tem realizado ataques em grande escala continuamente.
Os DDoS volumétricos interrompem os serviços consumindo toda a largura de banda disponível, seja dentro da rede-alvo ou em sua conexão com a Internet. Esse tipo de ataque funciona de forma diferente dos DDoS por exaustão, que sobrecarregam os recursos de computação de um servidor. Os ataques hiper-volumétricos são DDoS volumétricos que enviam quantidades impressionantes de dados, geralmente medidos em terabits por segundo.
Com 30.000 dispositivos, o Eleven11bot já era excepcionalmente grande (embora algumas botnets tenham mais de 100.000 dispositivos). A maioria dos endereços IP que participam, segundo o pesquisador da Nokia Jérôme Meyer, nunca tinha sido vista participando de ataques DDoS.
Além de um botnet com 30.000 nós que parece ter surgido da noite para o dia, outra característica marcante do Eleven11bot é o volume recorde de dados que envia para seus alvos. O maior ataque que a Nokia viu do Eleven11bot até agora ocorreu em 27 de fevereiro e atingiu cerca de 6,5 terabits por segundo. O recorde anterior para um ataque volumétrico foi relatado em janeiro em 5,6 Tbps.
“O Eleven11bot tem como alvo setores diversos, incluindo provedores de serviços de comunicação e infraestrutura de hospedagem de jogos, aproveitando uma variedade de vetores de ataque”, escreveu Meyer. Alguns ataques são baseados no volume de dados, enquanto outros se concentram em inundar uma conexão com mais pacotes de dados do que ela pode lidar, com números variando de “algumas centenas de milhares a vários cem milhões de pacotes por segundo”. A degradação do serviço causada em alguns ataques durou vários dias, com alguns ainda em andamento no momento em que este post foi ao ar.
Uma análise mostrou que a maior concentração de endereços IP, com 24,4%, estava localizada nos EUA. Taiwan estava em seguida com 17,7% e o Reino Unido com 6,5%.
Em uma entrevista online, Meyer destacou os seguintes pontos:
– Esta botnet é muito maior do que estamos acostumados a ver em ataques DDoS (o único precedente que tenho em mente é um ataque de 2022 logo após a invasão da Ucrânia, com ~60k bots, mas não público).
– A grande maioria de seus IPs não estava envolvida em ataques DDoS antes da semana passada.
– A maioria dos IPs são câmeras de segurança (a Censys considera Hisilicon, vi várias fontes mencionando um NVR Hikvision também, então essa é uma possibilidade, mas não é minha área de especialização).
– Em parte, porque a botnet é maior que a média, o tamanho do ataque também é maior que a média.
