Um ataque distribuído de negação de serviço ou DDoS (Distributed Denial of Service) é uma extensão de um ataque de negação de serviço (DoS) que é realizado a partir da geração de um grande tráfego de informações ou solicitações de várias fontes para um alvo em específico.
A diferença entre um e outro está no facto de que um ataque DoS (Denial of Service) se caracterizar por ter uma única origem. Já um ataque distribuído provém de várias origens. Este último dificulta as tentativas de bloqueio e aumenta a sua eficácia.
Ambos os ataques consistem no envio em massa e simultâneo de certos pacotes de dados para um determinado alvo. Geralmente um servidor web e afeta a sua capacidade de processamento ao ser excedida, colapsando. Como resultado, os serviços interrompem as suas operações normais e os utilizadores legítimos não podem aceder aos sites.
Existem várias ferramentas ou serviços para a execução de um ataque DDoS. Embora, sejam geralmente realizados por meio de botnets. Ou seja, um programa malicioso que pode ser controlado remotamente por um cibercriminoso. Este tipo de programa malicioso é composto por um painel de controlo a partir do qual são executadas as ações que serão realizadas e uma aplicação servidor que estabelece a comunicação com a central de controlo do cibercriminoso. A particularidade dos botnets é permitir que um atacante execute instruções em muitos computadores infectados com o malware simultaneamente. No caso de um ataque DDoS, os programas maliciosos são remotamente instruídos a fazer ligações ou solicitações ao alvo do ataque de forma sincronizada.
DDoS: ataques contra a disponibilidade das informações
A definição tradicional de segurança da informação é baseada na preservação da confidencialidade, integridade e disponibilidade das informações. A confidencialidade é a propriedade que permite que as informações estejam acessíveis apenas para entidades que possuem os privilégios e autorização; a integridade é a propriedade de manter a precisão e integridade das informações; enquanto a disponibilidade é a propriedade que permite que as informações estejam disponíveis e possam ser usadas sempre que necessário.
Nesse conjunto de ideias e definições, é necessário identificar a forma como os ataques que procuram comprometer um ativo ou sistema de informação são classificados, de acordo com sua manifestação e intenções: interceção, interrupção, modificação e fabricação.
Neste contexto, um ataque DDoS ameaça a disponibilidade das informações. Afetando a localização dos ativos das informações, ou seja, os elementos onde as informações são armazenadas, processadas ou transportadas. Tudo na tentativa de inutilizar algum ativo.
Além disso, um ataque DDoS está incluído na categoria de interrupção, no sentido em que os cibercriminosos procuram afetar o container do ativo de informações, que geralmente pode estar direcionado a um hardware, software, aplicações, servidores ou redes, através de estouro de buffer (consumo do espaço de um disco rígido, memória ou capacidade de processamento), ou através de inundações (saturação de um serviço com um excesso de pacotes).
Imagine, por exemplo, uma loja online cujo negócio é baseado na venda de produtos que são oferecidos através de uma plataforma ou site. Caso a loja seja vítima de um ataque de negação de serviço, a empresa será financeiramente afetada pela impossibilidade de compra por parte dos clientes devido à interrupção do serviço.
Motivações por trás de ataques DDoS
Existem vários motivos pelos quais ataques distribuídos de negação de serviço são executados. Tradicionalmente, este tipo de tentativa de afetar os ativos de informações estava relacionado a ações hacktivistas, ou seja, como uma medida de pressão exercida por grupos que procuravam afetar os serviços ou a imagem de organizações, causada principalmente por diferenças ideológicas ou políticas.
No entanto, nos últimos anos, os ataques DDoS começaram a ser usados por grupos cibercriminosos para extorquir organizações através de notas de resgate, ameaçando realizar esse tipo de ataque contra elas, a menos que grandes valores em dinheiro fossem pagas, geralmente em criptomoedas. Este modo de ataque foi denominado Ransom DDOS (RDDoS).
As notas de resgate incluíam ativos específicos na empresa da vítima como parte de um “ataque de teste” para demonstrar a gravidade da ameaça e gerar medo. Os cibercriminosos começaram a visar organizações de vários setores por todo o mundo, embora em alguns casos essas fossem apenas ameaças, sem incluir a execução do ataque DDoS.
Recentemente, essa mesma técnica foi usada como uma medida para pressionar as vítimas de ataques de ransomware direcionados. Isto quando se recusaram a pagar resgates relacionados com o resgate das suas informações.
Dentro do conjunto de práticas coercivas, como doxing, print bombing ou cold calls, os criadores de ransomware começaram a adicionar ataques DDoS aos sites das organizações afetadas. Tendo como objetivo forçá-las a estabelecer ou retomar negociações de extorsão. Mas também monetizar os ataques de ransomware.
Ataques de negação de serviço afetando organizações
Os ataques de negação de serviço continuam a ser usados atualmente como uma forma de afetar recursos e colocar pressão sobre as organizações. Por motivações ideológicas e até mesmo para monetizar vários ataques. Por outras palavras, estes tipos de ataques tornaram-se mais uma ferramenta no arsenal de medidas usadas por grupos cibercriminosos. Agentes que se tornam cada vez mais agressivos e lucrativos.
Neste contexto, as organizações precisam de contar com estratégias de proteção abrangentes. Devem considerar ferramentas e serviços de segurança. Além disso, práticas de gestão, educação e consciencialização. Assim como, novas abordagens que ganharam relevância nos últimos anos. Tais como inteligência de ameaças ou a emulação de adversários.
