A empresa relata que viu uma tendência geral de aumento dos tamanhos de ataque a partir de 2023, com aqueles que excedem 1 Tbps se tornando mais frequentes e aumentando para ocorrências semanais e quase diárias em 2024.
Vários ataques sustentaram altas taxas de bits e taxas de pacotes durante longos períodos nos últimos 18 meses, com a maior taxa de bits registrada pela OVHcloud durante esse período sendo 2,5 Tbps em 25 de maio, 2024.
A análise de alguns desses ataques revelou o uso extensivo de dispositivos de rede principais, particularmente modelos Mikrotik, tornando os ataques mais impactantes e desafiadores de detectar e parar.
No início deste ano, a OVHcloud teve que mitigar um ataque maciço de taxa de pacotes que atingiu 840 Mpps, superando o recordista anterior, um Ataque DDoS de 809 Mpps contra um banco europeu, que a Akamai mitigou em junho de 2020.
“Nossa infraestrutura teve que mitigar vários ataques de 500+ Mpps no início de 2024, incluindo um pico de 620 Mpps,” explica OVHcloud.
“Em abril de 2024, até mitigamos um ataque DDoS recorde atingindo ~840 Mpps, logo acima do recorde anterior relatado pela Akamai.”
O provedor de serviços em nuvem observou que o ataque TCP ACK originou-se de 5.000 IPs de origem. Dois terços dos pacotes foram encaminhados através de apenas quatro Pontos de Presença (PoPs), todos nos Estados Unidos e três na Costa Oeste.
A capacidade do invasor de concentrar esse tráfego maciço através de um espectro relativamente estreito de infraestrutura de internet torna essas tentativas de DDoS mais formidáveis e mais desafiadoras de mitigar.
A OVHcloud diz que muitos dos ataques de alta taxa de pacotes que registrou, incluindo o ataque recorde de abril, se originam de dispositivos comprometidos MirkoTik Cloud Core Router (CCR) projetados para redes de alto desempenho.
A empresa identificou, especificamente, os modelos comprometidos CCR1036-8G-2S+ e CCR1072-1G-8S+, que são utilizados como pequenos—para núcleos de rede de médio porte.
Muitos desses dispositivos expuseram sua interface on-line, executando firmware desatualizado e tornando-os suscetíveis a ataques, aproveitando explorações para vulnerabilidades conhecidas.
A empresa de nuvem supõe que os invasores podem usar o recurso “Bandwidth Test” do RouterOS da MikroTik, projetado para testes de estresse de taxa de transferência de rede, para gerar altas taxas de pacotes.
A OVHcloud encontrou cerca de 100.000 dispositivos Mikrotik que podem ser alcançados/explorados através da Internet, constituindo muitos alvos potenciais para intervenientes DDoS.
Devido ao alto poder de processamento dos dispositivos MikroTik, que possuem CPUs de 36 núcleos, mesmo que uma pequena porcentagem desses 100k fosse comprometida, isso poderia resultar em uma botnet capaz de gerar bilhões de pacotes por segundo.
A OVHcloud calculou que o sequestro de 1% dos modelos expostos para uma botnet poderia dar aos atacantes poder de fogo suficiente para lançar ataques, atingindo 2,28 mil milhões de pacotes por segundo (Gpps).
Os dispositivos MikroTik foram aproveitados novamente para construir botnets poderosos no passado, com um caso notável sendo o botnet Mēris.
Apesar dos vários avisos do fornecedor aos usuários para atualizarem o RouterOS para uma versão segura, muitos dispositivos permaneceram vulneráveis a ataques durante meses, correndo o risco de serem alistados em enxames DDoS.
A OVHcloud afirma que informou a MikroTik sobre suas últimas descobertas, mas não recebeu resposta.
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…