Na tarde desta segunda-feira (17), a Microsoft confirmou uma nova tentativa de ataque em larga escala à sua rede Azure. Classificado como um ataque distribuído de negação de serviço (DDoS), o evento registrou um fluxo impressionante de dados, alcançando 15,72 terabits por segundo (Tbps), originados de aproximadamente 500 mil endereços IP distintos.
Os endereços IP envolvidos no ataque são parte de uma botnet chamada Aisuru, que compreende principalmente dispositivos habilitados para Internet das Coisas, como câmeras e babás eletrônicas, comprometidos por meio de vulnerabilidades internas. Segundo Sean Whalen, gerente de marketing de produtos do Azure Security, a maioria dos registros ocorreu nos Estados Unidos.
Whalen explicou que o alvo do ataque foi um endereço de IP público localizado na Austrália, que enfrentou cerca de 3,64 bilhões de pacotes por segundo (bpps) utilizando o protocolo UDP. Ele ainda observou que os atacantes não se preocuparam em esconder seus rastros, o que facilitou o processo de rastreamento e defesa contra o ataque.
Botnet Aisuru já estabeleceu recordes de DDoS
Apesar de seu nome não ser muito conhecido, a Botnet Aisuru já ganhou notoriedade em outras ocasiões, estabelecendo recordes impressionantes. Um dos mais notáveis ocorreu em setembro, quando a Cloudflare conseguiu impedir um ataque DDoS que atingiu um pico de 22,2 terabits por segundo (Tbps) e 10,6 bilhões de pacotes por segundo (Bpps). De acordo com a empresa, esse ataque durou apenas 40 segundos, mas equivalia ao volume de dados da transmissão simultânea de um milhão de vídeos em 4K.
Nesse mesmo mês, um determinado laboratório de cibersegurança, a XLab da renomada empresa chinesa Qi’anxin, também relatou ataques em massa oriundos da Botnet Aisuru. Esse incidente envolveu mais de 300 mil dispositivos infectados, incluindo câmeras IP e roteadores, movimentando 11,5 terabits por segundo de dados.
Impacto da Aisuru no ranking de sites da Cloudflare
Embora os ataques DDoS não requeiram um objetivo específico, os operadores da Botnet Aisuru parecem ter intenções mais amplas. Segundo a Krebson Security, a Cloudflare bloqueou domínios associados à botnet em sua lista pública dos sites mais acessados, que é organizada com base nas solicitações DNS – simplificando, é o processo de transformar um endereço IP em um nome de site comum.
Conforme explicou a Cloudflare, os operadores estavam atacando seu popular serviço de DNS (1.1.1.1) com o objetivo de melhorar o ranqueamento e a “confiabilidade” de domínios maliciosos, enquanto diminuíam a visibilidade de sites de grandes empresas, como Amazon ou Google. O alto volume de incidentes levou a empresa a revisar e até a vetar entradas suspeitas de sua lista de “sites mais solicitados”.
Para mais informações sobre segurança digital, fique de olho no TecMundo Security!
