O maior ataque de negação de serviço até hoje registrado, de 1,35 Terabit por segundo, foi lançado com a utilização de servidores memcached contra a infraestrutura da plataforma de desenvolvimento de software GitHub no dia 28 de fevereiro. No dia anterior, a NETSCOUT Arbor alertava para o perigo desse tipo de ataque, inclusive no Brasil.
De acordo com estudo, a equipe técnica da companhia vinha observando um aumento significativo na utilização, para ataques DDoS (Distributed Denial of Service), de servidores memcached – que são empregados em data centers, hospedando banco de dados na memória, e não em disco, para maior rapidez de acesso a informações.
Como os servidores memcached normalmente contam com links de acesso de grande largura de banda e residem em redes de data centers com alta velocidade de tráfego, eles se prestam, por sua natureza, à utilização para reflexão/amplificação de ataques DDoS – uma técnica que permite multiplicar o tráfego malicioso sem que se possa identificar sua fonte.
O crescimento da utilização desses servidores como armas de ataque levou a equipe ASERT (Arbor Security Engineering & Response Team) da NETSCOUT Arbor a classificar como “crítica” sua gravidade.
No Brasil, a NETSCOUT Arbor vem observando, desde o dia 16 de fevereiro, um aumento do tráfego memcached, com crescimento súbito no dia 25 de fevereiro e com tendência de alta para março. Esse comportamento indica a criação e crescimento de botnets que usam memcached para amplificação. E se parece com o detectado meses antes de um grande evento esportivo no Rio de Janeiro, em 2016, que culminou em ataques potentes durante o evento.
“Tudo indica que uma botnet está sendo construída com servidores memcached no Brasil, o que levanta a hipótese de uma onda de ataques de alta volumetria para os próximos meses, com a realização em julho de um outro evento esportivo global, também expressivo, e com forte significado para empresas brasileiras”, comenta Kleber Carrielo, senior consulting engineer da NETSCOUT Arbor.
Na avaliação da companhia, os ataques DDoS de memcached, como acontece com a maioria das metodologias de ataque, foram inicialmente – e por um curto período – operados manualmente; tornaram-se, em seguida, amplamente disponíveis por meio de botnets de aluguel. As recomendações de defesa passam pela adoção das práticas consagradas no mercado para proteger os servidores memcached e para garantir medidas rápidas de mitigação.
