Como o grupo Anonymous Sudan é notório por seus ataques de DDoS

Os pesquisadores da Check Point Software orientam às organizações para uma estratégia de prevenção para mitigar e até mesmo parar um ataque DDoS em plena execução

Imagem ilustrativa - Divulgação Check Point Software

Os pesquisadores da Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, analisaram e comentaram sobre o Anonymous Sudan, grupo que atacou recentemente a Microsoft, entre outros alvos.

O Anonymous Sudan apareceu por volta do início de 2023 e eles são muito “barulhentos” atacando alvos anti-russos em todo o mundo e também objetivos que são relevantes para suas agendas pró-islâmicas. É possível nos referirmos a eles como um conglomerado de hackers de diferentes origens e ideologias que colaboram para derrubar sites. Seus ataques estão acontecendo todas as semanas em algum lugar do mundo e eles provam que miram alto, podendo derrubar sites de governos, bancos, grandes empresas, aeroportos, empresas de telecomunicações e muito mais. Portanto, é de se esperar que isso prossiga.

Desde o início e nos últimos meses, esse grupo foi muito ativo no Telegram e alertou sobre seus possíveis ataques antes que eles acontecessem, atualizando (quase ao vivo) sobre os ataques à medida que eram realizados. Eles atualizaram seus seguidores sobre esses ataques e cada plataforma é direcionada em suas datas específicas.

A Microsoft, em seu blog recente, afirmou que seu ataque foi realizado pelo Storm-1359, que na verdade é o Anonymous Sudan.

“É importante enfatizar que isso não é um hack, no sentido de que não há uma violação. Um ataque de negação de serviço distribuído ou DDoS é um método em que os hackers inundam um site com solicitações de comunicação que, na quantidade certa, colapsam o site”, explica Sergey Shykevich, gerente de grupo de pesquisas da Check Point Research (CPR). “Portanto, todos os ataques envolvidos aqui estão nos sites dessas plataformas, que ficaram simplesmente inacessíveis por um determinado período de tempo (de minutos a cerca de 20 a 30 minutos ou mais, e às vezes e de alguns aviões no mundo, era menos de um hora).”

Os ataques DDoS são significativos em termos de uso dos consumidores (o usuário não pode entrar em um site), mas não é um ataque sofisticado. Assim, pode ser realizada por qualquer pessoa que tenha acesso às ferramentas que permitem inúmeras solicitações a um único site (como bots farms ou “fazendas de robôs”). Embora de fácil execução, o DDoS é de difícil rastreamento porque, como o nome diz, é distribuído. São botnets que infectam de milhares a milhões de máquinas pelo mundo e, então, normalmente o que o cibercriminoso faz é alugar uma botnet para fazer um ataque direcionado a alguma instituição ou empresa, a fim de o atacante tirar proveito de algo.

O grupo Anonymous Sudan, em especial, é notório por usar ferramentas DDoS muito fortes, pois estão altamente conectados a grupos de hackers russos que atualmente utilizam essas ferramentas em seus próprios ataques. Os ataques DDoS podem ser evitados. É uma questão de recursos e gestão de riscos. Quanto mais o usuário investir na capacidade de monitorar as solicitações que chegam ao site e se tiver a capacidade de obter mais solicitações de uma só vez, o envio de uma grande quantidade de solicitações não travará o site.

O que esses hackers fazem é analisar a largura de banda e a capacidade dos sites que visam, enviando uma certa quantidade de solicitações ao mesmo tempo, e aumentam até o ponto em que veem o colapso. “Dito isto, como a maioria das empresas pode se recuperar dessa queda, muitas preferem investir em outro lugar e sofrer por um certo período de tempo quando o site está fora do ar. O site retornará quando o tráfego para o site for mais moderado”, finaliza Shykevich.