Durante o final de semana, atendemos um volume acima do normal de chamados de provedores de internet, todos com o mesmo sintoma:

– Picos anormais de upload
– Caixas de CGNAT no limite da CPU
– Reclamações crescentes de perda de pacotes

A causa? Uma vulnerabilidade conhecida desde 2022 em ONUs e roteadores residenciais, que passou a ser explorada em escala.

Cibercriminosos estão assumindo o controle desses equipamentos para formar botnets dentro da rede dos provedores brasileiros. Ou seja: os provedores estão se tornando origem, e não apenas destino, de ataques DDoS.

Isso é contraintuitivo. Afinal, a maioria das soluções de mitigação foi desenhada para proteger contra ataques entrantes. Mas, quando o tráfego é originado dentro da sua rede, nem nuvens de mitigação nem trânsitos protegidos são suficientes.

Deixo abaixo um gráfico mostrando um caso que tratei pessoalmente neste fim de semana. Antes de implementarmos a mitigação local, os picos no upload eram constantes.

O impacto nesse ISP era a saturação de CPU e da tabela de conexões no CGNAT, além do gargalo no upload dos upstreams, causando reclamações, cancelamentos e desgaste da imagem do provedor junto aos clientes. E o pior: os padrões de ataque mudam em questão de horas. Por isso, a solução, nesse caso, foi automatizada e não apenas manual.

Se hoje sua regra estática funciona, amanhã já não fará mais sentido. É preciso detecção e reação automáticas.

Aqui na Sage, temos visto de perto essa evolução das ameaças. E, se existe uma lição clara, é a de que a segurança de rede não pode ser estática. Ela precisa acompanhar o ritmo da criatividade dos atacantes.

Leia a análise completa no nosso blog e saiba como a Sage pode ajudar seu provedor a superar esse novo desafio:  https://sagenetworks.com.br/ont-malware/

Portal DoCloud