No final de janeiro, o Health Sector Cybersecurity Coordination Center alertou que o grupo KillNet está visando ativamente o setor de saúde com ataques distribuídos de negação de serviço (DDoS).
Já a Cybersecurity and Infrastructure Security Agency (CISA) diz que ajudou dezenas de hospitais a responder a esses incidentes de DDoS.
DDoS
Um ataque distribuído de negação de serviço usa vários sistemas para enviar solicitações de comunicação de rede para um alvo específico. Frequentemente os hackers usam computadores infectados, "bots", para enviar as requisições. O resultado é que o servidor receptor é sobrecarregado por solicitações absurdas que travam o servidor ou o mantêm tão ocupado que os usuários normais não conseguem se conectar.
Esse tipo de ataque foi popularizado por vários grupos de hackers e também é usado em ataques conduzidos por governos.
KillNet
KillNet é um grupo pró-Rússia que tem estado notavelmente ativo desde janeiro de 2022. Até a invasão russa da Ucrânia, o KillNet era conhecido como um grupo DDoS de aluguel. Agora eles são mais conhecidos pelas campanhas DDoS lançadas contra países que apoiam a Ucrânia. Em campanhas anteriores, a quadrilha tinha como alvo sites pertencentes a companhias aéreas dos Estados Unidos, família real britânica, sites do governo lituano e muitos outros, mas agora seu foco principal mudou para o setor de saúde.
Esses ataques não se limitam aos EUA. Recentemente, o University Medical Center Groningen (UMCG) na Holanda teve seu site inundado de tráfego. Esse ataque foi atribuído ao KillNet pela equipe de resposta a emergências de computadores de saúde do país, Z-CERT.
O grupo KillNet administra um canal no Telegram que permite que simpatizantes pró-Rússia participem voluntariamente de ataques cibernéticos contra interesses ocidentais.
Os ataques
Os ataques DDoS do KillNet geralmente não causam grandes danos, mas podem causar interrupções de serviço que duram várias horas ou até dias. Para os profissionais de saúde, as longas interrupções podem resultar em atrasos nas consultas, registros eletrônicos indisponíveis e desvios de ambulâncias.
Como se prevenir contra ataques DDoS?
Para se defender contra ataques DDoS, as empresas precisam de uma abordagem de defesa multidimensional ou em camadas para proteger sua rede e seus aplicativos. Os invasores que passarem pela primeira linha de defesa serão impactados na próxima linha de defesa. Desta forma, a ameaça é minimizada.
Os balanceadores de carga, como o Kemp LoadMaster, são ideais para inclusão em um modelo de segurança em camadas. Os balanceadores de carga distribuem workloads em vários servidores para evitar sobrecarga.
Como o LoadMaster pode ajudá-lo?
Os balanceadores de carga LoadMaster podem exigir que todas as solicitações de conexão a um servidor, incluindo as não autenticadas, passem um prompt CAPTCHA. Seu uso evita que um invasor sobrecarregue diretamente os aplicativos ou servidores Web com solicitações diretas. O LoadMaster interceptará solicitações e descartará as solicitações quando o CAPTCHA falhar.
As informações de reputação de IP podem ser usadas pelo LoadMaster ao avaliar solicitações de conexão. Muitas fontes de dados de reputação de endereços IP estão disponíveis em provedores de segurança respeitáveis. O LoadMaster utiliza esses dados e rejeita qualquer solicitação de conexão de sites conhecidos por serem usados por cibercriminosos e de endereços IP usados em ataques DDoS.
Restringir o número de conexões permitidas e o que elas podem fazer também é um método que você pode implementar usando o LoadMaster. Isso é conhecido como limitação de taxa ou qualidade de serviço (QoS). A limitação de taxa funciona na atividade de entrada e pode proteger contra ataques DDoS e outros tipos de ataques volumétricos, como ataques de força bruta. Usando a limitação de taxa, você pode configurar restrições por meio das seguintes configurações de QoS:
Máx. de conexões
Taxa de conexões por segundo (CPS)
Taxa de solicitações por segundo (RPS)
Limites de largura de banda
Global: Em todos os clientes que acessam um serviço virtual
Cliente: Um único endereço IP ou sub-rede acessando um serviço virtual
Serviço Virtual: Qualquer cliente acessando um Serviço Virtual específico ou SubVS
Como o LoadMaster responde a um ataque DDoS?
Quando o LoadMaster detecta um alto volume de conexões de entrada, ele utiliza um mecanismo que protege a rede contra conexões de endereço IP falsas. Impede que as filas de entrada sejam preenchidas com solicitações de tráfego ilegítimas. O Kemp 360 Vision, não apenas identificará, mas também notificará o administrador sobre o ataque suspeito.
O LoadMaster oferece as soluções de balanceamento de carga para garantir que os aplicativos permaneçam seguros, altamente disponíveis e executados com desempenho máximo. Preencha o formulário abaixo para falar com um especialista da International It e descubra como proteger sua organização contra um ataque DDoS.
Fontes: Kemp Technologies e Malwarebites
Entre em contato com a International IT para saber mais detalhes sobre o Kemp LoadMaster ou realizar um teste gratuito em seu ambiente.
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
