Cyber ataques programados têm pequenos provedores como alvo no Brasil

Ataques por DDoS estão por trás da instabilidade de vários pequenos e médios provedores de internet pelo Brasil. Segundo a Abrint (Associação Brasileira de Provedores de Internet e Telecomunicações), quase 300 empresas reportaram esses ataques nas últimas semanas – mas há indícios de que o número seja muito maior. 

As ofensivas começaram em junho contra diferentes provedores do Rio de Janeiro, Paraná e Espírito Santo. Agora, além desses estados, os ataques se expandiram para o Rio Grande do Sul, Santa Catarina, Paraná, Mato Grosso, Minas Gerais e Bahia. 

• O maior ataque DDoS da história foi contra o GitHub, mas o serviço saiu numa boa
• 81% da população brasileira acessou a internet em 2021, revela pesquisa
• Como resolver problemas com a internet da sua casa

O que são ataques por DDoS

Os ataques por DDoS derrubam o sinal desses provedores porque sobrecarregam os equipamentos que permitem a conexão à rede. Em horários alternados do dia, essas empresas começam a receber milhões de requisições para um determinado IP ou conjunto de IPs, o que faz com que o servidor não consiga processar novas entradas. 

Na prática, os usuários desses provedores não conseguem acessar à internet ou acessam com dificuldade porque a rede está superlotada. A Abrint não soube precisar o prejuízo para as empresas – muitas começaram a perder clientes por causa dos ataques. 

“Isso é preocupante porque não atinge só o provedor, mas também os usuários”, disse o presidente da Abrint, Mauricelio de Oliveira Jr. ao Giz Brasil. “O serviço fica degradado, ninguém consegue mais assistir a uma aula, trabalhar, nada. Mesmo com a mitigação, quando o ataque acontece a qualidade da internet cai”. 

Ajuda de autoridades

A associação recorreu ao Ministério da Justiça, que criou um grupo de trabalho para investigação. Além da Abrint, integram a comissão delegacias de crimes virtuais, Polícia Civil e Ministério Público. 

O grupo espera, com a polícia, identificar um possível padrão para chegar até os responsáveis. “Mas sabemos que não é um trabalho rápido”, afirmou Oliveira Jr.. De forma técnica, é quase impossível rastrear o caminho de volta dos ataques uma vez que muitos hackers conseguem mudar seus IPs para que não sejam encontrados. 

“O que pode acontecer é a polícia encontrar essas pessoas através de investigação, mirar em um suspeito e abrir o sigilo bancário, telefônico, por exemplo”, explicou Daniel Damito, fundador da empresa de mitigação Sage Networks ao Giz Brasil. “Mas aí seria uma investigação criminal, bem diferente de alguém mapear esses ataques enquanto eles acontecem”. 

Só a empresa de Damito atende 300 empresas em mitigação por causa dos ataques no momento. Segundo ele, desde junho foram cerca de 500 companhias prejudicadas. “Tem muita subnotificação. Se formos pensar em um número real, eu diria que existem hoje pelo menos dois mil provedores sofrendo ataques que não relataram aos órgãos competentes”, afirmou. 

O empresário, que trabalha na área há dez anos, diz nunca ter visto algo parecido. “Já vimos ataques com picos em algumas regiões, mas não nessa proporção. Está acontecendo no Brasil todo. É inédito para mim”. 

Uma pesquisa do CGI.br (Comitê Gestor de Internet no Brasil) mostrou que, em 2020, existiam 12.826 provedores de internet no Brasil. A maior fatia é de micro e pequenas empresas.

O que pode estar por trás 

É difícil precisar uma causa única para os ataques. Nem todos os casos têm extorsão, apesar de existirem casos assim. Um exemplo é o suspeito preso preventivamente na cidade gaúcha de Rio Grande, no dia 6. Ele é investigado por atacar os provedores e, em seguida, exigir valores para parar as ofensivas. As empresas relataram prejuízo de mais de R$ 1 milhão, noticiou a GaúchaZH.

Apesar da prisão, os ataques continuaram não só no RS, como também em outros estados brasileiros – o que dificulta a investigação. Outra hipótese é que sejam empresas concorrentes ou grupos econômicos que querem forçar a saída das pequenas no setor. 

“Mas não acredito que seja isso pelo volume do ataque”, afirmou Oliveira Jr.. Segundo ele, os ataques são simultâneos em vários estados, o que desmontaria a tese de que uma única companhia tem interesse em prejudicar a rede de tantas empresas tão distantes umas das outras. 

“Também é provável é que sejam vários grupos de ataques operando juntos”, pontuou o presidente da Abrint. Esse é um ponto de acordo com Damito. Segundo ele, é muito difícil dizer que existe uma única pessoa por trás dos ataques. “Acredito que uma pessoa fez e outras viram que deu certo e decidiram fazer o mesmo, se sentiram encorajadas”, opinou. 

Também não se pode dizer que são pessoas altamente especializadas: é relativamente fácil “encomendar” esses ataques na web. Existem os chamados “stress tester”, sites que oferecem a venda de ofensivas para “testar” servidores. Ali, um “pacote” simples de ataques DDoS custa US$ 7 – pouco mais de R$ 36. 

Não há vazamento de dados 

A Abrint garante que ataques DDoS não causam vazamento de dados ou informações dos clientes. Essa ofensiva, diferente de malwares ou ransomwares, tem um único objetivo: deixar a empresa fora do ar. 

“Com DDoS não tem o que fazer, só se proteger. Não é um ataque que conseguimos evitar”, explicou Damito. Segundo ele, os provedores brasileiros estão atrasados no combate a esses ataques, a maioria por desconhecerem sobre o assunto. “Independente do tamanho da empresa, ataques por DDoS vão acontecer. Não é como, mas quando”.

A Abrint orienta que os servidores que sofrerem ataques não deixem de reportar à organização e autoridades competentes. 

O primeiro passo é registrar um boletim de ocorrência. E jamais pagar em caso de extorsão. “Começa com R$ 1,5 mil, sobe para R$ 10 mil, R$ 30 mil e o empresário paga porque o valor cobrado geralmente é muito inferior ao transtorno. Mas, se pagar, as ameaças não acabarão nunca”, orientou Oliveira Jr.