2026-04-30 00:00
← VoltarUma empresa de tecnologia brasileira especializada em proteger redes contra ataques distribuídos de negação de serviço (DDoS) tem habilitado uma botnet responsável por uma campanha estendida de ataques DDoS massivos contra outras operadoras de rede no Brasil, descobriu a KrebsOnSecurity. O presidente-executivo da empresa diz que a atividade maliciosa resultou de uma violação de segurança e provavelmente foi obra de um concorrente que tentava manchar a imagem pública de sua empresa. Nos últimos anos, especialistas em segurança rastrearam uma série de ataques DDoS massivos originados no Brasil e direcionados exclusivamente aos ISPs brasileiros. Até recentemente, não estava claro quem ou o que estava por trás desses cercos digitais. Isso mudou no início deste mês, quando uma fonte confiável que pediu para permanecer anônima compartilhou um curioso arquivo que foi exposto em um diretório aberto online. O arquivo exposto continha vários programas maliciosos em língua portuguesa escritos em Python. Também incluiu as chaves privadas de autenticação SSH pertencentes ao CEO da Huge Networks, um ISP brasileiro que oferece principalmente proteção DDoS para outras operadoras de rede brasileiras. Fundada em Miami, Flórida, em 2014, as operações da Huge Networks estão centradas no Brasil.
A empresa surgiu da proteção de servidores de jogos contra ataques DDoS e evoluiu para um provedor de mitigação de DDoS com foco em ISP. Ele não aparece em nenhuma reclamação pública de abuso e não está...
Uma empresa de tecnologia brasileira especializada em proteger redes contra ataques distribuídos de negação de serviço (DDoS) tem habilitado uma botnet responsável por uma campanha estendida de ataques DDoS massivos contra outras operadoras de rede no Brasil, descobriu a KrebsOnSecurity. O presidente-executivo da empresa diz que a atividade maliciosa resultou de uma violação de segurança e provavelmente foi obra de um concorrente que tentava manchar a imagem pública de sua empresa. Nos últimos anos, especialistas em segurança rastrearam uma série de ataques DDoS massivos originados no Brasil e direcionados exclusivamente aos ISPs brasileiros. Até recentemente, não estava claro quem ou o que estava por trás desses cercos digitais. Isso mudou no início deste mês, quando uma fonte confiável que pediu para permanecer anônima compartilhou um curioso arquivo que foi exposto em um diretório aberto online. O arquivo exposto continha vários programas maliciosos em língua portuguesa escritos em Python. Também incluiu as chaves privadas de autenticação SSH pertencentes ao CEO da Huge Networks, um ISP brasileiro que oferece principalmente proteção DDoS para outras operadoras de rede brasileiras. Fundada em Miami, Flórida, em 2014, as operações da Huge Networks estão centradas no Brasil.
A empresa surgiu da proteção de servidores de jogos contra ataques DDoS e evoluiu para um provedor de mitigação de DDoS com foco em ISP. Ele não aparece em nenhuma reclamação pública de abuso e não está associado a nenhum serviço conhecido de DDoS de aluguel. No entanto, o arquivo exposto mostra que um agente de ameaças baseado no Brasil manteve acesso root à infra-estrutura da Huge Networks e construiu uma poderosa botnet DDoS, verificando rotineiramente em massa a Internet em busca de roteadores de Internet inseguros e servidores de sistema de nomes de domínio (DNS) não gerenciados na Web que poderiam ser envolvidos em ataques. DNS é o que permite que os usuários da Internet acessem sites digitando nomes de domínio familiares em vez dos endereços IP associados. Idealmente, os servidores DNS fornecem respostas apenas para máquinas dentro de um domínio confiável. Mas os chamados ataques de “reflexão de DNS” dependem de servidores DNS que estão (mal) configurados para aceitar consultas de qualquer lugar na Web. Os invasores podem enviar consultas DNS falsificadas a esses servidores para que a solicitação pareça vir da rede do alvo. Dessa forma, quando os servidores DNS respondem, eles respondem ao endereço falsificado (direcionado).
Ao aproveitar uma extensão do protocolo DNS que permite grandes mensagens DNS, os botmasters podem aumentar drasticamente o tamanho e o impacto de um ataque de reflexão – elaborando consultas DNS para que as respostas sejam muito maiores que as solicitações. Por exemplo, um invasor pode compor uma solicitação de DNS com menos de 100 bytes, solicitando uma resposta de 60 a 70 vezes maior. Este efeito de amplificação é especialmente pronunciado quando os perpetradores podem consultar muitos servidores DNS com estas solicitações falsificadas de dezenas de milhares de dispositivos comprometidos simultaneamente. O arquivo exposto inclui um histórico de linha de comando mostrando exatamente como esse invasor construiu e manteve uma botnet poderosa, vasculhando a Internet em busca de roteadores TP-Link Archer AX21. Especificamente, o botnet procura dispositivos TP-Link que permanecem vulneráveis ao CVE-2023-1389, uma vulnerabilidade de injeção de comando não autenticada que foi corrigida em abril de 2023. Domínios maliciosos nos scripts de ataque Python expostos incluíam pesquisas de DNS para hikylover[.]st e c.loyaltyservices[.]lol, ambos domínios que foram sinalizados no ano passado como servidores de controle para uma Internet das Coisas (IoT). botnet alimentado por uma variante de malware Mirai. O arquivo vazado mostra que o botmaster coordenou sua varredura a partir de um servidor Digital Ocean que foi sinalizado por atividades abusivas centenas de vezes no ano passado.
Os scripts Python invocam vários endereços de Internet atribuídos a Huge Networks que foram usados para identificar alvos e executar campanhas DDoS. Os ataques foram estritamente limitados aos intervalos de endereços IP brasileiros, e os scripts mostram que cada prefixo de endereço IP selecionado foi atacado por 10 a 60 segundos com quatro ataques paralelos. processos por host antes que o botnet passe para o próximo alvo. O arquivo também mostra que esses scripts Python maliciosos dependiam de chaves SSH privadas pertencentes ao CEO da Huge Networks, Erick Nascimento. Procurado para comentar os arquivos, Nascimento disse que não escreveu os programas de ataque e que não percebeu a extensão das campanhas DDoS até ser contatado pela KrebsOnSecurity. “Recebemos e notificamos muitos upstreams de nível 1 sobre ataques DDoS muito grandes contra pequenos ISPs”, disse Nascimento. “Não cavamos fundo o suficiente na época, e o que você enviou deixa isso claro.” Nascimento disse que a atividade não autorizada provavelmente está relacionada a uma intrusão digital detectada pela primeira vez em janeiro de 2026 que comprometeu dois servidores de desenvolvimento da empresa, bem como suas chaves SSH pessoais. Mas ele disse que não há evidências de que essas chaves tenham sido usadas depois de janeiro.
“Notificamos a equipe por escrito no mesmo dia, limpamos as caixas e giramos as chaves”, disse Nascimento, compartilhando uma captura de tela de uma notificação de 11 de janeiro da Digital Ocean. “Tudo documentado internamente.” Nascimento disse que a Huge Networks contratou uma empresa terceirizada de perícia de rede para investigar mais a fundo. “Nossa avaliação de trabalho até agora é que tudo isso começou com um único compromisso interno – um ponto central que deu ao invasor acesso downstream a alguns recursos, incluindo um legado pessoal meu”, escreveu ele. “O comprometimento aconteceu por meio de um servidor bastion/jump ao qual várias pessoas tiveram acesso”, continuou Nascimento. "A Digital Ocean sinalizou o droplet em 11 de janeiro - comprometido devido a um vazamento de chave SSH, em suas palavras - eu estava viajando na época e resolvi o problema no retorno. Esse droplet foi obsoleto e destruído, e nunca fez parte da infraestrutura da Huge Networks." O software malicioso que alimenta o botnet dos dispositivos TP-Link usados nos ataques DDoS aos ISPs brasileiros é baseado no Mirai, uma variedade de malware que fez sua estreia pública em setembro de 2016, lançando um ataque DDoS que bateu recordes e manteve este site offline por quatro dias. Em janeiro de 2017, a KrebsOnSecurity identificou os autores do Mirai como coproprietários de uma empresa de mitigação de DDoS que usava a botnet para atacar servidores de jogos e atrair novos clientes. Em maio de 2025, o KrebsOnSecurity foi atingido por outro DDoS baseado em Mirai, que o Google chamou de o maior ataque já mitigado.
Esse relatório implicou um brasileiro de 20 e poucos anos que dirigia uma empresa de mitigação de DDoS, bem como vários serviços de aluguel de DDoS que já foram apreendidos pelo FBI. Nascimento negou categoricamente estar envolvido em ataques DDoS contra operadoras brasileiras para gerar negócios para os serviços de sua empresa. “Não realizamos ataques DDoS contra operadoras brasileiras para vender proteção”, escreveu Nascimento em resposta a perguntas. "Nosso modelo de vendas é principalmente inbound e por meio de integradores de canais, distribuidores, parceiros - e não de prospecção ativa baseada em incidentes de mercado. Os alvos nos scripts que você recebeu são pequenos fornecedores regionais, a grande maioria dos quais não está em nossa base de clientes nem em nosso pipeline comercial - um fato verificável através de fontes públicas como QRator." Nascimento afirma ter “fortes evidências armazenadas na blockchain” de que tudo isso foi feito por um concorrente. Quanto a quem poderia ser esse concorrente, o CEO não quis dizer. “Eu adoraria compartilhar isso com vocês, mas não poderia ser publicado porque perderia o fator surpresa contra meu concorrente desonesto”, explicou. “Coincidentemente ou não, o seu contato aconteceu uma semana antes de um evento importante – do qual esse concorrente NUNCA participou (e é um evento tradicional do setor).
E este ano, eles vão participar. Estranho, não é?” Estranho mesmo.