hu, 30 Apr 2026
← VoltarUma empresa de tecnologia brasileira especializada em proteger redes contra ataques distribuídos de negação de serviço (DDoS) tem habilitado uma botnet responsável por uma campanha estendida de ataques DDoS massivos contra outras operadoras de rede no Brasil, descobriu a KrebsOnSecurity. O principal executivo da empresa
Uma empresa de tecnologia brasileira especializada em proteger redes contra ataques distribuídos de negação de serviço (DDoS) tem habilitado uma botnet responsável por uma campanha estendida de ataques DDoS massivos contra outras operadoras de rede no Brasil, descobriu a KrebsOnSecurity. O presidente-executivo da empresa diz que a atividade maliciosa resultou de uma violação de segurança e provavelmente foi obra de um concorrente que tentava manchar a imagem pública de sua empresa. Um roteador Archer AX21 da TP-Link. Imagem: tp-link.com.
Nos últimos anos, especialistas em segurança rastrearam uma série de ataques DDoS massivos originados no Brasil e direcionados exclusivamente aos ISPs brasileiros. Até recentemente, não estava claro quem ou o que estava por trás desses cercos digitais. Isso mudou no início deste mês, quando uma fonte confiável que pediu para permanecer anônima compartilhou um curioso arquivo que foi exposto em um diretório aberto online. O arquivo exposto continha vários programas maliciosos em língua portuguesa escritos em Python.
Também incluiu as chaves privadas de autenticação SSH pertencentes ao CEO da Huge Networks, um ISP brasileiro que oferece principalmente proteção DDoS para outras operadoras de rede brasileiras. Fundada em Miami, Flórida, em 2014, as operações da Huge Networks estão centradas no Brasil. A empresa surgiu da proteção de servidores de jogos contra ataques DDoS e evoluiu para um provedor de mitigação de DDoS com foco em ISP. Ele não aparece em nenhuma reclamação pública de abuso e não está associado a nenhum serviço conhecido de DDoS de aluguel.
No entanto, o arquivo exposto mostra que um agente de ameaças baseado no Brasil manteve acesso root à infra-estrutura da Huge Networks e construiu uma poderosa botnet DDoS, verificando rotineiramente em massa a Internet em busca de roteadores de Internet inseguros e servidores de sistema de nomes de domínio (DNS) não gerenciados na Web que poderiam ser envolvidos em ataques. DNS é o que permite que os usuários da Internet acessem sites digitando nomes de domínio familiares em vez dos endereços IP associados. Idealmente, os servidores DNS fornecem respostas apenas para máquinas dentro de um domínio confiável. Mas os chamados ataques de “reflexão de DNS” dependem de servidores DNS que estão (mal) configurados para aceitar consultas de qualquer lugar na Web.
Os invasores podem enviar consultas DNS falsificadas a esses servidores para que a solicitação pareça vir da rede do alvo. Dessa forma, quando os servidores DNS respondem, eles respondem ao endereço falsificado (direcionado). Ao aproveitar uma extensão do protocolo DNS que permite grandes mensagens DNS, os botmasters podem aumentar drasticamente o tamanho e o impacto de um ataque de reflexão – elaborando consultas DNS para que as respostas sejam muito maiores que as solicitações. Por exemplo, um invasor pode compor uma solicitação de DNS com menos de 100 bytes, solicitando uma resposta de 60 a 70 vezes maior.
Este efeito de amplificação é especialmente pronunciado quando os perpetradores podem consultar muitos servidores DNS com estas solicitações falsificadas de dezenas de milhares de dispositivos comprometidos simultaneamente. Um ataque de amplificação e reflexão de DNS, ilustrado. Imagem: veracara.digicert.com. O arquivo exposto inclui um histórico de linha de comando mostrando exatamente como esse invasor construiu e manteve uma botnet poderosa, vasculhando a Internet em busca de roteadores TP-Link Archer AX21.
Especificamente, o botnet procura dispositivos TP-Link que permanecem vulneráveis ao CVE-2023-1389, uma vulnerabilidade de injeção de comando não autenticada que foi corrigida em abril de 2023. Domínios maliciosos nos scripts de ataque Python expostos incluíam pesquisas de DNS para hikylover[.]st e c.loyaltyservices[.]lol, ambos domínios que foram sinalizados no ano passado como servidores de controle para uma Internet das Coisas (IoT). botnet alimentado por uma variante de malware Mirai. O arquivo vazado mostra que o botmaster coordenou sua varredura a partir de um servidor Digital Ocean que foi sinalizado por atividades abusivas centenas de vezes no ano passado.
Os scripts Python invocam vários endereços de Internet atribuídos a Huge Networks que foram usados para identificar alvos e executar campanhas DDoS. Os ataques foram estritamente limitados d para intervalos de endereços IP brasileiros, e os scripts mostram que cada prefixo de endereço IP selecionado foi atacado por 10 a 60 segundos com quatro processos paralelos por host antes que o botnet passasse para o próximo alvo. O arquivo também mostra que esses scripts Python maliciosos dependiam de chaves SSH privadas pertencentes ao CEO da Huge Networks, Erick Nascimento. Procurado para comentar os arquivos, Nascimento disse que não escreveu os programas de ataque e que não percebeu a extensão das campanhas DDoS até ser contatado pela KrebsOnSecurity.
“Recebemos e notificamos muitos upstreams de nível 1 sobre ataques DDoS muito grandes contra pequenos ISPs”, disse Nascimento. “Não cavamos fundo o suficiente na época, e o que você enviou deixa isso claro.” Nascimento disse que a atividade não autorizada provavelmente está relacionada a uma intrusão digital detectada pela primeira vez em janeiro de 2026 que comprometeu dois servidores de desenvolvimento da empresa, bem como suas chaves SSH pessoais. Mas ele disse que não há evidências de que essas chaves tenham sido usadas depois de janeiro. “Notificamos a equipe por escrito no mesmo dia, limpamos as caixas e giramos as chaves”, disse Nascimento, compartilhando uma captura de tela de uma notificação de 11 de janeiro da Digital Ocean.
“Tudo documentado internamente.” Nascimento disse que a Huge Networks contratou uma empresa terceirizada de perícia de rede para investigar mais a fundo. “Nossa avaliação de trabalho até agora é que tudo isso começou com um único compromisso interno – um ponto central que deu ao invasor acesso downstream a alguns recursos, incluindo um legado pessoal meu”, escreveu ele. “O comprometimento aconteceu por meio de um servidor bastion/jump ao qual várias pessoas tiveram acesso”, continuou Nascimento. "A Digital Ocean sinalizou o droplet em 11 de janeiro - comprometido devido a um vazamento de chave SSH, em suas palavras - eu estava viajando na época e resolvi o problema no retorno.
Esse droplet foi obsoleto e destruído, e nunca fez parte da infraestrutura da Huge Networks." O software malicioso que alimenta o botnet dos dispositivos TP-Link usados nos ataques DDoS aos ISPs brasileiros é baseado no Mirai, uma variedade de malware que fez sua estreia pública em setembro de 2016, lançando um ataque DDoS que bateu recordes e manteve este site offline por quatro dias. Em janeiro de 2017, a KrebsOnSecurity identificou os autores do Mirai como coproprietários de uma empresa de mitigação de DDoS que usava a botnet para atacar servidores de jogos e atrair novos clientes. Em maio de 2025, o KrebsOnSecurity foi atingido por outro DDoS baseado em Mirai, que o Google chamou de o maior ataque já mitigado. Esse relatório implicou um brasileiro de 20 e poucos anos que dirigia uma empresa de mitigação de DDoS, bem como vários serviços de aluguel de DDoS que já foram apreendidos pelo FBI.
Nascimento negou categoricamente estar envolvido em ataques DDoS contra operadoras brasileiras para gerar negócios para os serviços de sua empresa. “Não realizamos ataques DDoS contra operadoras brasileiras para vender proteção”, escreveu Nascimento em resposta a perguntas. "Nosso modelo de vendas é principalmente inbound e por meio de integradores de canais, distribuidores, parceiros - e não de prospecção ativa baseada em incidentes de mercado. Os alvos nos scripts que você recebeu são pequenos fornecedores regionais, a grande maioria dos quais não está em nossa base de clientes nem em nosso pipeline comercial - um fato verificável através de fontes públicas como QRator." Nascimento afirma ter “fortes evidências armazenadas na blockchain” de que tudo isso foi feito por um concorrente.
Quanto a quem poderia ser esse concorrente, o CEO não quis dizer. “Eu adoraria compartilhar isso com vocês, mas não poderia ser publicado porque perderia o fator surpresa contra meu concorrente desonesto”, explicou. “Coincidentemente ou não, o seu contato aconteceu uma semana antes de um evento importante – do qual esse concorrente NUNCA participou (e é um evento tradicional do setor). E este ano, eles vão participar.
Estranho, não é?” Estranho mesmo. Esta entrada foi publicada em quinta-feira, 30 de abril de 2026, às 10h04. Sempre me perguntei como uma empresa de segurança tem um s violação de segurança? Arrogância.
Pobody é nerfeito, sabe? Melhor ir ao nosso encontro de panquecas com o reitor e descobrir! “Nascimento afirma ter “fortes evidências armazenadas na blockchain” de que tudo isso foi feito por um concorrente.” basicamente uma admissão, honestamente, isso é como o sabonete, como a cena do filme de Tonya Harding, como o chocolate ou como a Bíblia quando Noé não consegue encontrar terra firme? Mentes curiosas querem saber.
”empresa especializada em proteger redes contra negação de serviço distribuída (DDoS)” Me surpreende que isso exista como uma ‘coisa’. Como se as pessoas/empresas pagassem uma empresa separada para isso? procure cloudflare ou ddos-guard O ataque descrito acima é simples de resolver quando comparado ao SYN ACK, que é verdadeiramente destrutivo, e nenhuma ferramenta de limpeza externa o resolve de forma eficaz para manter o serviço em execução. Apenas duas empresas brasileiras têm limpado com eficiência esse ataque específico.
Os ISPs vêm sofrendo com esse tipo de atividade criminosa desde dezembro de 2024 e ao longo de 2025. O CEO pode negar o quanto quiser, mas simplesmente conversar com qualquer ISP que sofreu ao longo daquele ano esclarecerá muitas coisas. E quais seriam essas empresas Não foram verdadeiramente capazes de impedir estes ataques em meados dos anos 90 (por exemplo, coisas como o stradeldracht e o incidente com panix.com em 1996) e ainda não o são. A questão é: por que essas ferramentas ainda são consideradas parte de um kit de ferramentas pentester?
Imagine IA e DDoS nas mãos de um humano realmente maldito. Pior que esse botnet. Estava esperando que isso acontecesse e me perguntava quantas “borboletas” todos nós, pessoas realmente inteligentes, matamos aqui no Paleozóico. Más notícias, pessoas que pensam que a máquina do tempo em 2024 vai nos salvar.
Não há nenhum, e com certeza não há. Gostando de ver a IA convencer todos vocês de como todos vocês são inteligentes. É hora de outra negação distribuída de um planeta. Bom trabalho, falsos fracassos.
depois que tivemos contrato com essa empresa(Huge), após o rompimento deste. Nunca mais tivemos paz Bem, aqui no Brasil o ator de ameaça mais famoso é a Computize – eles atingiram vários pequenos ISPs em todo o país. Eric, é você? Acho estranho falarem mal da Computize, porque a nossa experiência foi totalmente o contrário.
Nós saímos da Huge e, depois de cancelarmos o contrato, começamos a sofrer ataques. Tio que contratou a Computize, e eles nos ajudaram a mitigar até que os ataques desaparecessem. Hoje estamos sem proteção, mas uma coisa ficou clara para nós: Contratar a Huge foi como ficar refém. Eric, é você?
Acho estranho falarem mal da Computize, porque a nossa experiência foi totalmente o contrário. Nós saímos da Huge e, depois de cancelarmos o contrato, começamos a sofrer ataques. Tio que contratou a Computize, e eles nos ajudaram a mitigar até que os ataques desaparecessem. Hoje estamos sem proteção, mas uma coisa ficou clara para nós: Contratar a Huge foi como ficar refém.
Frutos do seu ‘trabalho’, com certeza. Achei que o ator de ameaça mais famoso fosse aquela nova linha de batatas fritas com sabor de churrascaria brasileira Lay's. Tudo bem, cara. Podemos ganhar bem menos do que isso na prisão.
Ouvi dizer que você pode comprar um refrigerante por uma hora de trabalho em alguns empregos por lá. Como o filme fabuloso, os bancos de investimento da Era de A (algumas centenas de bilhões) de dólares que merecem ser fechados. opa, hora do meu encontro quente com Claude e a gravata sacramental da Igreja Católica. vaia.
Era só deixar o cartão de visita com aqueles que vinham o presente. Krebs, se desejar, posso enviar-lhe muito mais provas aqui mesmo. Esta empresa faz isso há anos e ninguém faz absolutamente nada com medo de que seus fornecedores sejam atacados e seus negócios destruídos. Eles possuem os recursos financeiros e legais para silenciar toda a gente – e, de facto, neste momento, estão a fazer tudo o que está ao seu alcance para encobrir este caso.
Obrigado pela sua coragem em expor esses criminosos que causam tantos danos aos provedores de serviços de Internet. Ouvi dizer que você pode trocar sim de pessoas, pickler. Não é muito inteligente, garoto. Sons como uma situação suspeita.
A infraestrutura de uma empresa de proteção DDoS usada em ataques levanta sérias questões. Quer tenha sido uma violação ou algo mais intencional, as práticas de segurança inadequadas desempenharam claramente um papel. Isso só mostra o quão vulneráveis são os dispositivos IoT. É muito irônico que uma empresa que deveria proteger contra ataques DDoS acabe fazendo isso com seus concorrentes.
Ele afirma que foi por meio de uma ameaça de um concorrente, o que com certeza, mas ainda assim a ironia de que isso aconteceu é um pouco engraçada. Além disso, eles parecem ter sido aproveitados por esse ator ameaçador, possivelmente devido a uma intrusão em janeiro. Eles são uma empresa de segurança para proteção contra DDoS, mas foram explorados para cometer DDoS. Não é a melhor reputação, independentemente de o CEO estar dizendo a verdade ou não.
Acho isso completamente absurdo haha Aliás. Nascimento pode estar falando do “Congresso Global Abrint 2026”. Mas não consigo identificar o concorrente acusado: https://agc.abrint.com.br/pt/expositores Meu português é limitado 😉 só o seu português brasileiro, ou o português de verdade? Aprendi o meu em 1989, mesma época em que fiz química.
Não é muito difícil se você conhece outro idioma latino, como espanhol, italiano ou qualquer outro. Eu também me pergunto como uma empresa de segurança pode ser violada. Eles não estão armados com pilha de segurança suficiente? Eu me pergunto.
Meu dinheiro está no proprietário atacando clientes antigos e potenciais para prejudicá-los por sair ou para induzi-los a comprar os serviços. Se for verdade, o proprietário é mais burro que um tijolo e deve ser levado a tribunal. Seu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados * Comentário * Nome * E-mail * Site Δ Pesquisa na lista de discussão KrebsOnSecurity Postagens recentes Categorias de histórias Por que tantos hackers importantes vêm da Rússia