Autoridades de segurança cibernética dos Estados Unidos, Canadá, Austrália e Nova Zelândia emitiram um alerta conjunto sobre os perigos do uso da técnica fast flux — um método cada vez mais empregado por grupos de cibercriminosos para disfarçar servidores maliciosos e garantir a persistência de suas campanhas.
Fast flux: técnica sofisticada por trás de ataques cibernéticos mais difíceis de conter
O fast flux explora uma vulnerabilidade nos sistemas de resolução de nomes na internet (DNS), rotacionando rapidamente registros IP associados a um único domínio. Essa constante alteração de endereços torna mais difícil detectar e bloquear a infraestrutura maliciosa utilizada para controlar malwares, realizar ataques de phishing ou distribuir arquivos infectados.
De acordo com a CISA, NSA, FBI e agências de cibersegurança da Austrália e Nova Zelândia, essa tática se aproveita de falhas comuns nas defesas das redes para criar canais de comando e controle (C2) extremamente resilientes.
Como o fast flux opera e por que é tão eficaz
A técnica, observada pela primeira vez em 2007 por meio do Honeynet Project, funciona ao alternar dinamicamente os endereços IP de um domínio comprometido. Existem duas variações principais:
- Fluxo simples: um domínio é vinculado a múltiplos IPs, que mudam constantemente.
- Fluxo duplo: além dos IPs, os próprios servidores de nomes DNS também mudam com frequência, tornando a detecção ainda mais difícil.
Segundo um relatório da Unidade 42 da Palo Alto Networks, essa rotatividade veloz dificulta os bloqueios por IP e atrapalha iniciativas de derrubada da infraestrutura maliciosa.
Grupos como Gamaredon, CryptoChameleon e Raspberry Robin têm usado essa técnica para manter seus sistemas ativos mesmo diante de tentativas de desmantelamento por parte das autoridades.
Usos do fast flux em campanhas de cibercrime
A técnica não está restrita apenas à comunicação entre malware e seus controladores. Ela também é aplicada na hospedagem de páginas de phishing, permitindo que os criminosos troquem rapidamente os IPs utilizados e contornem filtros de segurança. Além disso, o fast flux oferece um meio eficiente de distribuir arquivos maliciosos de forma descentralizada e menos rastreável.
Com esse modelo, cada bot conectado à rede pode ser usado brevemente, dificultando sua identificação e bloqueio, o que fortalece ainda mais a infraestrutura maliciosa como um todo.
Como se proteger do fast flux
Diante do crescimento no uso dessa técnica, os especialistas recomendam uma série de medidas para aumentar a resiliência das redes corporativas:
- Bloqueio de IPs e domínios suspeitos
- Filtragem de tráfego com base na reputação
- Monitoramento contínuo de DNS
- Campanhas de conscientização contra phishing
- Adoção de ferramentas avançadas de detecção de anomalias
A CISA reforça que, embora o fast flux represente uma ameaça persistente, as organizações podem mitigar significativamente os riscos adotando abordagens proativas e investindo em segurança baseada em inteligência.