Hack Alerta

Botnet 'Udados' dispara ataques DDoS HTTP em larga escala

Por Redação Hack Alerta Publicado em 18/12/2025 16:03 Cyber ataques Tempo de leitura: 3 min

Análise reproduzida pela Cyber Security News baseada em ANY.RUN descreve o botnet Udados, que coordena ataques HTTP flood volumosos. Indicadores incluem ASN AS214943 (RAILNET), IP 178.16.54[.]87, URI /uda/ph.php e dois hashes SHA256 divulgados; não há indicação pública de impacto no Brasil.

Resumo

Uma nova família de botnet, apelidada Udados, foi descrita em relatório reproduzido pela Cyber Security News com base em análise do sandbox ANY.RUN. O malware orquestra ataques HTTP flood volumosos contra alvos do setor de Tecnologia e Telecomunicações.

Infraestrutura e indicadores

O relatório identifica infraestrutura hospedada no AS214943 (RAILNET) e aponta um servidor de comando e controle em 178.16.54[.]87. O módulo de comunicação utiliza o caminho /uda/ph.php e troca JSON estruturado contendo metadados da máquina infectada (uid, st, bv, priv).

Como a ação é conduzida

Ao efetuar check-in, o agente recebe comandos que podem incluir um comando !httppost com parâmetros para duração (por exemplo 888 segundos), número de threads concorrentes (por exemplo 88) e payload Base64. O uso de requisições HTTP POST permite que o tráfego de ataque se misture com tráfego legítimo, dificultando bloqueios simples por padrão.

IoCs e artefatos divulgados

  • ASN: AS214943 (RAILNET)
  • IP C2: 178.16.54[.]87
  • URI: /uda/ph.php
  • Domínio associado: ryxuz[.]com (relatado pelo artigo)
  • Hashes SHA256 reportados: 7e2350cda89ffedc7bd060962533ff1591424cd2aa19cd0bef219ebd576566bb e 770d78f34395c72191c8b865c08b08908dff6ac572ade06396d175530b0403b8

Impacto e mitigação

Para provedores e grandes consumidores de largura de banda, ataques HTTP flood podem degradar serviços e gerar custos operacionais significativos. A detecção deve incluir inspeção de padrões de requests ao URI /uda/ph.php, monitoramento de picos de outbound a destinos suspeitos e análise de headers e payloads JSON incomuns.

Recomendações práticas

  • Bloquear ou sinkhole o tráfego para IPs/domínios conhecidos e para o caminho /uda/ph.php em perímetros e WAFs quando confirmado.
  • Configurar regras de rate limiting e desafios (CAPTCHA) para APIs e endpoints expostos que possam ser alvo de flood.
  • Monitorar e correlacionar picos de uso de CPU/redes em hosts internos que iniciam conexões para o C2 identificado; isolar e coletar amostras para análise forense.
  • Atualizar regras de IDS/IPS com os indicadores fornecidos e compartilhar IoCs com provedores de DDoS e equipes de resposta a incidentes.

O que não foi informado

O artigo reproduz a análise do ANY.RUN, mas não traz estimativa pública do número total de hosts infectados nem evidência de impactos em organizações específicas fora da descrição de setores-alvo. Não há indicação pública de ligação direta com campanhas anteriores que afetem o Brasil.

Conclusão

Udados representa uma família com foco em volumetria e em técnicas de blend com tráfego legítimo. Operadores de redes e provedores de serviços em nuvem e telecoms devem priorizar detecção no nível de aplicação e integração com parceiros de mitigação de DDoS para reduzir impacto operacional.

Baseado em publicação original de Cyber Security News
Tags: #udados #botnet #ddos #http #c2 #railnet #indicators #mitigacao #tools
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar