sage logo
Speak with an expert
Under attack

Sep 08, 2025

ONT Malware: quando o Anti-DDoS precisa agir dentro da sua própria rede

Nos últimos meses, muitos provedores brasileiros têm relatado um problema inusitado: picos de upload sem explicação, caixas CGNAT no limite e uma enxurrada de reclamações de clientes sobre perda de pacotes e lentidão.

 

A causa? O ONT Malware, uma vulnerabilidade explorada em ONUs e roteadores residenciais que transforma a rede do próprio provedor em origem de ataques DDoS.

 

Esse cenário é contra-intuitivo. Durante anos, a preocupação principal foi com os ataques entrantes, quando o provedor é o alvo. Mas agora, o desafio é outro: o tráfego malicioso nasce dentro da sua infraestrutura, sobrecarrega seus equipamentos e afeta diretamente a experiência do cliente final.

 

Neste artigo, vamos explicar como o ONT Malware funciona, quais são os sintomas que você precisa observar, os impactos para o seu negócio e, principalmente, como agir para proteger sua rede e seus assinantes.

O que é o ONT Malware e como surgiu?

O termo ONT Malware se refere a um tipo de ameaça que explora vulnerabilidades conhecidas em equipamentos de acesso, como ONUs e ONTs, que ficam instalados na casa dos assinantes. Esses dispositivos, quando mal configurados ou sem atualização de firmware, tornam-se alvos fáceis para cibercriminosos.

 

A primeira onda de registros sobre esse tipo de vulnerabilidade apareceu em 2022. Desde então, grupos maliciosos têm desenvolvido ferramentas para automatizar a invasão desses equipamentos, permitindo o controle remoto em massa.

 

Na prática, isso significa que milhares de ONUs comprometidas passam a agir como uma botnet, gerando tráfego malicioso coordenado contra alvos na Internet.

 

O que chama atenção é que, nesse modelo, o provedor não é apenas um espectador: sua própria rede se torna o ponto de partida do ataque. Mesmo que o alvo final seja outro, o impacto do tráfego sai pela borda do provedor de internet, sobrecarregando links, caixas CGNAT e a experiência dos clientes.

Quais são os sintomas do ONT Malware na rede do provedor?

Identificar cedo os sinais do ONT Malware pode evitar prejuízos maiores. Alguns dos sintomas mais comuns incluem:

 

  • Picos de upload constantes: O gráfico de tráfego mostra consumo anormal na subida, mesmo quando não há justificativa pelo perfil de uso dos clientes.
  • CPU da caixa CGNAT no limite: O equipamento responsável por traduzir endereços IP começa a operar próximo da capacidade máxima, comprometendo toda a rede.
  • Reclamações de perda de pacotes e lentidão: Usuários finais relatam instabilidade, quedas e dificuldade para usar serviços básicos como streaming, jogos e chamadas online.
  • Congestionamento interno perceptível: Antes mesmo do tráfego sair para a Internet, os enlaces e roteadores internos sofrem com sobrecarga, prejudicando a qualidade de toda a operação.

Esses sinais, quando ignorados, se transformam em um ciclo de insatisfação: mais chamados no suporte, aumento de custos operacionais e até cancelamento de assinaturas.

Por que o ONT Malware é difícil de combater?

O ataque nasce dentro da rede

No modelo tradicional de DDoS, o provedor é alvo: o tráfego chega de fora e pode ser mitigado por firewalls, scrubbing centers ou nuvens de mitigação.

 

No caso do ONT Malware, o cenário muda completamente. O tráfego malicioso é gerado dentro da sua própria rede, a partir de ONUs/ONTs comprometidas nos clientes finais.

 

Isso significa que, antes mesmo de atingir qualquer fornecedor upstream ou nuvem de mitigação, seus próprios equipamentos (CGNAT, roteadores de borda, enlaces internos) já estão sofrendo o impacto.

Padrões dinâmicos e aleatórios

Outro fator complicador é a variabilidade dos ataques. O ONT Malware não segue um padrão fixo de portas ou protocolos. Pelo contrário: ele se apoia justamente na aleatoriedade para dificultar bloqueios manuais.

 

Portas de origem e destino mudam constantemente, protocolos podem variar de UDP a TCP, e os endereços IP envolvidos são renovados de forma massiva.

 

Na prática, isso significa que uma regra que funciona agora pode se tornar ineficaz em poucas horas, obrigando o time técnico a um esforço contínuo e desgastante.

Firewalls não acompanham a velocidade

Firewalls são importantes em qualquer rede, mas têm limitações claras contra o ONT Malware. Como lidam com regras estáticas, eles simplesmente não conseguem acompanhar a velocidade e a diversidade de pacotes gerados.

 

Além disso, ao tentar segurar o tráfego anômalo, acabam consumindo ainda mais recursos do equipamento, que já está sobrecarregado. O resultado é paradoxal: em vez de aliviar, muitas vezes o firewall agrava o problema de performance.

Nuvens de mitigação não ajudam nesse cenário

As nuvens de mitigação funcionam muito bem quando o provedor é o destino do ataque. O tráfego entra pela borda, é desviado para um scrubbing center e retorna limpo.

 

No entanto, contra o ONT Malware, a lógica não se aplica. Como o tráfego nasce dentro da sua rede, ele atinge seus equipamentos antes de ser encaminhado para fora. Quando chega ao scrubbing, o prejuízo interno já está instalado.

 

Ou seja: não é que a nuvem de mitigação seja inútil, ela simplesmente não foi feita para esse tipo de ameaça.

Quais são os impactos diretos do ONT Malware no negócio do provedor?

Aumento de chamados no suporte

Quando a rede começa a sofrer com o tráfego malicioso gerado pelo ONT Malware, os primeiros sinais vêm dos clientes: lentidão, quedas de conexão, dificuldade em jogar online, assistir streaming ou até mesmo trabalhar em home office.

 

Essas reclamações se traduzem em um volume muito maior de chamados na central de atendimento. O suporte, que deveria focar em problemas pontuais, passa a ser sobrecarregado com tickets repetitivos e difíceis de resolver.

Cancelamentos por má qualidade percebida

No mercado de ISPs, a experiência do cliente é o que determina a permanência. Um assinante pode até tolerar um problema pontual, mas instabilidade recorrente gera desconfiança e cancelamentos.

 

O pior: muitas vezes o provedor nem é o alvo do ataque, mas como sua rede é usada como origem, o cliente percebe apenas que “a Internet está ruim”. Isso compromete a imagem do provedor e aumenta a taxa de pedidos de cancelamento de contrato.

Custos extras para a operação

Sem uma solução automatizada, a equipe técnica precisa gastar horas (às vezes dias) ajustando regras de firewall, analisando gráficos e tentando descobrir a origem do tráfego.

 

Esse esforço representa custo operacional elevado: desvio de mão de obra, horas extras, desgaste da equipe e perda de foco em projetos estratégicos. No fim, o provedor acaba gastando mais para “apagar incêndios” do que para evoluir sua infraestrutura.

Risco de reputação e competitividade

Um provedor afetado pelo ONT Malware não sofre apenas internamente: o impacto chega ao mercado. Reclamações em redes sociais, sites de avaliação e grupos regionais podem manchar a reputação da empresa em pouco tempo.

 

Além disso, se concorrentes oferecem uma experiência mais estável, a competitividade cai. Mesmo quem pratica bons preços perde espaço quando o serviço deixa de ser confiável.

Como enfrentar o ONT Malware?

Detecção automática de tráfego malicioso

O primeiro passo para enfrentar o ONT Malware é a capacidade de detectar automaticamente os padrões anômalos de tráfego que saem da rede.

 

Isso vai além de gráficos de monitoramento: é preciso identificar comportamentos suspeitos em tempo real, diferenciando o uso legítimo do cliente de fluxos maliciosos criados pela botnet.

 

Sem esse nível de visibilidade, o provedor apenas reage aos sintomas, sem nunca chegar à raiz do problema.

Reação dinâmica e em tempo real

Detectar não é suficiente: o grande diferencial está na reação automática.

 

O tráfego malicioso precisa ser bloqueado ou redirecionado assim que é identificado, antes de saturar caixas CGNAT ou enlaces internos.

 

Ao contrário das regras manuais de firewall, que rapidamente se tornam obsoletas, mecanismos dinâmicos se adaptam à aleatoriedade dos ataques (portas, protocolos e IPs) variam, mas a resposta acompanha o ritmo.

Monitoramento contínuo e prevenção

O ONT Malware não é um evento isolado: trata-se de uma ameaça recorrente e evolutiva. Por isso, a defesa precisa ser contínua.

 

Isso envolve:

 

  • Monitoramento proativo da rede.
  • Testes periódicos para validar resiliência.
  • Revisão constante das estratégias de segurança.

 

Ao adotar esse ciclo, o provedor não apenas responde a crises, mas reduz drasticamente o risco de novas ocorrências.

Consultoria especializada

Por mais capacitada que seja a equipe interna, lidar com ataques distribuídos e complexos exige experiência prática.

 

Apoiar-se em especialistas que já atenderam emergências desse tipo permite ganhar tempo, aplicar soluções testadas em campo e proteger a operação com mais eficiência.

 

No caso do ONT Malware, essa consultoria pode ser o divisor de águas entre dias de instabilidade e uma resolução em poucas horas.

Qual o papel da Sage Networks no combate ao ONT Malware?

A Sage protege mais de 20% da Internet brasileira, atuando diretamente na proteção de infraestrutura de redes que sustentam milhões de usuários em todo o Brasil. Essa experiência prática nos permitiu atender provedores que já sofreram com o ONT Malware, aplicando soluções rápidas e assertivas para reduzir o impacto em clientes e infraestrutura.

 

Nossa presença constante em palestras, podcasts, cursos e eventos do setor reforça esse reconhecimento, consolidando a Sage como referência nacional em Anti-DDoS e boas práticas de segurança para ISPs.

 

As soluções são desenhadas para a realidade brasileira: funcionam em redes heterogêneas, com diferentes fabricantes e restrições de orçamento, combinando detecção, reação automática e suporte especializado.

 

Mais do que um fornecedor, a Sage atua como parceira. Acompanhamos o provedor no diagnóstico, na resposta a emergências e na prevenção de novas ocorrências, garantindo que a defesa evolua junto com a rede.

Conclusão

O ONT Malware mostrou que o maior risco para os provedores não está apenas em ser alvo de ataques, mas também em se tornar origem deles. Esse cenário gera lentidão, instabilidade, reclamações e até cancelamentos, comprometendo diretamente o negócio.

 

Enfrentar esse desafio exige mais do que regras de firewall ou nuvens de mitigação. É preciso contar com detecção automática, reação em tempo real e suporte especializado para proteger sua rede e seus clientes.

 

A Sage já protege 20% da Internet brasileira e tem a experiência necessária para ajudar o seu provedor a lidar com o ONT Malware. Fale com os nossos especialistas e conte conosco para superar esse desafio de forma rápida e eficaz.

💬 FALE COM UM ESPECIALISTA AGORA

COMPARTILHE

Você também pode gostar

Especialista em data center implementando soluções avançadas de cibersegurança no provedor para garantir a proteção da infraestrutura e dados dos clientes.

Cibersegurança no Provedor: Por Onde Começar?

Read article
Especialista em segurança de redes com um emblema, representando a proteção robusta e a confiança na segurança cibernética corporativa.

Segurança de Redes: A importância para empresas

Read article
Especialistas em redes da Sage Networks analisam gráficos avançados em múltiplos monitores para otimizar e garantir o desempenho das redes empresariais.

Otimização de Redes: Quanto Custa?

Read article

TIRE SUAS DÚVIDAS NO WHATSAPP

Preencha seu nome, empresa, telefone e segmento para falar agora mesmo com um de nossos consultores.