El ransomware dominó la escena del crimen cibernético el año pasado, causando más de mil millones de dólares en pérdidas en todo el mundo y generando a los delincuentes cientos de millones de dólares en ganancias. Aun así, los ataques distribuidos de denegación de servicio (DDoS) que se habían enfriado han vuelto a su plena actividad y ahora los operadores de ransomware los utilizan para ejercer más presión sobre las empresas que han sido pirateadas.
Los informes de las empresas de mitigación de DDoS señalan que 2020 ha establecido un récord en ataques DDoS, tanto en términos de volumen de ataque como de número de vectores de ataque utilizados. Lo peor es que la tendencia al alza ha continuado este año, según Akamai, que rastreó tres de los seis ataques DDoS más grandes de la historia durante febrero, además de otros ataques que superaron los 50 Gbps en los primeros tres meses del año, más de registrados a lo largo de 2019. La compañía estima que los ataques de más de 50 Gbps podrían derribar la mayoría de los servicios en línea que no tienen mitigación anti-DDoS debido a la saturación del ancho de banda.
Las razones detrás de los ataques DDoS son variadas, desde personas sin escrúpulos que quieren dejar de competir servicios hasta hacktivistas que quieren enviar un mensaje a organizaciones con las que no están de acuerdo. Sin embargo, la extorsión ha sido uno de los principales factores que impulsan este tipo de actividad ilegal, y sin duda el más rentable, porque los ataques DDoS no requieren grandes inversiones. Los servicios de alquiler DDoS, por ejemplo, cuestan solo $ 7 por ataque en foros de la web oscura, lo que los hace accesibles para casi cualquier persona.
Ahora, el DDoS que viene sin ser utilizado por varios grupos de ransomware como técnica de extorsión adicional, que es el DDoS de rescate, o RDDoS. Este tipo de ataque también ha sido utilizado por grupos de hackers patrocinados por estados nacionales, como Fancy Bear (Rusia) o Lazarus (Corea del Norte). El grupo, que ha sido apodado Lazarus Bear Armada (LBA), lanza por primera vez ataques DDoS de demostración que van desde 50 a 300 Gbps contra objetivos seleccionados. Luego continúa con un correo electrónico de extorsión que afirma tener 2 Tbps de capacidad DDoS y exige el pago en Bitcoin.
El grupo se dirige principalmente a organizaciones de los sectores financiero, minorista, de viajes y de comercio electrónico de todo el mundo y parece estar haciendo reconocimiento y planificación. Identifican direcciones de correo electrónico no genéricas que las organizaciones víctimas probablemente monitorearán y apuntarán a aplicaciones y servicios críticos, aunque no obvios, así como a concentradores de redes privadas virtuales (VPN), lo que indica un nivel avanzado de planificación.
A diferencia de grupos como LBA, que dependen únicamente de RDDoS para extorsionar a las organizaciones, las bandas de ransomware utilizan DDoS como una palanca adicional para convencer a las víctimas de que paguen el rescate, al igual que utilizan amenazas de fuga de datos. En otras palabras, algunos ataques de ransomware son ahora una triple amenaza que combina cifrado de archivos, robo de datos y ataques DDoS. Entre las bandas de ransomware que usan o afirman usar ataques DDoS de esta manera se encuentran Avaddon, SunCrypt, Ragnar Locker y REvil.
Akamai experimentó un aumento del 57% en el número de organizaciones únicas que fueron atacadas año tras año. “Aferrándose a la esperanza de un gran pago de Bitcoin, los delincuentes comenzaron a aumentar sus esfuerzos y su ancho de banda de ataque, lo que pone fin a cualquier idea de que la extorsión DDoS era una noticia pasada”, dijeron los investigadores de la compañía el mes pasado en un informe.
También según Akamai, casi dos tercios de los ataques DDoS vistos el año pasado incluyeron varios vectores, algunos con hasta 14 vectores. El vector DDoS más popular en 2020 y en los últimos años ha sido la amplificación de DNS. Otros protocolos que se utilizan a menudo para la amplificación incluyen el protocolo de tiempo de red (NTP), el protocolo de acceso a directorio ligero sin conexión (CLDAP), el protocolo de descubrimiento de servicio simple (SSDP) y el descubrimiento de servicios web (WSD o WS-DD), el protocolo de escritorio remoto (RDP) sobre UDP y Datagram Transport Layer Security (DTLS).
Fuente: CisoAdvisor
