[ 229,037 page views, 81,838 usuários - média últimos 90 dias ] - [ 5.767 assinantes na newsletter, taxa de abertura 27% ]

Ataques DDoS são cada vez mais usados para tripla extorsão

O ransomware dominou a cena do crime cibernético no ano passado, causando mais de US$ 1 bilhão em perdas em todo o mundo e rendendo aos criminosos centenas de milhões de dólares em lucros. Mesmo assim, os ataques distribuídos de negação de serviço (DDoS) que tinham dado uma arrefecida voltaram a plena atividade e passaram a ser usados por operadores de ransomware ​para colocar mais pressão sobre as empresas vítimas de invasão. 

Relatórios de empresas de mitigação de DDoS apontam que 2020 bateu recorde em ataques DDoS, tanto em volume de ataques quanto em número de vetores de ataque usados. O pior é que a tendência de aumento vem se mantendo neste ano, de acordo com a Akamai, que rastreou três dos seis maiores ataques DDoS da história durante fevereiro, além de outros ataques que ultrapassaram 50 Gbps nos três primeiros três meses do ano, mais do que o registrado em todo o ano de 2019. A empresa estima que ataques acima de 50 Gbps podem derrubar a maioria dos serviços online que não tem mitigação anti-DDoS devido à saturação da largura de banda.

Os motivos por trás dos ataques DDoS são variados, desde pessoas inescrupulosas que desejam interromper os serviços da concorrência a hacktivistas que desejam enviar uma mensagem a organizações das quais discordam. No entanto, a extorsão tem sido um dos principais fatores que impulsionam esse tipo de atividade ilegal e, sem dúvida, o mais lucrativo, porque ataques DDoS não exigem grandes investimentos. Os serviços de DDoS de aluguel, por exemplo, custam apenas US$ 7 por ataque em fóruns da dark web, o que os torna acessíveis a praticamente qualquer pessoa.

Agora, o DDoS que vem sem do usado por vários grupos de ransomware como uma técnica de extorsão adicional, que é o DDoS de resgate, ou RDDoS. Esse tipo de ataque também vem sendo usado por grupos de hackers patrocinados por Estados-nação, como o Fancy Bear (Rússia) ou Lazarus (Coreia do Norte). O grupo, que foi apelidado de Lazarus Bear Armada (LBA), primeiro lança ataques DDoS de demonstração que variam entre 50 a 300 Gbps contra alvos selecionados. Em seguida, ele segue com um e-mail de extorsão alegando ter 2 Tbps de capacidade DDoS e exigindo pagamento em Bitcoin. 

O grupo visa predominantemente organizações dos setores financeiro, varejo, viagens e e-commerce de todo o mundo e parece fazer reconhecimento e planejamento. Eles identificam endereços de e-mail não genéricos que as organizações vítimas provavelmente monitoram e visam aplicativos e serviços críticos, embora não óbvios, bem como concentradores de redes privadas virtuais (VPNs), indicando um nível avançado de planejamento.

Veja isso
Nova falha permite DDoS sobre servidor DNS
DDoS adota o Plex media server como seu mais novo vetor

Ao contrário de grupos como o LBA, que contam apenas com RDDoS para extorquir dinheiro de organizações, gangues de ransomware usam DDoS como uma alavanca adicional para convencer as vítimas a pagar o resgate, da mesma forma que usam ameaças de vazamento de dados. Em outras palavras, alguns ataques de ransomware são agora uma ameaça tripla que combina criptografia de arquivos, roubo de dados e ataques DDoS. Entre as gangues de ransomware que usam ou afirmam usar ataques DDoS dessa forma estão o Avaddon, SunCrypt, Ragnar Locker e REvil.

A Akamai observou um aumento de 57% no número de organizações únicas sendo atacadas ano após ano. “Apegados à esperança de um grande pagamento de Bitcoin, os criminosos começaram a aumentar seus esforços e sua largura de banda de ataque, o que põe fim a qualquer noção de que extorsão DDoS era notícia velha”, disseram pesquisadores da empresa no mês passado em um relatório. 

Ainda de acordo com a Akamai, quase dois terços dos ataques DDoS observados no ano passado incluíam vários vetores, alguns com até 14 vetores. O vetor DDoS mais popular em 2020 e nos últimos anos foi a amplificação de DNS. Outros protocolos que são frequentemente usados ​​para amplificação incluem Network Time Protocol (NTP), protocolo de acesso de diretório leve sem conexão (CLDAP), o Simple Service Discovery Protocol (SSDP) e o Web Services Discovery (WSD ou WS-DD), o Remote Desktop Protocol (RDP) sobre UDP e o Datagram Transport Layer Security (DTLS).