Especialistas em segurança estão alertando sobre uma nova campanha global de extorsão relacionada a ataques distribuídos de negação de serviço (ataques DDoS – Distributed Denial of Service) visando empresas que operam nos setores de comércio eletrônico, finanças e viagens.
A Radware, fornecedora de soluções de cibersegurança, diz que vem rastreando os operadores da ameaça desde meados de agosto, com vítimas na América do Norte, Ásia-Pacífico e Europa, Oriente Médio e África (EMEA). Os e-mails normalmente são entregues por grupos de hackers patrocinados por Estados-nação, como o Fancy Bear e o Lazarus Group, bem como o Armada Collective. Este último grupo foi vinculado a e-mails de extorsão semelhantes enviados em anos anteriores.
Os e-mails de resgate ameaçam lançar ataques DDoS de mais de 2 Tbps contra a empresa destinatária, se o pagamento de algo entre 10 e 20 bitcoins (BTCs) — o equivalente a US$ 113 mil e US$ 226 mil, respectivamente — não for feito. Eles também ameaçam aumentar o resgate em 10 BTCs para cada prazo não cumprido.
Veja isso
Ataques DDoS aumentam no 2º trimestre com uso de novos métodos
Banco europeu é alvo de ataque DDoS baseado em pacotes
Também incluídos nas mensagens estão os números do sistema autônomo (ASNs) ou endereços IP de servidores ou serviços que o grupo diz que terá como alvo se suas demandas não forem atendidas. “Em mensagens de acompanhamento, os atores da ameaça ressaltam que o endereço bitcoin exclusivo da carta inicial ainda está vazio e reiteram a seriedade da ameaça. Eles também fornecem palavras-chave e nomes de organizações para que a empresa alvo possa pesquisar interrupções por DDoS recentes, seguida pela pergunta retórica ‘Você não quer ser como eles, quer?’”, explica a Radware.
Segundo a empresa, em muitos casos, a ameaça de resgate é seguida por ataques cibernéticos que variam de 50 Gbps a 200 Gbps. Os vetores de ataque incluem UDP e UDP-Frag floods, alguns aproveitando a amplificação WS-Discovery, combinados com TCP SYN, TCP fora do estado e ICMP Floods.
Os destinatários dos e-mails foram instados a não pagar o resgate. Ao mesmo tempo, Radware afirmou ter observado vários provedores de internet (ISPs) europeus sendo atingidos por ataques DDoS de DNS desde a semana passada, embora não haja nenhum link óbvio para a campanha de resgate. Um grupo usando o nome Armada Collective tentou um estratagema de resgate semelhante em 2016, quando a Cloudflare alegou ter ouvido de 100 clientes que haviam recebido ameaças de extorsão e pedidos de pagamento de 10 a 50 BTCs. Com agências de notícias internacionais.