O ransomware dominou a cena do crime cibernético no ano passado, causando mais de US $ 1 bilhão em perdas em todo o mundo e gerando centenas de milhões de dólares em lucros para criminosos. Mesmo assim, os ataques distribuídos de negação de serviço (DDoS) que haviam esfriado voltaram à atividade total e agora estão sendo usados por operadores de ransomware para colocar mais pressão sobre as empresas que foram hackeadas.
Relatórios de empresas de mitigação de DDoS apontam que 2020 estabeleceu um recorde em ataques de DDoS, tanto em termos de volume de ataque quanto em número de vetores de ataque usados. O pior é que a tendência de alta continuou este ano, de acordo com a Akamai, que rastreou três dos seis maiores ataques DDoS da história durante fevereiro, além de outros ataques que ultrapassaram 50 Gbps nos primeiros três meses do ano, mais de registrados ao longo de 2019. A empresa estima que ataques acima de 50 Gbps podem derrubar a maioria dos serviços online que não têm mitigação anti-DDoS devido à saturação da largura de banda.
As razões por trás dos ataques DDoS são variadas, desde pessoas sem escrúpulos que desejam interromper os serviços concorrentes até hacktivistas que desejam enviar uma mensagem a organizações das quais discordam. No entanto, a extorsão tem sido um dos principais fatores que impulsionam esse tipo de atividade ilegal e, sem dúvida, o mais lucrativo, pois os ataques DDoS não exigem grandes investimentos. O aluguel de serviços DDoS, por exemplo, custa apenas US $ 7 por ataque em fóruns da dark web, tornando-os acessíveis a praticamente qualquer pessoa.
Agora, o DDoS que vem sem ser usado por vários grupos de ransomware como uma técnica de extorsão adicional, que é o DDoS de resgate, ou RDDoS. Esse tipo de ataque também tem sido usado por grupos de hackers patrocinados por países, como Fancy Bear (Rússia) ou Lazarus (Coréia do Norte). O grupo, que foi apelidado de Lazarus Bear Armada (LBA), primeiro lança ataques de demonstração de DDoS variando de 50 a 300 Gbps contra alvos selecionados. Em seguida, ele continua com um e-mail de extorsão alegando ter 2 Tbps de capacidade DDoS e exigindo pagamento em Bitcoin.
O grupo tem como alvo predominantemente organizações nos setores financeiro, varejo, viagens e comércio eletrônico em todo o mundo e parece estar fazendo reconhecimento e planejamento. Eles identificam endereços de e-mail não genéricos que as organizações vítimas provavelmente monitoram e visam aplicativos e serviços críticos, embora não óbvios, bem como concentradores de rede privada virtual (VPNs), indicando um nível avançado de planejamento.
Ao contrário de grupos como o LBA, que contam exclusivamente com RDDoS para extorquir dinheiro das organizações, gangues de ransomware usam DDoS como uma alavanca adicional para convencer as vítimas a pagar o resgate, da mesma forma que usam ameaças de vazamento de dados. Em outras palavras, alguns ataques de ransomware são agora uma ameaça tripla que combina criptografia de arquivos, roubo de dados e ataques DDoS. Entre as gangues de ransomware que usam ou afirmam usar ataques DDoS dessa forma estão Avaddon, SunCrypt, Ragnar Locker e REvil.
A Akamai observou um aumento de 57% no número de organizações únicas sendo atacadas ano após ano. “Apegados à esperança de um grande pagamento em Bitcoin, os criminosos começaram a aumentar seus esforços e sua largura de banda de ataque, o que põe fim a qualquer noção de que extorsão DDoS era notícia velha”, disseram pesquisadores da empresa no mês passado em um relatório.
Ainda de acordo com a Akamai, quase dois terços dos ataques DDoS vistos no ano passado incluíram vários vetores, alguns com até 14 vetores. O vetor DDoS mais popular em 2020 e nos últimos anos foi a amplificação de DNS. Outros protocolos que são frequentemente usados para amplificação incluem Network Time Protocol (NTP), protocolo de acesso de diretório leve sem conexão (CLDAP), Simple Service Discovery Protocol (SSDP) e Web Services Discovery (WSD ou WS-DD), Remote Desktop Protocol (RDP) sobre UDP e Datagram Transport Layer Security (DTLS).
Fonte: CisoAdvisor