Todas las organizaciones que se puso en contacto con el proveedor de seguridad Radware después de recibir una carta de extorsión fueron golpeadas por ataques de denegación de servicio distribuido.
Tradicionalmente, los ciberdelincuentes que tratan a través del ransomware capturar y cifrar los datos confidenciales y luego exigir el pago para descifrarlo. Pero los atacantes también utilizan otros tipos de amenazas para tratar de ganar dinero de una organización victimizada. En una nueva campaña analizada por Radware, los ciberdelincuentes amenazan a las organizaciones con ataques de denegación de servicio distribuido (DDoS) a menos que apuesten a sus demandas de rescate.
Publicado el miércoles, una alerta de seguridad titulada«2020 Ransom DDoS Campaign Update» describe cómo Radware y el FBI han estado advirtiendo a las organizaciones sobre una campaña DDoS de rescate global dirigida a empresas financieras y otras empresas de todo el mundo.
En esta campaña, las organizaciones reciben mensajes de extorsión de grupos criminales que se llaman «Fancy Bear», «Armada Collective» y «Lazarus Group».
Las cartas advierten al destinatario que su red será objeto de un ataque DDoS en otra semana. En la fecha en que se envía el mensaje, la organización objetivo es realmente golpeada por un pequeño ataque mencionado en la carta como prueba de que los criminales tienen la capacidad de llevar a cabo su amenaza.
El grupo promete no lanzar más ataques si la víctima paga el rescate, que comienza en 20 bitcoins (alrededor de $230,000) pero luego salta por 10 bitcoins cada día el dinero no se paga. Si el pago no se recibe en un plazo específico, los atacantes dan a la organización objetivo una «segunda oportunidad de reconsiderar antes de bajar para siempre». Si todavía no hay pago, entonces los grupos prometen lanzar ataques DDoS extremadamente potentes que alcanzan un máximo de más de dos terabits por segundo.
«Esto significa que sus sitios web y otros servicios conectados no estarán disponibles para todos», amenazan los criminales en su carta. «Tenga en cuenta también que esto dañará gravemente su reputación entre sus clientes que utilizan servicios en línea.»
Los tres grupos diferentes tienen objetivos diferentes, según Radware. Grupo Lazarus es el nombre utilizado cuando el objetivo es una organización financiera. También conocido como «APT38», o «BeagleBoyz» por la Agencia de Seguridad Cibernética e Infraestructura (CISA) del Departamento de Homeland, se cree que Lázaro tiene estrechos lazos con el gobierno norcoreano. Este grupo no suele depender de DDoS como vector de ataque, prefiriendo usar marcos de malware y redes de pago y servidores comprometidos.
Fancy Bear es el nombre del grupo utilizado para dirigirse a empresas de los sectores de la tecnología y la fabricación. También conocido como «APT28» o «Grupo Sofacy», Fancy bear es un grupo de espionaje cibernético ruso que se dice que está estrechamente ligado a la agencia de inteligencia militar rusa GRU, que es patrocinada por el gobierno ruso. En lugar de buscar ganancias financieras, este grupo tiende a dirigirse sólo a organizaciones que están asociadas con el gobierno o agencias políticas que buscan difundir influencia política o caos, dijo Radware.
Las cartas de extorsión de Armada Collective han utilizado un lenguaje diferente al enviado desde Lazarus Group y Fancy Bear. Todas estas cartas han sido consistentes en su uso del inglés (incluso cortés usando la palabra «please»). Las letras también han mejorado en calidad desde el principio corrigiendo algunos errores tipográficos y reformulando ciertas frases para una mejor claridad.
Qué hacer si eres una víctima
La amenaza es real. Todas las organizaciones que se puso en contacto con Radware al recibir una de las cartas de extorsión fueron las receptoras de ataques de seguimiento, como lo prometieron los grupos criminales. Basado en el tamaño y el alcance de la organización victimizada, los ataques han oscilado entre un par de gigabits por segundo a cientos de gigabits por segundo, en algunos casos van hasta 300 Gbps. Aunque no tan grave como el amenazado ataque de 2 Tbps, los llevados a cabo todavía resultaron devastadores para muchas organizaciones.
Sin embargo, Radware aconseja a las organizaciones dirigidas no pagar el rescate, al menos no si tienen la protección DDoS adecuada. Las organizaciones que carecen de la protección necesaria deben encontrar un socio o proveedor confiable para ayudar a apuntalar sus defensas para que cualquier ataque de seguimiento no interrumpa su negocio.
Protección eficaz
Además, Radware ofrece algunas recomendaciones sobre cómo proteger su organización de ataques DDoS.
- Protección DDoS híbrida. La protección DDoS local y en la nube para la prevención de ataques DDoS en tiempo real también aborda ataques de gran volumen y protege contra la saturación de tuberías.
- Detección basada en el comportamiento. Esta detección puede identificar y bloquear anomalías de forma rápida y precisa al tiempo que permite el tráfico legítimo a través.
- Creación de firmas en tiempo real. Esto puede protegerlo de las amenazas desconocidas y los ataques de día cero.
- Plan de respuesta de emergencia de ciberseguridad. Este plan implica contar con un equipo de expertos de emergencia dedicado que posean la experiencia con la seguridad de Internet de las cosas y puedan manejar brotes de IoT.
- Inteligencia sobre actores activos de amenazas. Esto proporciona datos de alta fidelidad, correlacionados y analizados para la protección preventiva contra los atacantes conocidos activos actualmente.