DDoS ataques de rescate están haciendo un regreso. Las últimas semanas han visto anillos de hackers atacar con renovado vigor, con las finanzas, comercio electrónico y verticales de proveedores de servicios particularmente afectados.
Desde mediados de agosto, Radware ha estado rastreando varias solicitudes de extorsión de actores de amenazas que se hacen pasar por «Fancy Bear», «Armada Collective» y «Lazarus Group». Es una campaña global con amenazas reportadas por organizaciones en verticales de finanzas, viajes y comercio electrónico en APAC, EMEA y América del Norte.
Los ataques DDoS pueden venir en cualquier momento, con o sin una nota de rescate adjunta, y DDoS-for-hire herramientas están haciendo más fácil para los atacantes para lanzar ataques con unos pocos clics de un botón. Sin embargo, una nota de rescate DDoS puede ser particularmente estresante, especialmente si viene con una fuerte demanda de pago.
Sin embargo, el daño de una nota de rescate DDoS con frecuencia puede ser contenido si se trata con antelación. Aquí hay algunos consejos para manejar una nota de rescate DDoS, si recibe uno:
Don’t Pay
Pagar a los atacantes de DDoS puede ser perjudicial en varios niveles y en realidad no garantiza que te dejarán en paz.
Radware aconseja no pagar la demanda de rescate, ya que no hay garantía de que los actores maliciosos respetarán los términos y «identifica» la organización objetivo como uno que está dispuesto a pagar bajo amenaza. Pagar el rescate financia la operación maliciosa y permite a los malos actores para mejorar sus capacidades y los motiva a continuar su campaña.
[También te puede gustar: Mantenerlo simple: Elegir la estrategia de mitigación de DDoS correcta]
Uno de los desafíos clave de las notas de rescate DDoS es que no hay manera de decir quién está realmente detrás de ellos. Mientras que muchas notas de rescate afirman ser grupos conocidos como «Fancy Bear» o «Armada Collective», ha habido muchos casos en los que fueron enviados por impostores. Tales notas se envían con frecuencia a un gran grupo de objetivos, y los remitentes simplemente cuentan con algunas de las víctimas que pagan a ciegas, lo que permite al remitente cobrar un buen día de pago sin hacer nada.
Otra razón para no pagar al atacante es que en realidad no garantiza que los atacantes te dejarán en paz. Ha habido casos en el pasado en los que las víctimas pagaron, y todavía han sido atacadas.
Lo más importante, pagar rescates DDoS dice a los atacantes que hay una víctima voluntaria aquí, y aumenta su apetito. Una vez más, ha habido casos en los que una víctima pagó una nota de rescate, sólo para que los atacantes vuelvan con mayores demandas de más dinero.
Pasar la información sobre
Muchas veces, DDoS notas de rescate se envían ‘ciegamente’ al objetivo, utilizando direcciones de correo electrónico disponibles públicamente. Los destinatarios de estas notas con frecuencia no son las partes interesadas relevantes para la seguridad de la red y TI, sino las personas aleatorias de la organización. De hecho, muchas notas de rescate incluyen una instrucción para pasar esta amenaza a las personas relevantes.
Como resultado, las organizaciones deben educar proactivamente a sus empleados sobre los peligros de los ataques de rescate DDoS, y qué hacer en caso de que una nota de rescate les llega. Es útil configurar una dirección de correo electrónico central o una persona de contacto que se sabe que es responsable de la seguridad de la red y explicar que todas las amenazas relevantes deben transmitirse a ellos.
Establecer un propietario claro y comunicar información relevante temprano y rápidamente puede ayudar en gran medida a la organización a estar preparada en caso de una nota de rescate DDoS y reducir drásticamente el riesgo de un ataque.
Compruebe si hay un ataque previo al cursor
Muchas notas de rescate incluyen la amenaza de un ataque pre-cursor más pequeño, supuestamente para demostrar las capacidades de los atacantes y la viabilidad de la amenaza de rescate.
Esta es la razón por la que es importante comprobar los registros de red en busca de picos de tráfico indicativos de un pequeño ataque DDoS. Estos registros normalmente pueden ser comprobados por el equipo de red de la organización, el equipo de seguridad, el ISP o el proveedor de seguridad en la nube.
Si bien es la recomendación de Radware no pagar el rescate en caso de ataque, la evidencia de un ataque previo al cursor puede indicar la viabilidad de la amenaza, y cómo se debe preparar el objetivo.
[También te puede gustar: 5 mitos sobre DDoS en 2020]
Tenga en cuenta que la evidencia (o ausencia) de un ataque previo al cursor no significa necesariamente que un ataque seguirá o no. Radware ha visto casos en los que no hubo ningún ataque previo al cursor a pesar de la amenaza de uno, y otros casos en los que hubo evidencia de un ataque previo al cursor, pero un ataque más grande nunca siguió. Sin embargo, buscar signos de un ataque pre-cursor puede ser un indicador útil en cuanto a la gravedad de la amenaza.
Alerte a su proveedor de seguridad
Independientemente de la gravedad del riesgo, debe alertar a su proveedor de seguridad sobre la amenaza y hacer que supervisen conjuntamente la actividad de ataque con usted.
Alertar a su proveedor de seguridad puede darles tiempo para prepararse, supervisar el tráfico más de cerca y aplicar mecanismos de seguridad adicionales, en caso de que sean necesarios.
Si aún no tiene una solución de depuración DDoS dedicada, ahora también es un buen momento para considerar la implementación de una.
[También te puede gustar: Cómo recuperarse de un ataque DDoS]
Manténgase vigilante
Por último, no hay sustituto para mantener la vigilancia. Los ataques DDoS pueden venir en cualquier momento, ya sea que vayan acompañados de una nota o no. Sin embargo, una nota de rescate DDoS aumenta el riesgo y refuerza la necesidad de protección integral contra los ataques DDoS.
Utilice esta amenaza como una oportunidad para aplicar algunas medidas de mejores prácticas para la protección DDoS:
- Haga una lista de todos los activos expuestos, como aplicaciones, direcciones IP, servidores, centros de datos y ubicaciones
- Priorizar la lista de activos a proteger y evaluar qué activos son de misión crítica y requieren protección adicional
- Formular y ejecutar un plan de respuesta DDoS, con pasos predefinidos de qué hacer antes, durante y después de un ataque
- Implemente protecciones DDoS dedicadas respaldadas por un proveedor líder de protección DDoS, que tiene las capacidades y la experiencia de manejar ataques grandes y sofisticados
- Verifique los SLA de protección DDoS y asegúrese de que su proveedor de seguridad se compromete (y avanza) a una protección significativa
Una nota de rescate DDoS no es un asunto de risa y debe tomarse con toda seriedad. Sin embargo, el ejercicio de estas pocas medidas de sentido común puede ayudar en gran medida con la preparación y respuesta adecuadas, si la amenaza es seguida por un ataque DDoS.