Durante a última semana de dezembro de 2020 e as primeiras semanas de janeiro de 2021, os clientes da Radware foram alvo de extorsão DDoS pela segunda vez em uma campanha global de resgates DDoS que começou em agosto. As organizações receberam novas cartas que começavam da seguinte forma (em tradução livre):
“Talvez você tenha esquecido de nós, mas nós não esquecemos de você. Estávamos ocupados trabalhando em projetos mais rentáveis, mas agora estamos de volta.”
As organizações que receberam essas cartas foram as mesmas empresas que receberam ameaças em agosto e setembro de 2020. A análise desta segunda onda de cartas sugere que o mesmo grupo de meados de 2020 está por trás dessas comunicações maliciosas.
- As organizações que receberam essas novas cartas não responderam/pagaram o pedido de resgate em meados de 2020;
- As empresas que receberam essas novas cartas não foram reveladas à mídia em meados de 2020, então apenas o ator de ameaça original conhecia essas empresas;
- A Radware está muito confiante de que as mesmas pessoas que fizeram as ameaças nessa campanha de 2020 ainda estão ativos hoje.
A carta de resgate continuou com:
“Pedimos que 10 bitcoins sejam pagos ao endereço bitcoin para evitar que toda a sua rede receba o ataque DDoS. Você está muito atrasado, e até o momento não recebemos o pagamento. Por quê? Qual é o problema? Você acha que pode mitigar nossos ataques? Você acha que foi uma brincadeira ou que vamos desistir? Você está errado.”
Aumento do bitcoin
Quando a campanha de extorsão DDoS começou em agosto de 2020, um único bitcoin valia cerca de US$ 10.000. No momento desta publicação, ele vale aproximadamente US$ 30.000. Isso foi citado pelos atacantes nesta última rodada de cartas de resgate e é representativo o impacto que o aumento do preço do Bitcoin terá no cenário de ameaças.
“Podemos facilmente derrubá-lo totalmente, mas considerando o tamanho da sua empresa, provavelmente custaria mais um dia sem a Internet do que o que estamos pedindo, então calculamos e decidimos tentar pacificamente novamente. E não estamos fazendo isso por vandalismo cibernético, mas para ganhar dinheiro, então estamos tentando facilitar a situação para ambos.
Seremos gentis e não aumentaremos sua taxa. Na verdade, como o preço do Bitcoin subiu mais de 100% desde a última vez, estamos reduzindo temporariamente a taxa para 5 BTC! Temporariamente. Sim, envie 5 BTC para nós e iremos embora!
Você pode nos pagar enviando para o mesmo endereço que informamos da última vez, ou se você precisar de um novo por qualquer motivo (privacidade, porque você provavelmente encaminhou nosso primeiro e-mail para agentes da lei): <novo endereço bitcoin>.”
A mensagem termina com:
“Lembre-se, nós nunca desistiremos. E sempre voltaremos, até sermos pagos. Uma vez pagos, tudo estará resolvido, e você nunca mais ouvirá falar de nós novamente – para sempre.”
O ataque
Poucas horas depois de receber a mensagem, as organizações foram atingidas por ataques DDoS que alcançaram mais de 200 Gbps e duraram mais de nove horas sem desaceleração ou interrupção. Um tamanho máximo de ataque de 237 Gbps foi registrado, com uma duração total de quase 10 horas. Os vetores de ataque usados ainda correspondem aos ataques originais do grupo e consistiam principalmente de fragmentos UDP, porta UDP 80 e tráfego DNS.
Razões para preocupação
- Campanhas de extorsão DDoS ou Resgate DDoS costumavam ocorrer de forma sazonal. Elas ocorriam anualmente por algumas semanas, antes que o autor da ameaça desistisse. Parece que não é mais o caso. A Extorsão DDoS tornou-se parte integrante do cenário de ameaças para organizações de quase todas as indústrias desde meados de 2020.
- Os autores das ameaças estão retornando aos alvos anteriores. Se sua organização já recebeu uma carta anteriormente, há uma grande chance de você receber uma nova carta.
- A perseverança, o tamanho e a duração do ataque nos fazem acreditar que este grupo foi bem-sucedido em receber pagamentos ou eles têm extensos recursos financeiros para continuar seus ataques.
Recomendação
Procure ajuda profissional para se proteger contra os ataques DDoS. A Radware aconselha fortemente a não pagar a extorsão. Não há garantia de que os ataques irão cessar, ou eles não voltarão com mais frequência após um primeiro pagamento. Normalmente, essa categoria de cibercriminosos está procurando altos ganhos financeiros. Saber que uma organização sucumbiu à ameaça os levará a ameaçar novamente no futuro.
Fundamentos eficazes para proteção contra DDoS
- Proteção DDoS híbrida – Proteção DDoS on-premise e em nuvem para prevenção de ataques DDoS em tempo real que também aborda ataques de alto volume e protege contra a saturação de pipes
- Detecção baseada em comportamento – Identificar e bloquear de forma rápida e precisa as anomalias, permitindo o tráfego legítimo
- Criação de assinatura em tempo real – Proteja-se rapidamente contra ameaças desconhecidas e ataques de zero-day
- Plano de Resposta a Emergências de Cibersegurança – Uma equipe de emergência dedicada, com especialistas que possuam experiência em segurança da Internet das Coisas e surtos de IoT
- Inteligência sobre Autores Ativos de Ameaças – dados de alta fidelidade, correlacionados e analisados para proteção preventiva contra atacantes conhecidos e atualmente ativos.
Para novas medidas de proteção de rede e aplicativos, a Radware recomenda fortemente que as empresas inspecionem e corrigam suas redes, a fim de se defenderem de riscos e ameaças.
Medidas essenciais eficazes de segurança de aplicações Web
- Cobertura total OWASP Top-10 contra desconfigurações, injeções, etc.
- Baixa taxa de falsos positivos usando modelos de segurança negativos e positivos para máxima precisão.
- Capacidades de geração automática de políticas para maior cobertura com o menor esforço operacional.
- Proteção debots e impressão digital de dispositivos para superar ataques IP dinâmicos e alcançar melhor detecção e bloqueio de bots.
- Proteger APIs filtrando caminhos, entendendo esquemas XML e JSON para mecanismos de imposição e rastreamento de atividades de rastreamento de bots e de proteção de recursos internos.
- Opçõesflexíveis de implantação on-premise, out-of-path, virtual ou baseada em nuvem.