Casi la mitad (44%) de las organizaciones han sido objeto o han sido víctimas de un ataque de denegación de servicio distribuido relacionado con el rescate (RDDoS) en los últimos 12 meses, según una encuesta realizada a 313 profesionales de la ciberseguridad por el Consejo Internacional de Seguridad de Neustar (NISC).
Además, según el informe 2021 DDoS Threat Landscape Report de Imperva, las amenazas de DDoS por rescate (RDoS) están en aumento. Los hallazgos indican que los extorsionistas han exigido el pago en BitCoin para evitar los ataques DDoS. Pero, ¿habías escuchado el término “RDDoS“? Seguramente no, así que empecemos por lo primero.
¿Qué es un Ataque de Extorsión DDoS (RDDoS)?
Un ataque de extorsión DDoS, también conocido como ataque de rescate DDoS (RDDoS), se produce cuando los ciberdelincuentes amenazan a personas u organizaciones con una incursión DDoS a menos que se pague una demanda de extorsión. Estas demandas exigen el pago en criptomoneda para evitar el rastreo por parte de las autoridades policiales.
Los ataques de extorsión DDoS/RDDoS no deben confundirse con los ataques de ransomware, en los que un software malicioso encripta los sistemas y bases de datos de una organización, impidiendo que los propietarios y usuarios legítimos accedan a ellos hasta que se pague el rescate.
¿Cómo Funciona un Ataque de Rescate DDoS?
Para ejecutar este ataque, los hackers inundan una red con grandes cantidades de tráfico entrante para sobrecargarla. En cuestión de minutos, el servidor se agota, impidiendo que la aplicación web funcione eficazmente. Los hackers crean una red “distribuida” de dispositivos que infectan con malware y envían peticiones a la aplicación objetivo. Hoy en día, los ciberatacantes pueden comprar servicios de botnet baratos en la web oscura para hacer lo mismo.
¿Cuáles son los Signos de un Ataque de Extorsión DDoS?
Los actores de la amenaza que están detrás de las campañas de extorsión DDoS utilizan varios métodos. Algunos ataques comienzan con un ataque DDoS demostrativo dirigido a un elemento específico de la infraestructura de prestación de servicios/aplicaciones en línea de una organización para demostrar que la amenaza es real. A este ataque limitado le sigue inmediatamente una nota de extorsión o un correo electrónico en el que se amenaza con un ataque mayor si no se efectúa el pago.
Otros ataques envían primero una nota de extorsión o un correo electrónico en el que se describe la amenaza para la empresa y se establece la demanda de extorsión, la forma de pago y el plazo de pago antes de lanzar el ataque. Los atacantes suelen afirmar que disponen de más de 3 Tbps de capacidad de ataque DDoS si no se satisfacen las demandas.
Es posible que los atacantes no lancen siempre los ataques amenazados, y que algunos ni siquiera tengan la capacidad de hacerlo, sin embargo, las organizaciones no deben confiar en la suposición de amenazas vacías.
Los ataques de extorsión DDoS suelen implicar uno o más de los siguientes vectores
- DNS
- NTP
- ARMS
- WS-DD
- SSDP
- Reflejo/amplificación de CLDAP
- Inundación SYN
- Inundación de paquetes GRE y ESP
- Inundaciones de ACK de TCP
- Ataques de reflexión/amplificación de TCP
- Protocolos IPv4 que lanzan ataques de inundación de paquetes
Como ocurre con todos los ataques DDoS una vez iniciados, los ataques combinados con extorsión DDoS se dirigen a una aplicación o servicio, abrumándolo con tráfico de ataque que finalmente ralentiza o bloquea el servicio por completo.
¿Por qué son Peligrosos los Ataques de Extorsión DDoS?
Un ataque de extorsión DDoS es como cualquier ataque DDoS en el sentido de que impide que las solicitudes legítimas de la red pasen, lo que puede interrumpir las operaciones, costar dinero y dañar la reputación del negocio. La sabiduría convencional dice que pagar la demanda de extorsión no es aconsejable porque no hay garantía de que los atacantes no vuelvan a exigir pagos adicionales en el futuro.
A excepción de los casos en los que se produce primero un ataque de demostración, es difícil saber si la amenaza es legítima. Los atacantes pueden alegar su afiliación a grupos de ataque conocidos que ya han recibido cobertura mediática para dar credibilidad a la amenaza de ataque. Dado que muchos profesionales de la seguridad han oído hablar de grandes ataques de grupos como “Armada Collective“, se cree que el hecho de atribuirse el nombre aumenta la urgencia de la amenaza, obligando así al objetivo a realizar el pago. Es importante señalar que las amenazas de imitación aún pueden ser reales.
La mayoría de las veces, los ciberatacantes han realizado un reconocimiento previo al ataque antes de lanzar su amenaza. Este tipo de sondeo busca puntos débiles que explotar, como aplicaciones y servicios de cara al público inadecuadamente protegidos. A veces, los ataques se dirigen a los proveedores de servicios. Al atacar a los ISP que suministran la conectividad a Internet, los atacantes pueden hacer que las organizaciones a las que se dirigen experimenten una interrupción significativa.
¿Cómo Pueden las Organizaciones Mitigar y Prevenir los Ataques de Extorsión DDoS?
Al igual que ocurre con la mayoría de los ataques DDoS, las organizaciones adecuadamente preparadas generalmente experimentan poco o ningún impacto negativo significativo relacionado con las campañas de extorsión DDoS. Los vectores de ataque DDoS y las técnicas de focalización son bien conocidos y pueden ser mitigados a través de contramedidas y protecciones DDoS estándar.
La mitigación de los ataques de rescate implica la protección de los servidores y equipos de red in situ mediante la adopción de las siguientes medidas:
- Las organizaciones con propiedades de Internet críticas para el negocio deben asegurarse de que se han implementado todas las mejores prácticas actuales relevantes de infraestructura de red, arquitectura y operación, incluyendo políticas de acceso a la red específicas para cada situación.
- Instalar un firewall de aplicaciones web: dado que este ataque se dirige a un servidor web, se pueden utilizar medidas de seguridad como un firewall de aplicaciones web.
- Los servicios auxiliares de apoyo críticos, como los Sistemas de Nombres de Dominio (DNS) autorizados, también deben diseñarse, desplegarse y operarse de manera coherente.
- Al recibir cualquier demanda de pagos de extorsión DDoS, las organizaciones objetivo deben comprometerse inmediatamente con sus pares/ISP de tránsito, otras organizaciones que proporcionan servicios críticos de cara a Internet (como los hosts de DNS autoritativos), y las organizaciones de aplicación de la ley situacionalmente apropiadas. Deben asegurarse de que sus planes de defensa contra DDoS están activados y validados, y mantener una postura de alerta vigilante.
- Las capacidades de mitigación de DDoS inteligentes orgánicas e in situ deben combinarse con servicios de mitigación de DDoS basados en la nube o en el tránsito para garantizar la máxima capacidad de respuesta y flexibilidad durante un ataque.
- Es imperativo que las organizaciones que operan propiedades y/o infraestructuras de Internet de misión crítica se aseguren de que todos los servidores, servicios, aplicaciones, almacenes de datos y elementos de infraestructura estén protegidos contra los ataques DDoS y se incluyan en pruebas periódicas y realistas del plan de mitigación DDoS de la organización.
Se cree que los mayores ataques DDoS por volumen hasta la fecha fueron el ataque de 2.5 terabytes por segundo (Tbps) contra Google en 2017 y el ataque de 2.3 Tbps que tuvo como objetivo a Amazon en 2018 . El advenimiento de 5G puede marcar el comienzo de ataques aún más viciosos.
Para los atacantes de RDoS, los riesgos son tan bajos y las recompensas tan altas que esperamos que sigan creciendo en frecuencia y complejidad. Asegúrate de que puedes detenerlo antes de que afecte a tu organización.
