La campaña de ransomware amenaza a las organizaciones con ataques DDoS


Todas las organizaciones que se comunicaron con el proveedor de seguridad Radware después de recibir una carta de extorsión sufrieron ataques de denegación de servicio distribuido.

«data-credit =» Igor Stevanovic, Getty Images / iStockphoto «rel =» noopener noreferrer nofollow «>istock-948533056.jpg

Igor Stevanovic, Getty Visuals / iStockphoto

Tradicionalmente, los ciberdelincuentes que comercian con ransomware capturarán y cifrarán datos confidenciales y luego exigirán un pago para descifrarlos. Pero los atacantes también utilizan otros tipos de amenazas para intentar obtener dinero de una organización victimizada. En una nueva campaña analizada por Radware, los ciberdelincuentes amenazan a las organizaciones con ataques de denegación de servicio distribuido (DDoS) a menos que accedan a sus demandas de rescate.

VER:
Ataques distribuidos de denegación de servicio (DDoS): una hoja de trucos

(TechRepublic)

Publicado el miércoles, una alerta de seguridad titulada «Actualización de la campaña DDoS Ransom 2020«describe cómo Radware y el FBI han estado advirtiendo a las organizaciones sobre una campaña world-wide de ransomware DDoS dirigida a compañías financieras y otras empresas de todo el mundo.

En esta campaña, las organizaciones reciben mensajes de extorsión de grupos criminales que se llaman «Extravagant Bear», «Armada Collective» y «Lazarus Group».

Las cartas advierten al destinatario que su red estará sujeta a un ataque DDoS en otra semana. En la fecha en que se envía el mensaje, la organización objetivo es realmente afectada por un pequeño ataque al que se hace referencia en la carta como prueba de que los delincuentes tienen la capacidad de llevar a cabo su amenaza.

El grupo promete no lanzar más ataques si la víctima paga el rescate, que comienza en 20 bitcoins (alrededor de $ 230,000) pero luego aumenta en 10 bitcoins cada día que no se paga el dinero. Si el pago no se recibe en una fecha límite específica, los atacantes le dan a la organización objetivo una «segunda oportunidad para reconsiderar antes de caer definitivamente». Si todavía no hay pago, los grupos prometen lanzar ataques DDoS extremadamente poderosos que alcanzan un máximo de más de dos terabits por segundo.

«Esto significa que sus sitios website y otros servicios conectados no estarán disponibles para todos», amenazan los delincuentes en su carta. «Tenga en cuenta también que esto dañará gravemente su reputación entre los clientes que utilizan los servicios en línea».

Los tres grupos diferentes tienen objetivos diferentes, según Radware. Lazarus Group es el nombre que se utiliza cuando el objetivo es una organización financiera. También conocido como «APT38» o «BeagleBoyz» por el Departamento de Patria Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), se cree que Lázaro tiene estrechos vínculos con el gobierno de Corea del Norte. Este grupo no suele depender de DDoS como vector de ataque, prefiriendo utilizar marcos de malware y redes y servidores de pago comprometidos.

Oso de lujo es el nombre del grupo que se utiliza para seleccionar empresas de los sectores de tecnología y fabricación. También conocido como «APT28» o «Grupo Sofacy», Extravagant Bear es un grupo de ciberespionaje ruso que, según se informa, está estrechamente vinculado a la agencia de inteligencia militar rusa GRU, patrocinada por el gobierno ruso. En lugar de buscar ganancias financieras, este grupo tiende a apuntar solo a organizaciones que están asociadas con agencias gubernamentales o políticas que buscan difundir la influencia política o el caos, dijo Radware.

Las cartas de extorsión de Armada Collective han utilizado un lenguaje diferente al enviado por Lazarus Team y Extravagant Bear. Todas estas letras han sido consistentes en su uso del inglés (incluso cortés al usar la palabra «por favor»). Las letras también han mejorado en calidad desde el principio al corregir algunos errores tipográficos y reformular ciertas oraciones para mayor claridad.

Qué hacer si eres una víctima

La amenaza es genuine. Todas las organizaciones que contactaron a Radware al recibir una de las cartas de extorsión fueron receptoras de ataques de seguimiento, como lo prometieron los grupos criminales. Según el tamaño y el alcance de la organización victimizada, los ataques han oscilado entre un par de gigabits por segundo y cientos de gigabits por segundo, en algunos casos hasta 300 Gbps. Aunque no tan severo como el ataque de 2 Tbps amenazado, los que se llevaron a cabo resultaron devastadores para muchas organizaciones.

Sin embargo, Radware aconseja a las organizaciones seleccionadas que no paguen el rescate, al menos no si tienen la protección adecuada contra DDoS. Las organizaciones que carecen de la protección necesaria deben encontrar un socio o proveedor confiable que lo ayude a reforzar sus defensas para que los ataques de seguimiento no interrumpan su negocio.

Protección eficaz

Además, Radware ofrece algunas recomendaciones sobre cómo proteger a su organización de los ataques DDoS.

  • Protección híbrida contra DDoS. La protección DDoS nearby y en la nube para la prevención de ataques DDoS en tiempo serious también aborda los ataques de alto volumen y protege de la saturación de la tubería.
  • Detección basada en el comportamiento. Esta detección puede identificar y bloquear anomalías de forma rápida y precisa al tiempo que permite el paso del tráfico legítimo.
  • Creación de firmas en tiempo actual. Esto puede protegerlo rápidamente de amenazas desconocidas y ataques de día cero.
  • Approach de respuesta a emergencias de ciberseguridad. Dicho prepare implica tener un equipo de emergencia dedicado de expertos que posean la experiencia con la seguridad de Internet de las cosas y puedan manejar los brotes de IoT.
  • Inteligencia sobre actores de amenazas activos. Esto proporciona datos de alta fidelidad, correlacionados y analizados para protección preventiva contra atacantes conocidos actualmente activos.

Ver también



Enlace a la noticia primary