Prólogo de un ataque DDoS de rescate en tres episodios
This post is also available in:
Inglés 
Francés 
Alemán 
Italiano 
Portugués, Brasil 
Ruso
Los ataques DDoS se están convirtiendo en parte de los ataques de rescate. En lugar de infiltrarse en los activos protegidos de la organización, los atacantes lanzan ataques DDoS devastadores para demostrar sus capacidades y pedir dinero de rescate. Comprender la amenaza de los ataques DDoS de rescate es esencial para desarrollar un plan de mitigación eficaz.
Nuestra historia comienza en agosto de 2020, y continúa por más de un año con tres episodios. Los episodios son:
Episodio I
En agosto de 2020, fuimos testigos de la primera ola de ataques cibernéticos de extorsión, en los que el ‘Grupo Lazarus’ apuntaba a organizaciones financieras, de viajes y de comercio electrónico enviándoles un correo electrónico de rescate que solicitaba a las empresas que pagaran 10 bitcoins (que eran alrededor de $ 100.000). Unas pocas horas después de recibir el mensaje, las organizaciones sufrían ataques DDoS de más de 200 Gbps, que duraban más de nueve horas y causaban una interrupción grave del servicio.
En sus cartas (ve abajo), los extorsionistas les daban a sus víctimas siete días para comprar los bitcoins y pagar el rescate antes de lanzar sus ataques DDoS. No obstante, cada día de demora aumentaba el rescate en 1 bitcoin.
Imagen de ejemplo de la carta que Fancy Lazarus enviaba a sus objetivos.
Episodio II
En enero de 2021, vimos una segunda ola de extorsiones. Los ciberdelincuentes enviaron nuevos correos electrónicos de extorsión que decían: “Tal vez, ustedes nos olvidaron, pero nosotros no nos olvidamos de ustedes. Estábamos ocupados trabajando en proyectos más rentables, pero ya estamos de vuelta”. Esta vez pidieron 5 bitcoins, (el valor del bitcoin excedía los $ 30.000).
La lección quedó clara, ¡no pagues el rescate! Si pagas, volverás a ser un objetivo una y otra vez… y así continuará.
Episodio III
Desde junio de 2021, una nueva ola de campañas de extorsión cibernética comenzó a atacar a todos los sectores, comenzando con los proveedores de servicios de Internet (ISPs) y de servicios en la nube (CSPs) daneses e irlandeses. El grupo cambió su nombre a ‘Fancy Lazarus’. El rescate fue mucho menor y varió según la víctima entre ₿ 0,5 (USD 18.500), ₿ 2 (USD 75.000) y ₿ 5 (USD 185.000): adaptaron la demanda de rescate al tamaño de la empresa. Los ataques posteriores fueron de hasta 200 Gbps.
A medida que los ataques DDoS han evolucionado, hemos visto nuevas tácticas en las que los atacantes buscan activos desprotegidos, incluidos los activos en la nube pública, atacando los servicios de nombre de dominio (DNS) y saturando los enlaces. Esto demuestra que los atacantes se estaban preparando desde antes y aprendiendo los puntos débiles de sus víctimas.
Los informes de las víctimas afectadas por los ataques posteriores a esta campaña de extorsión confirman que la mayoría confiaba en su ISP o CSP para defenderse de las amenazas de DDoS. No obstante, no estaban preparados para los ataques DDoS a gran escala con diferentes vectores, incluidos los ataques DDoS a las aplicaciones.
También puede interesarte: Hacker’s Almanac: una guía de campo para comprender las tácticas, técnicas y vectores de ataque utilizados por los ciberdelincuentes
