Ransomware y Ransom DoS, similitudes y diferencias

0
159

This post is also available in: Inglés Francés Alemán Italiano Portugués, Brasil Ruso

Desde 2020, ransomware y ransom denial-of-service (RDoS) se han convertido en parte de los ataques ransomware y aparecen en los titulares de las noticias casi todas las semanas. Mientras que ransomware y ransom DoS tienen un objetivo común y algunas de sus tácticas se superponen, sus técnicas y porcentajes de éxito son muy diferentes; al igual que lo son la amenaza y el impacto potencial en las organizaciones. Con el paso del tiempo, a medida que las dos amenazas evolucionan, su reputación y técnica se han apalancado entre sí.

Ransomware

Los ataques ransomware aprovechan un malware de bloqueo criptográfico que destruye los sistemas e impide el acceso a los datos. El malware de bloqueo criptográfico debe implementarse en los servidores dentro de la organización. Los atacantes necesitan vulnerar la red o un dispositivo dentro de la red, y luego moverse lateralmente por toda la organización para afectar la mayor cantidad de sistemas y bloquear la mayor cantidad de datos posibles. Por lo general, el acceso inicial se obtiene de Initial Access Brokers, el intermediario que utiliza sus propios métodos para vulnerar y posicionarse en las redes, y luego vender dicho acceso a otros actores de amenazas, en su mayoría bandas de ransomware o sus afiliadas.

Los ataques ransomware dejan los sistemas inoperables y los datos inaccesibles. En muchos casos, se genera el riesgo potencial de filtración de datos.

Ransom DoS 

Los atacantes RDoS aprovechan los ataques de denegación de servicio para extorsionar a sus víctimas. Al interrumpir los servicios en línea, pueden impactar en el negocio, la reputación y la productividad de una organización. Los atacantes se dirigen a los recursos en línea, como los sitios web, servicios de nombre de dominio, APIs web, lobbies de juegos, etc., para dejar a los servicios en línea inoperables y afectar la reputación de las organizaciones. También pueden afectar la productividad de las organizaciones determinando como objetivo la voz, el correo electrónico y el acceso remoto, tanto en las instalaciones como los de los trabajadores remotos. Otros objetivos incluyen la conectividad a Internet requerida para acceder a las aplicaciones en la nube, las plantas de producción, que dependen de la conectividad para las operaciones remotas y en la nube como el intercambio de datos de logística con las aplicaciones de planificación de recursos y organizaciones externas.

Es importante tener en cuenta que, a diferencia de los ataques ransomware, RDoS y DDoS, no suelen vulnerar las redes o los sistemas. Durante los ataques, no se comprometen ni roban datos.

Un ataque RDoS comienza con un mensaje privado del atacante; por ejemplo, de un proveedor de correo electrónico que amenaza la privacidad y pide el pago de un monto de rescate para impedir que la organización se convierta en el blanco de un nuevo ataque. Si la organización decide no pagar dentro del plazo determinado, los atacantes iniciarán un ataque de DDoS y continuarán hasta que se les pague. En general, el monto de rescate aumenta cada día que la víctima se rehúsa a pagar.

En realidad, los ataques de DDoS tienden a desaparecer tan pronto como el actor se da cuenta de que sus intentos se están mitigando con éxito. Durante varias horas, cambian los vectores para intentar evadir los sistemas de detección y mitigación, y los pueden repetir tras varios días de intentos fallidos; pero, finalmente, los extorsionistas se ven obligados a retirarse con las manos vacías.

[También puede interesarte: Why Understanding Cyber Criminals Behavior and Tools is Vital (Por qué entender el comportamiento y las herramientas de los ciberdelincuentes es crucial)]

(Estadísticas de 2021, todos los montos están en dólares) Ransomware Ransom DoS 
Objetivo Ganancia financiera Ganancia financiera 
Táctica Extorsión Extorsión 
Técnica primaria Bloqueo criptográfico DDoS 
Impacto Permanente (hasta la recuperación) Transitorio (mientras dura el ataque) 
Moneda de rescate Bitcoin Bitcoin 
Demanda de rescate promedio Promedio de $ 5,3 millones [1] $ 5000 hasta $ 1 millón [2] 
Pago promedio de rescate $ 570.000  ~ $ 0,0  
El mayor pago $ 40 millones [3] $ 6000 en 2015 [7] 
Tasa de éxito 70% [4] Muy baja 
Costo estimado del daño Promedio de $ 1,85 millones [5] $ 9 a $ 12 millones [6] 
Defensa Defensa en profundidad, segmentación para limitar el impacto, pero no una solución mágica Servicio de protección contra DDoS adecuado  

Extorsión triple de ransomware

Las técnicas que aprovechan los operadores de ransomware han evolucionado y se han diversificado para aumentar su potencial de alcanzar el objetivo. A medida que las víctimas se preparaban mejor y las copias de seguridad estaban disponibles para restaurar y recuperarse del malware de bloqueo criptográfico, los operadores de ransomware comenzaron a filtrar datos confidenciales que les darían más influencia sobre la víctima. Si la víctima aún no estaba impresionada, los operadores comenzaron a amenazar con ataques de DDoS y presionaron a sus víctimas para que volvieran a la mesa de negociación.

Une image contenant texte, équipement électronique, CD, périphérique

Description générée automatiquement

Actores de Ransom DoS que se hacen pasar por bandas de Ransomware

El éxito, impacto y drama que rodean a las bandas ransomware no han pasado desapercibidos para otros delincuentes. En una de las campañas de RDoS reciente contra los proveedores de VoIP en el Reino Unido y Canadá, los actores se presentaron como ‘REvil,’ una banda infame responsable de los ataques devastadores de JBS S.A. y Kaseya Ltd. Al igual que los operadores de ransomware que anunciaban nuevas víctimas en los blogs en las zonas oscuras, estos actores de RDoS, ‘REvil’, compartieron su carta de rescate a través de Pastebin y extorsionaron a una de sus víctimas, Voip.ms, en público en Twitter, con el fin de aumentar la presión en la víctima.

Une image contenant texte

Description générée automatiquement

Figura 1: Actor que se presenta como ‘REvil’ expone sus amenazas en Twitter

[También puede interesarte: How to Respond to a DDoS Ransom Note (Cómo responder una nota de rescate de DDoS Ransom)]

Une image contenant texte, capture d’écran, moniteur, écran

Description générée automatiquement

Figura 2: captura de pantalla de la carta de rescate compartida públicamente en Pastebin por un actor de RDoS conocido como ‘REvil’

Defensa contra Ransomware y Ransom DoS

Hablando por mi experiencia personal, aún me falta ver un ataque de DDoS que derribe nuestras defensas. Dicho esto, siempre hay una pequeña ventana de tiempo en la que el tráfico malicioso tiene la posibilidad de filtrarse mientras los algoritmos de detección preparan las firmas automatizadas para bloquear el tráfico malicioso y evitar los falsos positivos que bloquearían el tráfico legítimo. Pero en general, no hay, en mi experiencia, ninguna razón para pagar el rescate cuando se está protegido por un servicio de DDoS adecuado.

En cambio, defenderse contra un ataque ransomware es muy difícil, al igual que eliminarlo. Los operadores de ransomware han estado organizando sus ecosistemas en la zona oscura y reunido mucha información de los hackers-for-hire y sus afiliadas, que están felices de compartir las ganancias de sus grandes campañas de extorsión. El incentivo se ha vuelto muy grande, y la demanda de capacidades y recursos de hackeo en la zona oscura no ha parado de crecer desde que los operadores de ransomware han tenido éxito en sus campañas. Con los actores de amenazas altamente motivados por los pagos de los grupos de ciberdelincuentes, los ataques han cambiado de automatizados a operados por seres humanos. Una cosa es defenderse contra la automatización y otra, mucho más difícil, contra la inteligencia y perseverancia humanas impulsadas por ganancias multimillonarias.

[¿Te gusta esta publicación? Subscríbete ahora para recibir el contenido más reciente de Radware en tu bandeja de entrada todas las semanas, además de acceso exclusivo al contenido Premium de Radware].

Notas al pie y referencias

  1. Extortion Payments Hit New Records as Ransomware Crisis Intensifies (Los pagos de extorsión alcanzan nuevos récords a medida que se intensifica la crisis de ransomware) (paloaltonetworks.com) 
  2. Las demandas de rescate varían. En 2020, las campañas pedían hasta 20 BTC, mientras que las más recientes llevadas a cabo por un actor que se presentó como ‘The Cursed Partriarch’ (El Partriaca Maldito) se conformó con apenas 0,06 BTC. 
  3. 81 Ransomware Statistics, Data, Trends and Facts for 2021 | Varonis 
  4. Estudio: 70 Percent of Businesses Hit with Ransomware Paid the Ransom | Healthcare Innovation (El 70 por ciento de las empresas afectadas por ransomware pagaron el rescate | Innovación en el cuidado de la salud)  (hcinnovationgroup.com) 
  5. The True Cost of Ransomware (El verdadero costo del ransomware) (backblaze.com) 
  6. Bandwidth.com expects to lose up to $12M following DDoS extortion attempt – The Record by Recorded Future (Bandwidth.com espera perder hasta 12 millones de dólares tras intento de extorsión DDoS) – The Record by Recorded Future (El registro de Recorded Future) 
  7. Update regarding the DDoS attack (Actualización sobre el ataque DDoS) – ProtonMail Blog 
Artículo anterior¿Tu solución de protección contra DDoS te defiende contra los ataques más recientes?
Artículo siguienteInvestigadores de amenazas de Radware en vivo: Ep.16
As the Director, Threat Intelligence for Radware, Pascal helps execute the company's thought leadership on today’s security threat landscape. Pascal brings over two decades of experience in many aspects of Information Technology and holds a degree in Civil Engineering from the Free University of Brussels. As part of the Radware Security Research team Pascal develops and maintains the IoT honeypots and actively researches IoT malware. Pascal discovered and reported on BrickerBot, did extensive research on Hajime and follows closely new developments of threats in the IoT space and the applications of AI in cyber security and hacking. Prior to Radware, Pascal was a consulting engineer for Juniper working with the largest EMEA cloud and service providers on their SDN/NFV and data center automation strategies. As an independent consultant, Pascal got skilled in several programming languages and designed industrial sensor networks, automated and developed PLC systems, and lead security infrastructure and software auditing projects. At the start of his career, he was a support engineer for IBM's Parallel System Support Program on AIX and a regular teacher and presenter at global IBM conferences on the topics of AIX kernel development and Perl scripting.

Dejar respuesta

Please enter your comment!
Please enter your name here