Ransomware e DoS de resgate, por que são semelhantes, porém diferentes

0
153

This post is also available in: Inglês Francês Alemão Italiano Espanhol Russo

Desde 2020, ransomware e negação de serviço de resgate (ransom denial-of-service, RDoS) tornaram-se onipresentes, com ataques de ransomware ganhando manchetes quase todas as semanas. Embora o ransomware e o DoS de resgate tenham um objetivo comum e algumas de suas táticas se sobreponham, suas técnicas e taxa de sucesso são bem diferentes, assim como a ameaça e o impacto potencial para as organizações. Com o tempo, à medida que as duas ameaças evoluíram, elas foram aproveitando a reputação e as técnicas cruzadas.

Ransomware

Os ataques de ransomware aproveitam um malware com bloqueio por criptografia que destrói sistemas e torna os dados inacessíveis. O malware de bloqueio com criptografia precisa ser implantado em servidores dentro da organização. Os invasores precisam violar a rede ou um dispositivo dentro da rede e, em seguida, mover-se lateralmente pela organização para impactar o maior número possível de sistemas e bloquear o máximo de dados possível. O acesso inicial é normalmente fornecido pelos Initial Access Brokers (mediadores de acesso inicial), os intermediários que usam seus próprios métodos para invadir e ganhar uma posição nas redes e depois vendem esse acesso a outros agentes de ameaças, principalmente gangues de ransomware ou suas afiliadas.

Os ataques de ransomware tornam os sistemas inoperantes e os dados inacessíveis. Em muitos casos, os dados confidenciais são extraídos com um risco potencial de vazamento de dados.

DoS de resgate 

Os invasores RDoS aproveitam os ataques de negação de serviço para extorquir suas vítimas. Ao interromper os serviços online, eles podem afetar os negócios, a produtividade e a reputação de uma organização. Os invasores têm como alvo recursos online, como sites, serviços de nomes de domínio, APIs da Web, lobbies de jogos, etc., para tornar os serviços online inoperantes e impactar a reputação de uma organização. Também podem afetar a produtividade das organizações tendo como alvo acesso por voz, e-mail e remoto em filiais ou de funcionários remotos. Outros alvos incluem conectividade com a Internet necessária para acessar aplicações em nuvem, plantas de produção que dependem de conectividade para operações remotas e da nuvem para troca de dados logísticos com aplicativos de planejamento de recursos e organizações externas.

É importante observar que, ao contrário dos ataques de ransomware, os ataques RDoS e DDoS em geral não violam redes ou sistemas. Nenhum dado é roubado ou comprometido durante os ataques.

Um ataque RDoS começa com o invasor enviando uma mensagem privada, por exemplo, por e-mail usando um provedor de e-mail voltado para a privacidade, solicitando o pagamento de um determinado valor de resgate para evitar que uma organização se torne o alvo do seu próximo ataque. Se uma organização decidir não pagar dentro de um prazo definido, os invasores iniciarão um ataque DDoS e continuarão até que o resgate seja pago. Normalmente, o pedido de resgate aumenta a cada dia que a vítima se recusa a pagar.

Na realidade, os ataques DDoS tendem a desaparecer assim que o agente descobre que suas tentativas foram mitigadas com sucesso. Eles duram várias horas, mudam de vetores tentando escapar dos sistemas de detecção e mitigação, podem surgir novamente vários dias após tentativas fracassadas, mas, no final, os extorsionários são forçados a sair de mãos vazias.

[Você também pode se interessar por: Por que é vital entender o comportamento e as ferramentas dos cibercriminosos]

(estatísticas de 2021, todas as moedas em USD) Ransomware DoS de resgate 
Objetivo Ganho financeiro Ganho financeiro 
Tática Extorsão Extorsão 
Técnica primária Bloqueio por criptografia DDoS 
Impacto Permanente (até ser recuperado) Transiente (enquanto durar o ataque) 
Moeda de resgate Bitcoin Bitcoin 
Pedido médio de resgate Por volta de US$ 5,3 milhões [1] De US$ 5.000 até US$ 1 milhão [2] 
Pagamento médio de resgate US$ 570.000  ~ US$ 0,0  
Maior pagamento US$ 40 milhões [3] US$ 6.000 em 2015 [7] 
Taxa de sucesso 70% [4] Muito baixa 
Custo estimado dos danos Média de US$ 1,85 milhão [5] De US$ 9 a US$ 12 milhões [6] 
Defesa Defesa profunda, segmentação para limitar o impacto, mas sem solução mágica Serviço de proteção DDoS adequado  

Ransomware de extorsão tripla

As técnicas aproveitadas pelos operadores de ransomware evoluíram e se diversificaram para aumentar o potencial de atingir seu objetivo. À medida que as vítimas se preparavam melhor e os backups ficavam prontamente disponíveis para restauração e recuperação de malware com bloqueio por criptografia, os operadores de ransomware começaram a exfiltrar dados confidenciais que lhes dariam mais vantagem sobre a vítima. Se a vítima ainda não ficasse impressionada, os operadores começavam a ameaçar com ataques DDoS e pressionavam suas vítimas a voltarem às negociações.

Une image contenant texte, équipement électronique, CD, périphérique

Description générée automatiquement

Agentes de DoS de resgate se fazendo passar por gangues de ransomware

O sucesso, o impacto e o drama em torno das gangues de ransomware altamente visíveis não escaparam da atenção de outros criminosos. Em uma das recentes campanhas de RDoS visando provedores de VoIP no Reino Unido e Canadá, os agentes se apresentaram como “REvil”, uma infame gangue de ransomware responsável pelos ataques devastadores à JBS SA e Kaseya Ltd. Semelhante aos operadores de ransomware anunciando novas vítimas em blogs clandestinos, os agentes de RDoS se passando por “REvil” compartilharam sua carta de resgate pelo Pastebin e extorquiram uma de suas vítimas, Voip.ms, em público no Twitter, com o objetivo de aumentar a pressão sobre a vítima.

Une image contenant texte

Description générée automatiquement

Figura 1: Agente se fazendo passar por “REvil” expondo publicamente suas ameaças no Twitter

[Você também pode se interessar por: Como responder a uma nota de resgate de DDoS]

Une image contenant texte, capture d’écran, moniteur, écran

Description générée automatiquement

Figura 2: Captura de tela de carta de resgate compartilhada publicamente no Pastebin pelo agente de RDoS fazendo-se passar por “REvil”.

Defendendo-se contra ransomware e DoS de resgate

Falando por experiência pessoal própria, ainda não vi um ataque DDoS que atravesse nossas defesas. Dito isso, sempre há uma pequena janela de tempo em que o tráfego ruim pode vazar enquanto os algoritmos de detecção estão criando assinaturas automatizadas para bloquear o tráfego ruim e ajustar as assinaturas para evitar falsos positivos que bloqueariam o tráfego legítimo. Mas, em geral, não há, na minha experiência, motivo para pagar o resgate quando protegido por um serviço DDoS adequado.

O ransomware, por outro lado, é uma ameaça muito difícil de se defender e eliminar. Os operadores de ransomware vêm organizando seus ecossistemas clandestinos e reunindo muitos seguidores de hackers-for-hire qualificados e afiliados que ficam felizes em compartilhar os lucros de grandes campanhas de extorsão. O incentivo se tornou muito grande e a demanda por habilidades e recursos de hackers na clandestinidade vem crescendo desde que os operadores de ransomware tiveram campanhas bem-sucedidas. Com agentes de ameaças altamente motivados procurando pagamentos de grupos organizados de crimes cibernéticos, os ataques passaram de ataques automatizados para ataques operados por humanos. Uma coisa é defender-se contra a automação, mas muito mais difícil é defender-se contra a inteligência e a perseverança humanas motivadas por pagamentos multimilionários.

[Gostou dessa publicação? Inscreva-se agora para receber o conteúdo mais recente da Radware na sua caixa de entrada, toda semana, além de acesso exclusivo ao conteúdo premium da Radware.]

Notas de rodapé e referências

  1. Extortion Payments Hit New Records as Ransomware Crisis Intensifies (Pagamentos de extorsão atingem novos recordes à medida que a crise de ransomware se intensifica) (paloaltonetworks.com) 
  2. Os pedidos de resgate flutuam, as campanhas em 2020 pediram até 20 BTC, enquanto as campanhas mais recentes de um agente se passando por “Patriarca Amaldiçoado” se estabeleceram por apenas 0,06 BTC 
  3. 81 Ransomware Statistics, Data, Trends and Facts for 2021 | Varonis (81 estatísticas, dados, tendências e fatos de ransomware para 2021) 
  4. Estudo: 70% das empresas atingidas por ransomware pagaram o resgate | Inovação na área da saúde (hcinnovationgroup.com) 
  5. The True Cost of Ransomware (backblaze.com) (O verdadeiro custo do ransomware) 
  6. Bandwidth.com expects to lose up to $12M following DDoS extortion attempt – The Record by Recorded Future (Bandwidth.com espera perder até US$ 12 milhões após tentativa de extorsão DDoS – The Record by Recorded Future) 
  7. Atualização sobre o ataque DDoS – Blog ProtonMail 
Previous articleA sua solução de proteção DDoS protege contra os ataques mais recentes?
Next articlePesquisadores de ameaças da Radware ao vivo: Ep.16
As the Director, Threat Intelligence for Radware, Pascal helps execute the company's thought leadership on today’s security threat landscape. Pascal brings over two decades of experience in many aspects of Information Technology and holds a degree in Civil Engineering from the Free University of Brussels. As part of the Radware Security Research team Pascal develops and maintains the IoT honeypots and actively researches IoT malware. Pascal discovered and reported on BrickerBot, did extensive research on Hajime and follows closely new developments of threats in the IoT space and the applications of AI in cyber security and hacking. Prior to Radware, Pascal was a consulting engineer for Juniper working with the largest EMEA cloud and service providers on their SDN/NFV and data center automation strategies. As an independent consultant, Pascal got skilled in several programming languages and designed industrial sensor networks, automated and developed PLC systems, and lead security infrastructure and software auditing projects. At the start of his career, he was a support engineer for IBM's Parallel System Support Program on AIX and a regular teacher and presenter at global IBM conferences on the topics of AIX kernel development and Perl scripting.

LEAVE A REPLY

Please enter your comment!
Please enter your name here