Os ataques DDoS estão se tornando parte dos ataques de resgate. Em vez de se infiltrar em ativos organizacionais seguros, os invasores estão lançando ataques DDoS devastadores para demonstrar suas capacidades e exigir dinheiro de resgate. Entender a ameaça de resgate DDoS é essencial para construir um plano de mitigação eficaz.
Nossa história começa em agosto de 2020, e continua por mais de um ano, em três episódios. São eles:
Episódio I
Em agosto de 2020, testemunhamos a primeira onda de ataques de extorsão cibernética, em que o “grupo Lazarus” tinha como alvo organizações financeiras, de viagens e comércio eletrônico, enviando-lhes um e-mail de resgate, solicitando que as empresas pagassem 10 bitcoins (equivalente a US$ 100.000). Poucas horas depois de receber a mensagem, as organizações foram atingidas por ataques DDoS de mais de 200 Gbps, com duração de mais de nove horas, causando graves interrupções no serviço.
Em suas cartas (veja abaixo), os chantagistas deram às suas vítimas sete dias para comprar o bitcoin e pagar o resgate antes de lançarem seus ataques DDoS. No entanto, a cada dia de atraso o resgate aumentaria em 1 bitcoin.
Exemplo de imagem de uma carta que Fancy Lazarus enviou aos seus alvos.
[Gostou desta publicação? Inscreva-se agora para receber o conteúdo mais recente da Radware na sua caixa de entrada, toda semana, além de acesso exclusivo ao conteúdo premium da Radware. ]
Episódio II
Em janeiro de 2021, vimos uma segunda onda de extorsão. Os cibercriminosos enviaram novos e-mails de extorsão afirmando: “Talvez você tenha se esquecido de nós, mas nós não nos esquecemos de você. Estávamos ocupados trabalhando em projetos mais lucrativos, mas agora estamos de volta.” Dessa vez, eles pediram 5 bitcoin (o valor do Bitcoin ultrapassou US$ 30.000).
A lição é clara, não pague o resgate! Se você pagar, será alvo repetidamente... e assim continua.
Episódio III
A partir de junho de 2021, uma nova onda de campanhas de extorsão cibernética começou a atingir todos os setores, começando com ISPs e CSPs dinamarqueses e irlandeses. O grupo modificou seu nome para “Fancy Lazarus”. O resgate era muito menor e variava entre ₿0,5 (US$ 18.500), ₿2 (US$ 75.000) e ₿5 (US$ 185.000) por vítima – eles adaptaram o pedido de resgate ao tamanho da empresa – os ataques subsequentes foram de até 200 Gbps.
Com a evolução dos ataques DDoS, vimos novas táticas em que os invasores procuravam ativos desprotegidos, incluindo ativos de nuvem pública, serviços de DNS de ataque e links saturados. Isso demonstra que os invasores estavam se preparando com antecedência, aprendendo os pontos fracos das suas vítimas.
Relatos de vítimas impactadas por ataques subsequentes desta campanha de extorsão confirmam que a maioria contava com seu ISP ou CSP para se defender contra ameaças de DDoS. No entanto, eles não foram preparados para ataques DDoS em grande escala com diversos vetores de ataque, incluindo ataques DDoS de aplicação.
Leia: Almanaque do hacker: um guia de campo completo para entender táticas, técnicas e vetores de ataque usados pelos cibercriminosos.