Ransomware y Ransom DoS, similitudes y diferencias
This post is also available in: Inglés Francés Alemán Italiano Portugués, Brasil Ruso
Desde 2020, ransomware y ransom denial-of-service (RDoS) se han convertido en parte de los ataques ransomware y aparecen en los titulares de las noticias casi todas las semanas. Mientras que ransomware y ransom DoS tienen un objetivo común y algunas de sus tácticas se superponen, sus técnicas y porcentajes de éxito son muy diferentes; al igual que lo son la amenaza y el impacto potencial en las organizaciones. Con el paso del tiempo, a medida que las dos amenazas evolucionan, su reputación y técnica se han apalancado entre sí.
Ransomware
Los ataques ransomware aprovechan un malware de bloqueo criptográfico que destruye los sistemas e impide el acceso a los datos. El malware de bloqueo criptográfico debe implementarse en los servidores dentro de la organización. Los atacantes necesitan vulnerar la red o un dispositivo dentro de la red, y luego moverse lateralmente por toda la organización para afectar la mayor cantidad de sistemas y bloquear la mayor cantidad de datos posibles. Por lo general, el acceso inicial se obtiene de Initial Access Brokers, el intermediario que utiliza sus propios métodos para vulnerar y posicionarse en las redes, y luego vender dicho acceso a otros actores de amenazas, en su mayoría bandas de ransomware o sus afiliadas.
Los ataques ransomware dejan los sistemas inoperables y los datos inaccesibles. En muchos casos, se genera el riesgo potencial de filtración de datos.
Ransom DoS
Los atacantes RDoS aprovechan los ataques de denegación de servicio para extorsionar a sus víctimas. Al interrumpir los servicios en línea, pueden impactar en el negocio, la reputación y la productividad de una organización. Los atacantes se dirigen a los recursos en línea, como los sitios web, servicios de nombre de dominio, APIs web, lobbies de juegos, etc., para dejar a los servicios en línea inoperables y afectar la reputación de las organizaciones. También pueden afectar la productividad de las organizaciones determinando como objetivo la voz, el correo electrónico y el acceso remoto, tanto en las instalaciones como los de los trabajadores remotos. Otros objetivos incluyen la conectividad a Internet requerida para acceder a las aplicaciones en la nube, las plantas de producción, que dependen de la conectividad para las operaciones remotas y en la nube como el intercambio de datos de logística con las aplicaciones de planificación de recursos y organizaciones externas.
Es importante tener en cuenta que, a diferencia de los ataques ransomware, RDoS y DDoS, no suelen vulnerar las redes o los sistemas. Durante los ataques, no se comprometen ni roban datos.
Un ataque RDoS comienza con un mensaje privado del atacante; por ejemplo, de un proveedor de correo electrónico que amenaza la privacidad y pide el pago de un monto de rescate para impedir que la organización se convierta en el blanco de un nuevo ataque. Si la organización decide no pagar dentro del plazo determinado, los atacantes iniciarán un ataque de DDoS y continuarán hasta que se les pague. En general, el monto de rescate aumenta cada día que la víctima se rehúsa a pagar.
En realidad, los ataques de DDoS tienden a desaparecer tan pronto como el actor se da cuenta de que sus intentos se están mitigando con éxito. Durante varias horas, cambian los vectores para intentar evadir los sistemas de detección y mitigación, y los pueden repetir tras varios días de intentos fallidos; pero, finalmente, los extorsionistas se ven obligados a retirarse con las manos vacías.
(Estadísticas de 2021, todos los montos están en dólares) | Ransomware | Ransom DoS |
Objetivo | Ganancia financiera | Ganancia financiera |
Táctica | Extorsión | Extorsión |
Técnica primaria | Bloqueo criptográfico | DDoS |
Impacto | Permanente (hasta la recuperación) | Transitorio (mientras dura el ataque) |
Moneda de rescate | Bitcoin | Bitcoin |
Demanda de rescate promedio | Promedio de $ 5,3 millones [1] | $ 5000 hasta $ 1 millón [2] |
Pago promedio de rescate | $ 570.000 | ~ $ 0,0 |
El mayor pago | $ 40 millones [3] | $ 6000 en 2015 [7] |
Tasa de éxito | 70% [4] | Muy baja |
Costo estimado del daño | Promedio de $ 1,85 millones [5] | $ 9 a $ 12 millones [6] |
Defensa | Defensa en profundidad, segmentación para limitar el impacto, pero no una solución mágica | Servicio de protección contra DDoS adecuado |
Extorsión triple de ransomware
Las técnicas que aprovechan los operadores de ransomware han evolucionado y se han diversificado para aumentar su potencial de alcanzar el objetivo. A medida que las víctimas se preparaban mejor y las copias de seguridad estaban disponibles para restaurar y recuperarse del malware de bloqueo criptográfico, los operadores de ransomware comenzaron a filtrar datos confidenciales que les darían más influencia sobre la víctima. Si la víctima aún no estaba impresionada, los operadores comenzaron a amenazar con ataques de DDoS y presionaron a sus víctimas para que volvieran a la mesa de negociación.
Actores de Ransom DoS que se hacen pasar por bandas de Ransomware
El éxito, impacto y drama que rodean a las bandas ransomware no han pasado desapercibidos para otros delincuentes. En una de las campañas de RDoS reciente contra los proveedores de VoIP en el Reino Unido y Canadá, los actores se presentaron como ‘REvil,’ una banda infame responsable de los ataques devastadores de JBS S.A. y Kaseya Ltd. Al igual que los operadores de ransomware que anunciaban nuevas víctimas en los blogs en las zonas oscuras, estos actores de RDoS, ‘REvil’, compartieron su carta de rescate a través de Pastebin y extorsionaron a una de sus víctimas, Voip.ms, en público en Twitter, con el fin de aumentar la presión en la víctima.
Figura 1: Actor que se presenta como ‘REvil’ expone sus amenazas en Twitter
Figura 2: captura de pantalla de la carta de rescate compartida públicamente en Pastebin por un actor de RDoS conocido como ‘REvil’
Defensa contra Ransomware y Ransom DoS
Hablando por mi experiencia personal, aún me falta ver un ataque de DDoS que derribe nuestras defensas. Dicho esto, siempre hay una pequeña ventana de tiempo en la que el tráfico malicioso tiene la posibilidad de filtrarse mientras los algoritmos de detección preparan las firmas automatizadas para bloquear el tráfico malicioso y evitar los falsos positivos que bloquearían el tráfico legítimo. Pero en general, no hay, en mi experiencia, ninguna razón para pagar el rescate cuando se está protegido por un servicio de DDoS adecuado.
En cambio, defenderse contra un ataque ransomware es muy difícil, al igual que eliminarlo. Los operadores de ransomware han estado organizando sus ecosistemas en la zona oscura y reunido mucha información de los hackers-for-hire y sus afiliadas, que están felices de compartir las ganancias de sus grandes campañas de extorsión. El incentivo se ha vuelto muy grande, y la demanda de capacidades y recursos de hackeo en la zona oscura no ha parado de crecer desde que los operadores de ransomware han tenido éxito en sus campañas. Con los actores de amenazas altamente motivados por los pagos de los grupos de ciberdelincuentes, los ataques han cambiado de automatizados a operados por seres humanos. Una cosa es defenderse contra la automatización y otra, mucho más difícil, contra la inteligencia y perseverancia humanas impulsadas por ganancias multimillonarias.
Notas al pie y referencias
- Extortion Payments Hit New Records as Ransomware Crisis Intensifies (Los pagos de extorsión alcanzan nuevos récords a medida que se intensifica la crisis de ransomware) (paloaltonetworks.com)
- Las demandas de rescate varían. En 2020, las campañas pedían hasta 20 BTC, mientras que las más recientes llevadas a cabo por un actor que se presentó como ‘The Cursed Partriarch’ (El Partriaca Maldito) se conformó con apenas 0,06 BTC.
- 81 Ransomware Statistics, Data, Trends and Facts for 2021 | Varonis
- Estudio: 70 Percent of Businesses Hit with Ransomware Paid the Ransom | Healthcare Innovation (El 70 por ciento de las empresas afectadas por ransomware pagaron el rescate | Innovación en el cuidado de la salud) (hcinnovationgroup.com)
- The True Cost of Ransomware (El verdadero costo del ransomware) (backblaze.com)
- Bandwidth.com expects to lose up to $12M following DDoS extortion attempt – The Record by Recorded Future (Bandwidth.com espera perder hasta 12 millones de dólares tras intento de extorsión DDoS) – The Record by Recorded Future (El registro de Recorded Future)
- Update regarding the DDoS attack (Actualización sobre el ataque DDoS) – ProtonMail Blog