Diferente do ransomware, o ataque ransom (RDoS) não acontece em massa como vimos recentemente o Wannacry e o Petya. Esses dois, são realizados por meio de vírus, e como pode ser lido neste outro artigo, se espalham rapidamente.
O RDoS é uma modalidade de ataque direcionado a um número menor de empresas, com ações controlados e prolongadas, práticas de chantagem, cujo objetivo é o ganho monetário rápido.
Infelizmente, tornou-se comum lermos notícias sobre empresas e órgãos públicos terem sofrido ataques que geram danos á sua rede e gastos co pagamentos de resgates.
Essa prática, que tem se tornado cada dia mais sofisticada, tende a aumentar. É importante saber como ela pode afetar seu negócio, e estar protegido é de extrema importância.
O ransom tem retornado com mais força.
Através de sua base de dados online, a Radware identificou um aumento dessa modaldide de ataque, o que tem relação direta com o aumento do valor de mercado do bitcoin, moeda utilizada para pagamento dos resgates.
Em se tratando de valores, os crimonosos são exigentes. Ataques realizados a instituições bancárias localizadas na Coreia do Sul demonstram esse aumento dos ataques e valores de resgate, que chegam a cifras superiores a US $300.000.
O banco ainda recebeu uma ameaça de dano à rede que interliga suas agências e a comunicação com os clientes se o valor exigido não fosse pago até 26/06/2017. Antes que o roubo das informações do banco, de fato, acontecesse.
O resgate de US $1.000.000,00
A escolha da Coréia do Sul para realização dos ataques não se deu por mera causalidade. No início de junho, a empresa Nayana, que faz hospedagem na web, pagou um resgate que atingiu a cifra de 397 bitcoins, equivalente à $1.000.000,00.
Eles foram infectados por um tipo de ransom chamado Erebus, utilizado para ataques a servidores Linux.
O que é RDoS (Ransom DoS)?
O RDoS é um ataque distribuído de negação de serviço (DDoS) que tem como motivação o rápido retorno financeiro. Esse tipo de ataque normalmente é anunciado através de notificação por e-mail ou post no Twitter.
Comunicam a empresa que acontecerá um ataque em determinado dia e hora, que pode ser evitado com o pagamento do valor solicitado.
Para demonstrar que não se trata de simples ameaça, os criminosos fazem um ataque rápido à rede da vítima.
Essa prática foi identificada como sendo criação do grupo criminoso DD4BC e utilizada, também, pelo Armada Collective. O que lhes rendeu uma taxa de “sucesso” alta no recebimento de resgates por causa dessa chantagem.
A consequência dessa ação foi a de permitir que diversos grupos de crimes cibernéticos identificassem que ela era efetiva e passassem a utilizá-la como modus operandi, espalhando ameaças e extorquindo pessoas e empresas, mesmo sem a intenção de lhes atacar de fato.
De acordo com o 2016-2017 Global Application and Network Security Report produzido pela Radware, dados confirmam que o resgate é a motivação nº 1 dos ataques.
Pequenas, médias e grandes empresas são alvos desses ataques. Já tratamos desse tema em outro artigo (saiba mais através desse link).
Quem é o Collective Armada?
Em 2014, surgiu um grupo especializada em extorsão cibernética chamado DD4BC. Este grupo tinha como alvo instituições mundo afora, atuando com ameaças de ataques DDoS se o resgate não fosse pago.
A caçada para prender esse tipo de criminoso exige mais dedicação e investimento da polícia, por questões de falta de rastreio do bitcoin, bem como das artimanhas utilizadas por eles através da internet.
Em dezembro de 2015, conseguiram prender dois membros do DD4BC, o que não impediu o crescimento dos ataques e ações do grupo.
Pouco antes dessa prisão, em setembro de 2015, surgiu o Collective Armada, com ações de ataques direcionados principalmente a bancos, empresas de e-commerce e Hospedagem na web localizadas, inicialmente na Rússia, Tailândia e Suíça.
02 meses depois o Collective Armada iniciou uma série de ataques aos seguintes serviços de e-mail: ProtonMail, NeomailBox, VFEmail, HushMail, FastMail, Zoho e Runbox.
Esses ataques tornou o grupo mais conhecido internacioalmente.
O Armada Collective adotou um padrão muito específico de chantagem e extorsão que deve ser levado à sério.
O grupo anuncia que o ataque será realizado, pede um pagamento antecipado, em bitcoin, claro. Logo em seguida, por um período entre 15 e 30 minutos executa um ataque, uma ameaça (espécie de demonstração do poder que tem na rede daquela empresa) e do que são capazes, se não for realizado o depósito no prazo imposto.
Copycats
Após notória queda no número de ataqueas RDoS, o grupo Armada Collective retornou à ativa com um novo método de ataque.
Dessa vez, a quantidade de empresas sendo atacadas ao mesmo tempo aumentou, assim como o dinheiro que eles exigiam das vítimas.
O medo espalhado pelo grupo e força que seu nome ganhou gerou em muitas empresas pânico de perder suas informações.
Isso permitiu ao Armada Colletive aumento exponencial no recebimento de pagamentos, mesmo sem o grupo realizar o ataque prévio.
O grupo, apesar do poder de invasão das empresas por meio de suas falhas de segurança, atuava somente através da chantagem.
RDoS em 2017
Outros grupos surgiram em 2017, fazendo vítimas na Alemanha e Estados Unidos, principalmente. Empresas como a DHL, Hermes, AldiTalk, Freenet e Snipes foram alvos de ataques desses grupos.
Aproveitando dessa fama adquirida por grupos como o Armada Collective, diversos grupos se formaram e passaram a comunicar ataques maliciosos.
Muitos eram falsos, como o Collective Meridian e o Fancy Bear, grupos que comunicavam diversos ataques e exigiam resgates. Porém, incapazes de realizar a invasão maliciosa quando as supostas vítimas não pagavam o que lhes fora pedido.
Vetores de ataque ransom
Muitos ataques de RDoS são executados com origem na rede própria dos grupos criminosos.
O alto volume de ataques e alvos, torna necessária a utilização de redes de origens diversas para alcance de seus objetivos.
Os ataques distribuídos de negação de serviço (DDoS) se baseam protocolos de rede para aconterem. Ou seja, o modo como se estabelecerá a comunicação para que as invasões possam ocorrer.
Alguns dos protocolos mais comuns, utilizados para execução das atividades criminosas são:
NTP (Network Time Protocol) : uma modalidade de ataque que envia um pacote de atualização dos relógios das máquinas afetadas. A quantidade de solicitações é capaz de afetar a rede, pelo grande volume de tráfego gerado gerado nela;
ICMP (Internet Control Message Protocol) : também gerador de grande volume de requisições para aumento de tráfego, essa modalide de ataque produz o envio de pacotes em massa ao ICMP de qualquer tipo (especialmente se forem para teste de latência – o conhecido “ping”) – sobrecarregando um servidor, já que ele tentará processar cada solicitação de entrada ICMP.
SYN: seguindo na mesma linha de geração de alto tráfego na rede, padrão de ataques de negação de serviço (DoS), o SYN flood é um método em que o criminoso envia uma sequência de requisições, gerando intencionalmente um protocolo errado e incompleto, e causando congestionamento da rede.
Como proceder em situações de iminente ataques ransom
A prevenção é sempre a melhor maneira de garantir a segurança da empresa, dos dados e integridade do negócio. Entretanto, muitas empresas identificam isso após um ataque.
E como já dissemos aqui neste artigo do blog da Tripla, a reparação de um dano, custa mais caro que a prevenção, sempre!
É praticamente impossível determinar se um pedido de resgate é sério ou simples blefe. Por isso repetimos que a prevenção é o melhor remédio!
Algumas dicas importantes a serem adotadas:
Neste outro artigo, falamos somente sobre prevenção contra ataques ransomware. Abaixo, deixamos algumas informaçõescomplementares sobre o comportamento dos criminosos:
- Grupos falsos, quando questionados repetidas vezes sobre qual valor deve ser pago, geralmente não respondem a mesma coisa. Isso é considerado um blefe, geralmente não atacarão, só querem seu dinheiro;
- Grupos falsos não executam ataque de ameaça para demonstrar que o não pagamento da quantia exigida lhe trará danos;
- Esses grupos não têm sites oficiais ou alvos conhecidos;
- Os hackers atuam com limite de até 12 ataques simultâneos;
- Apesar de parecer inocente, existe uma lista com grupos conhecidos de ataques e grupos que apenas blefam e contam com a sorte. Consulte a lista acima ou busque na internet em sites confiáveis a lista atualizada;
Não se sente seguro e precisa de mais informações sobre segurança do seu ambiente? Preencha os campos abaixo e aguarde o contato de um especialista!
Texto original: security.radware.com