En un ataque de denegación de servicio distribuido (DDoS) de rescate, agentes maliciosos intentan extorsionar al amenazar con derribar las propiedades web o las redes de sus objetivos.
Después de leer este artículo podrás:
Contenido relacionado
¿Qué es un ataque DDoS?
Mitigación de DDoS
Cómo lanzar un ataque DDoS | Herramientas de ataque DoS y DDoS
¿Qué es una red de robots (botnet) de DDoS?
Ataques DDoS conocidos
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
Un ataque DDoS de rescate (RDDoS) es cuando agentes maliciosos intentan extorsionar a un individuo u organización amenazándoles con un ataque de denegación de servicio distribuido (DDoS). Dichos agentes maliciosos pueden llevar a cabo un ataque DDoS y luego enviar una nota de rescate exigiendo el pago para detener el ataque, o pueden enviar primero la nota de rescate amenazando con un ataque DDoS en caso de no hacerlo. En el segundo caso, puede que el atacante no sea capaz realmente de llevar a cabo el ataque, aunque no es prudente suponer que se trata de una amenaza vacía.
La mejor protección antes ataques DDoS de rescate es un servicio de mitigación de DDoS potente. Nunca es buena idea pagar el rescate a la persona o grupo que realiza las amenazas.
Un ataque DDoS es un intento de agotar los recursos de una aplicación, sitio web o red para que los usuarios legítimos no puedan recibir el servicio. Los ataques DDoS envían una avalancha de tráfico de red basura a sus objetivos, de forma parecida a un atasco de tráfico que obstruye una autovía. Los ataques DDoS son "distribuidos," lo cual quiere decir que envían tráfico desde diversas fuentes (con frecuencia, desde fuentes falsificadas), lo que hace que sean más difíciles de bloquear que un ataque de denegación de servicio (DoS) proveniente de una única fuente.
Los atacantes de DDoS usan diferentes protocolos de red. Lee sobre los diferentes tipos de ataques DDoS aquí.
Los ataques DDoS pueden tener un impacto importante en el funcionamiento de una organización. Para muchas empresas, cualquier tiempo de inactividad implica una pérdida de ingresos. Las organizaciones también pueden perder credibilidad si están desconectadas durante un periodo de tiempo prolongado.
La mayoría de los ataques DDoS de rescate empiezan con una nota de rescate enviada al objetivo en la que el atacante amenaza a la empresa u organización. En algunos casos, el atacante puede realizar un pequeño ataque de demostración para mostrar que el peligro es real antes de enviar la nota de rescate. Si la amenaza es real y el atacante decide llevarla a cabo, el ataque se realiza de la siguiente manera:
1. El atacante empieza por enviar un ataque de tráfico al objetivo. Puede utilizar su propia botnet o un servicio DDoS que haya contratado para llevar a cabo el ataque. Varias personas trabajando en equipo también pueden generar un ataque de tráfico con herramientas DDoS. El ataque de tráfico puede dirigirse a las capas 3, 4 o 7 del modelo OSI.
2. La aplicación o el servicio que sufre el ataque se ve desbordado por el ataque de tráfico, y se ralentiza o se bloquea por completo.
3. El ataque sigue hasta que se agotan los recursos del atacante, interrumpen el ataque por alguna otra razón o el objetivo es capaz de mitigar el ataque. Los métodos de mitigación incluyen limitación de velocidad, bloqueo de IP, enrutado de agujero negro o un servicio de protección contra DDoS; los tres primeros son difíciles de implementar contra ataques altamente distribuidos.
4. El atacante puede reiterar sus demandas de pago, realizar ataques posteriores o ambas cosas.
Más información sobre las cuestiones específicas de cómo se llevan a cabo los ataques DDoS.
Una nota de rescate DDoS es un mensaje enviado por un agente malicioso a una empresa exigiendo dinero y, si no lo hace, el agente malicioso llevará a cabo un ataque DDoS. Se suelen enviar por correo electrónico. En ocasiones, el atacante enviará varios mensajes, y cada uno de ellos revelará más detalles sobre sus amenazas o exigencias específicas.
La amenaza incluida en una nota de rescate DDoS puede adoptar diferentes formas:
Para que la amenaza parezca más peligrosa, el atacante puede afirmar que es capaz de llevar a cabo un ataque DDoS de cierto tamaño y duración. Estas afirmaciones no son necesariamente ciertas: el hecho de que alguien afirme ser capaz de realizar un ataque de 3 Tbps que dure 24 horas, no implica que realmente tenga los recursos para llevarlo a cabo.
Para dar más credibilidad a sus amenazas, el atacante puede sugerir que forma parte de conocidos grupos de "hackers", como Fancy Bear, Cozy Bear, the Lazarus Group, the Armada Collective, etc. Estas afirmaciones pueden ser ciertas, pero son difíciles de verificar. El atacante puede tirándose un farol o ser un imitador.
La nota de rescate exigirá el pago de alguna forma. Es habitual que se exija el pago en Bitcoin, pero el atacante también puede pedir el rescate en otra criptomoneda, o en una moneda de curso legal (dólares, euros, etc.). En un momento dado, acabarán pidiendo una cantidad de dinero concreta y darán instrucciones acerca de cómo entregar el dinero.
Por último, para añadir urgencia a su demanda y aumentar la probabilidad de que la víctima cumpla con sus requisitos, la nota de rescate puede incluir un plazo estricto para entregar el rescate antes de que comience el ataque, o para que el ataque en curso termine. Incluso, algunos atacantes añadirán que el importe del pago exigido aumentará cada hora o día que en el que se exceda el plazo fijado.
No. Aparte del hecho de que pagar el rescate implica dar dinero a delincuentes, el pago no garantiza que los atacantes cesen sus actividades. Al contrario, una organización que paga un rescate se convierte en un objetivo aún más jugoso: ha demostrado que está dispuesta a satisfacer las demandas de los atacantes y, por tanto, es más probable que también satisfaga futuras demandas.
Además, cuanto más dinero consiga un atacante, más capacidad tendrá de financiar sus actividades de extorsión, y se ampliarán sus capacidades para futuros ataques.
Por último, siempre está la posibilidad de que la amenaza no sea creíble y que la empresa haya pagado un rescate para nada.
Las empresas que reciban peticiones de rescate DDoS deben denunciarlo a las autoridades policiales correspondientes y establecer salvaguardias para defenderse ante posibles ataques, en caso de que los atacantes lleven a cabo sus amenazas. Cloudflare DDoS Protection es un ejemplo de servicio que puede proteger contra ataques DDoS de cualquier tamaño.
Hay que tomar en serio todas las amenazas a la seguridad. Sin embargo, no todas las amenazas DDoS de rescate son reales. Es muy fácil escribir y enviar un breve correo electrónico. Hacen falta muchos más recursos para mantener, gestionar y activar una gran red de dispositivos (lo que se conoce como botnet) para llevar a cabo grandes ataques DDoS.
Dicho esto, hay muchos servicios de DDoS por encargo en la dark web, y un atacante puede contratar alguno de estos servicios para llevar a cabo el ataque. Evidentemente, esto le cuesta dinero al atacante, el cual puede conseguir mediante amenazas de rescate DDoS.
Normalmente, los ataques DDoS de rescate son un juego de números. Tanto si la parte que pide el rescate es realmente capaz de llevar a cabo sus amenazas como si no, cuentan con que un pequeño porcentaje de sus objetivos pagará el rescate.
En vez de intentar evaluar la credibilidad de la amenaza, la opción más segura es utilizar un servicio de protección contra DDoS que pueda mantener una propiedad web o una red en línea pase lo que pase.
Todos los clientes de Cloudflare, incluyendo los clientes que no pagan, tienen acceso a la protección contra DDoS, que mitiga incluso los ataques de DDoS más grandes. Adicionalmente, Cloudflare Magic Transit protege la infraestructura de redes de los clientes de empresas de los ataques de DDoS de 3ª capa. La red de Cloudflare tiene 296 Tbps de capacidad, que es muchas veces mayor que los ataques de DDoS más grandes que se han registrado. Pese a que todas las amenazas de seguridad deberían registrarse y monitorizarse, este nivel de protección significa que los clientes de Cloudflare no tienen que preocuparse por las notas de rescate de DDoS y otras amenazas relacionadas con el DDoS.
Si tu organización ha recibido una nota de rescate, puedes contactar con Cloudflare aquí.
Los ataques de ransomware son otra forma típica de extorsión en línea. El ransomware es un software malicioso que encripta los sistemas y bases de datos de una organización, dejándolos inutilizables. Una vez se ha completado la encriptación, el atacante exigirá dinero a cambio de desencriptar los sistemas de la organización. El ransomware tiene que introducirse en los sistemas internos de una empresa o en la red de alguna manera; un vector de amenaza típico son los archivos adjuntos maliciosos en el correo electrónico, combinados con ataques de phishing.
A diferencia de un ataque de ransomware, un ataque DDoS de rescate no encripta los sistemas de una empresa, sino que simplemente pretende dejarlos fuera de servicio. Tampoco requiere que el atacante acceda a los sistemas internos de una empresa para poder llevarlo a cabo. Sin embargo, con una protección contra DDoS lo suficientemente fuerte, un ataque DDoS de rescate tiene poco o ningún efecto en el funcionamiento de una empresa.