Utilizzo delle minacce DDoS per ricattare le organizzazioni

Il recente aumento degli attacchi DDoS basati sul riscatto

Gli attacchi DDoS basati sul riscatto (RDDoS) e gli attacchi di estorsione mirati alle organizzazioni sono in aumento in tutto il mondo. Le minacce RDDoS non sempre si traducono in un attacco, ma i casi osservati negli ultimi mesi dimostrano che gli aggressori sono disposti a risolvere la minaccia; il lancio di attacchi DDoS su larga scala che possono sopraffare le organizzazioni senza una protezione adeguata.

In un attacco RDDoS, una parte malintenzionata minaccia una persona o un'organizzazione con un attacco informatico che potrebbe bussare le proprie reti, siti Web o applicazioni offline per un certo periodo di tempo, a meno che la persona o l'organizzazione non paghi un riscatto.

Secondo uno studio di Kaspersky Lab, il costo medio di un attacco DDoS per un'impresa è di 2 milioni di dollari. Inoltre, il 23% delle aziende dichiara di perdere ricavi o potenziali clienti e il 22% ha visto la propria reputazione danneggiata tra i clienti. Di fronte a queste possibili conseguenze, pagare un riscatto per eliminare la minaccia di un attacco DDoS può sembrare un'opzione praticabile. Pagare il riscatto non è mai una buona idea; fornisce solo risorse aggiuntive all'aggressore per compiere ancora più attacchi in futuro.

In qualità di leader nelle soluzioni di prevenzione DDoS, Cloudflare è in una posizione ideale per proteggere un'azienda da minacce RDDoS, e consiglia alle organizzazioni di adottare misure per proteggersi da questi tipi di attacchi.

La minaccia attuale

I tentativi di estorsione basati su DDOS vengono avviati quando le organizzazioni vittime ricevono messaggi minacciosi che richiedono il pagamento entro una determinata data e ora. Se rifiutano di pagare il riscatto o di rispettare la scadenza del pagamento, gli aggressori minacciano di eseguire un attacco DDoS contro le loro reti e le loro proprietà Web. In molti casi, il malintenzionato lancerà un attacco dimostrativo che serve a provare di avere la capacità di lanciare un attacco.

Cloudflare ha visto un recente picco nei clienti aziendali che segnalano attacchi RDDoS. I gruppi malintenzionati che rivendicano le attuali minacce degli attacchi RDDoS includono noti gruppi di "hacker" come Cozy Bear, Fancy Bear e Armada Collective.

Abbiamo riscontrato finte minacce di alcuni di questi gruppi in passato: aggressori che cercavano di guadagnare velocemente supponendo che una percentuale di organizzazioni che minacciano pagherà il riscatto, qualunque cosa accada. Gli attacchi recenti, tuttavia, hanno dimostrato che queste minacce possono e sono state eseguite, anche se le organizzazioni con mitigazione DDoS rimangono protette.

Come questi attacchi si allineano alle tendenze DDoS del 2020

Gli attacchi DDoS sono sempre una minaccia, ma negli ultimi anni si è assistito a un aumento di questo tipo di attività.Il numero di attacchi DDoS di livello 3 e di livello 4 osservati attraverso la rete Cloudflare è più che raddoppiato rispetto al trimestre precedente. Inoltre, Cloudflare ha assistito ad alcuni dei più grandi attacchi DDoS mai mitigati, tra cui uno che ha raggiunto un picco appena inferiore a 2 Tbps.

Questa tendenza è continuata anche nel 2022. Poiché gli attacchi DDoS continuano ad aumentare, non sorprende che anche i tentativi di estorsione RDDoS stiano crescendo in popolarità.

In seguito alla pandemia del COVID-19, le organizzazioni fanno affidamento più che mai sulla loro presenza online. Questa dipendenza da Internet rende le organizzazioni suscettibili alla minaccia di attacchi e le predispone all'estorsione. È chiaro che questi gruppi di malintenzionati sono alla ricerca di organizzazioni vulnerabili, indipendentemente dalle dimensioni o dal settore, poiché il profilo delle organizzazioni mirate varia ampiamente.

Chi è (presumibilmente) dietro queste minacce DDoS di riscatto?

I criminali dietro la recente ondata di attacchi DDoS di riscatto affermano di rappresentare alcuni gruppi diversi, tra cui Cozy Bear, Fancy Bear e Armada Collective. Anche se le loro affermazioni possono essere vere, sono difficili da verificare, ed è stata una pratica comune per i racketeers di estorsioni DDoS falsificare legami con noti gruppi di "hacker" per dare più peso alle loro minacce.

Armada Collective

I gruppi criminali hanno operato per molti anni con il nome "Armada Collective". Nel 2015, un gruppo chiamato "Armada Collective" ha eseguito diversi attacchi DDoS. Nel 2016, sono ricomparsi e hanno estorto denaro a diverse vittime minacciando attacchi DDoS, affermando di essere in grado di attaccare a "oltre 1 Tbps al secondo [sic]". Non è noto se questa fosse o meno la stessa persona o gruppo dell'Armada Collective responsabile degli attacchi nel 2015. Secondo la nostra ricerca, il gruppo ha raccolto denaro tramite riscatti, ma non sembra aver effettivamente effettuato alcun attacco DDoS nel 2016.

Nel 2020, l'Armada Collective è di nuovo attivo, anche se è ancora difficile capire se questo è lo stesso gruppo o un gruppo diverso che rivendica lo stesso nome. In contrasto con gli "attacchi" dell'Armada Collective del 2016, questo aggressore o gruppo sta effettivamente seguendo le sue minacce ai DDoS sui suoi obiettivi, come nel 2015.

Fancy Bear

Fancy Bear è un gruppo con sede in Russia che si occupa di crimine informatico e spionaggio. In passato, Fancy Bear ha preso di mira governi, figure politiche e giornalisti, utilizzando principalmente attacchi di spear phishing e exploit malware. Il gruppo è forse meglio conosciuto per aver compromesso i server e la rete del Comitato Nazionale Democratico degli Stati Uniti nel 2016.

Non ci sono state segnalazioni credibili di Fancy Bear che utilizza attacchi DDoS per raggiungere i propri obiettivi. Non è probabile che qualsiasi aggressore DDoS con riscatto rappresenti effettivamente Fancy Bear, probabilmente si limitano a impersonarlo.

Cozy Bear

Cozy Bear è un altro gruppo di spionaggio informatico con sede in Russia che tende a prendere di mira esponenti o gruppi politici. Hanno sviluppato i propri set di strumenti malware, che utilizzano in combinazione con attacchi di spear phishing per compromettere reti e server. Come nel caso di Fancy Bear, non ci sono segnalazioni credibili di Cozy Bear che usa DDoS come metodo di attacco.

Se la tua organizzazione ha ricevuto una nota di riscatto che minaccia un attacco DDoS, cosa devi fare?

Fase 1: non pagare il riscatto

Soddisfare le esigenze degli aggressori non comporta nulla per prevenire un potenziale attacco, dal momento che non fornisce ai gruppi criminali alcun incentivo a mantenere la loro parola. Un'organizzazione che paga il riscatto può essere vista come un bersaglio ancora più desiderabile, poiché ha dimostrato la volontà di rispettare le esigenze illegali.

Fase 2: avvisare le autorità preposte all'applicazione della legge

L'estorsione è un crimine. Se qualcuno ha provato a estorcere denaro dalla tua organizzazione minacciando un attacco DDoS, assicurati di inviare una segnalazione alle autorità.

Fase 3: distribuire la protezione DDoS

Le minacce di riscatto DDoS possono sembrare intimidatorie, ma la maggior parte dei fornitori di protezione DDoS è in grado di fornire una protezione più che sufficiente contro gli attacchi annunciati. Il più grande attacco DDoS divulgato pubblicamente nella storia, a 2,54 terabit al secondo (Tbps), ha avuto luogo nel settembre 2017 ed è stato mitigato.

Rimani online con l'assistenza di Cloudflare

Mentre gli attacchi DDoS ransom sono in aumento, la protezione DDoS può aiutare a proteggere la tua organizzazione. Contatta Cloudflare per una protezione istantanea se la tua organizzazione è sotto attacco: con un processo senza contratto, le aziende attaccate possono essere registrate in poche ore.

Questo articolo fa parte di una serie sulle ultime tendenze e argomenti che hanno un impatto sui decisori tecnologici di oggi.

Punti chiave

Dopo aver letto questo articolo sarai in grado di capire:

• Il picco recente nelle minacce RDDoS

• Come RDDoS si allinea alle tendenze DDoS

• Le organizzazioni dietro le minacce

• Consigli su cosa fare quando si riceve una minaccia RDDoS

RISORSE CORRELATE

• Cinque migliori abitudini per mitigare gli attacchi DDoS

• Blog: Attacco DDoS multivettore da quasi 2 Tbps

• Tendenze degli attacchi DDoS nel quarto trimestre 2021

• Ottieni un aiuto immediato con Cloudflare.