In un attacco DDoS (Distributed Denial-of-Service) con richiesta di riscatto, soggetti malintenzionati cercano di estorcere denaro minacciando di compromettere le proprietà Web o le reti dei loro obiettivi.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Che cos’è un attacco DDoS?
Mitigazione degli attacchi DDoS
Come sferrare un attacco DDoS | Strumenti di attacco DoS e DDoS
Cos’è un botnet DDoS?
Attacchi DDoS famosi
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
Un attacco RDDoS (DDoS con richiesta di riscatto) si verifica quando soggetti malintenzionati tentano di estorcere denaro a un individuo o a un'organizzazione minacciandoli con un attacco DDoS. Il malintenzionato in questione potrebbe eseguire un attacco DDoS e poi inviare una richiesta di riscatto per fermare l'attacco, oppure potrebbe inviare prima la richiesta di riscatto minacciando un attacco DDoS. Nel secondo caso, l'aggressore potrebbe non essere effettivamente in grado di portare a termine l'attacco, anche se non è prudente presumere che stia solo minacciando.
La migliore protezione contro gli attacchi DDoS con richiesta di riscatto è un solido servizio di mitigazione degli attacchi DDoS. Non è mai una buona idea pagare il riscatto alla persona o al gruppo che lancia le minacce.
Un attacco DDoS è un tentativo di esaurire le risorse di un'applicazione, di un sito web o di una rete, impedendo agli utenti legittimi di usufruire del servizio. Gli attacchi DDoS inviano ai loro obiettivi un'ondata di traffico di rete indesiderato, proprio come un ingorgo stradale che intasa un'autostrada. Gli attacchi DDoS sono "distribuiti", ovvero inviano traffico da diverse fonti (spesso fonti falsificate), il che li rende più difficili da bloccare rispetto a un attacco denial-of-service (DoS) proveniente da una singola fonte.
Gli autori degli attacchi DDoS utilizzano diversi protocolli di rete. Leggi qui i diversi tipi di attacchi DDoS.
Gli attacchi DDoS possono avere un impatto significativo sulle operazioni di un'organizzazione. Per molte aziende, qualsiasi interruzione dell'attività si traduce in una perdita di fatturato. Le organizzazioni possono perdere credibilità anche se rimangono offline per un periodo prolungato.
La maggior parte degli attacchi DDoS con richiesta di riscatto inizia con l'invio di una richiesta di riscatto alla vittima, in cui l'aggressore minaccia l'azienda o l'organizzazione. In alcuni casi, un malintenzionato potrebbe eseguire un piccolo attacco dimostrativo per dimostrare la propria serietà prima di inviare una richiesta di riscatto. Se la minaccia è reale e l'aggressore decide di metterla in atto, l'attacco viene eseguito come segue:
1. L'aggressore inizia a inviare traffico di attacco al bersaglio. Potrebbe utilizzare una propria botnet oppure un servizio DDoS che ha noleggiato per eseguire l'attacco. Anche più persone che lavorano insieme possono generare traffico di attacco utilizzando strumenti DDoS. Il traffico di attacco può prendere di mira i livelli 3, 4 o 7 del modello OSI.
2. L'applicazione o il servizio preso di mira viene sopraffatto dal traffico dell'attacco e, di conseguenza, rallenta notevolmente o si arresta del tutto.
3. L'attacco continua finché le risorse dell'aggressore non si esauriscono, l'aggressore non interrompe l'attacco per qualche altro motivo oppure il bersaglio riesce a mitigare l'attacco. I metodi di mitigazione includono la limitazione della frequenza, il blocco IP, il routing a un buco nero o un servizio di protezione da attacchi DDoS; i primi tre sono difficili da implementare contro attacchi altamente distribuiti.
4. L'aggressore può rinnovare le richieste di pagamento, effettuare attacchi successivi o entrambe le cose.
Scopri di più sui dettagli specifici di come vengono eseguiti gli attacchi DDoS.
Una nota di riscatto DDoS è un messaggio inviato da una parte malintenzionata a un'azienda che richiede denaro; in caso contrario, la parte malintenzionata eseguirà un attacco DDoS. Spesso, queste note vengono inviate tramite e-mail. A volte, l'aggressore invia più messaggi, ognuno dei quali rivela maggiori dettagli sulle sue specifiche minacce o richieste.
La minaccia contenuta in una nota di riscatto DDoS può assumere diverse forme:
Per rendere la minaccia più credibile, l'aggressore potrebbe dichiarare di essere in grado di eseguire un attacco DDoS di una determinata portata e durata. Queste affermazioni non sono necessariamente vere: solo perché qualcuno afferma di essere in grado di sferrare un attacco da 3 Tbps della durata di 24 ore, non significa che disponga effettivamente delle risorse per portarlo a termine.
Per rendere più credibili le proprie minacce, l'aggressore potrebbe affermare di essere affiliato a noti gruppi di "hacker" come Fancy Bear, Cozy Bear, Lazarus Group, Armada Collective o altri. Queste affermazioni potrebbero essere vere, ma sono difficili da verificare. Potrebbe trattarsi di un bluff o di un tentativo di imitazione da parte dell'aggressore.
La nota di riscatto richiederà un pagamento in qualche forma. Il pagamento in Bitcoin è una richiesta comune, ma l'aggressore potrebbe chiedere il riscatto anche in un'altra criptovaluta, oppure in una valuta riconosciuta a livello statale (dollari, euro, e così via). A un certo punto, di solito chiede una specifica somma di denaro e fornisce istruzioni su come consegnare il denaro.
Infine, per rendere la richiesta più urgente e aumentare la probabilità che la parte presa di mira acconsenta, la richiesta di riscatto può includere una scadenza vincolante per la consegna del riscatto prima che l'attacco minacciato abbia inizio o affinché l'attacco in corso termini. Alcuni aggressori aggiungeranno che l'importo del pagamento richiesto aumenta ogni ora o giorno dopo la scadenza indicata.
No. A parte il fatto che pagare il riscatto implica dare denaro ai criminali, il pagamento non garantisce che gli aggressori interrompano le loro attività. Al contrario, un'organizzazione che paga un riscatto è un bersaglio ancora più appetibile: ha dimostrato di essere disposta a soddisfare le richieste degli aggressori e quindi è più probabile che soddisfi anche le richieste future.
Inoltre, più denaro ottiene un aggressore, meglio sarà in grado di finanziare la sua operazione di estorsione, ampliando le sue capacità per attacchi futuri.
Infine, c'è sempre la possibilità che la minaccia non sia credibile e che l'azienda abbia pagato un riscatto per niente.
Le aziende che ricevono richieste di riscatto DDoS devono segnalarle alle autorità competenti e adottare misure di sicurezza per difendersi da potenziali attacchi, nel caso in cui gli aggressori mettano in atto le loro minacce. La protezione da attacchi DDoS di Cloudflare è un esempio di servizio in grado di proteggere da attacchi DDoS di qualsiasi dimensione.
Tutte le minacce alla sicurezza devono essere prese seriamente. Tuttavia, non tutte le minacce DDoS con richiesta di riscatto sono genuine. È piuttosto facile digitare e inviare una breve e-mail. Sono necessarie molte più risorse per mantenere, gestire e attivare una vasta rete di dispositivi compromessi (nota come botnet) per poter eseguire attacchi DDoS di grandi dimensioni.
Detto questo, sul dark web sono disponibili molti servizi DDoS su commissione e un aggressore potrebbe stipulare un contratto con uno di questi servizi per portare a termine l'attacco. Naturalmente, ciò comporta una spesa per l'aggressore, il quale può procurarsela tramite minacce di riscatto DDoS.
Di solito, gli attacchi DDoS con richiesta di riscatto sono un gioco di numeri. Indipendentemente dal fatto che la parte che chiede il riscatto sia effettivamente in grado di mettere in atto le sue minacce, essa conta sul fatto che una piccola percentuale delle sue vittime pagherà il riscatto.
Invece di tentare di valutare la credibilità della minaccia, la soluzione più sicura è utilizzare un servizio di protezione da attacchi DDoS in grado di mantenere online una proprietà web o una rete indipendentemente da tutto.
Tutti i clienti Cloudflare, compresi i clienti del piano gratuito, hanno accesso alla protezione da attacchi DDoS che mitiga anche gli attacchi DDoS di grandi dimensioni. Inoltre, Cloudflare Magic Transit protegge l'infrastruttura di rete dei clienti aziendali dagli attacchi DDoS di livello 3. La rete Cloudflare ha una capacità di 500 Tbps, che è di molte volte superiore ai più grandi attacchi DDoS mai registrati. Sebbene tutte le minacce alla sicurezza debbano essere registrate e monitorate, questo livello di protezione significa che i clienti Cloudflare non devono preoccuparsi delle richieste di riscatto DDoS e di altre minacce correlate agli attacchi DDoS.
Se la tua organizzazione ha ricevuto una richiesta di riscatto, puoi contattare Cloudflare qui.
Gli attacchi ransomware sono un'altra forma comune di estorsione online. Il ransomware è un software dannoso che crittografa i sistemi e i database di un'organizzazione, rendendoli inutilizzabili. Una volta completata la crittografia, l'aggressore richiederà denaro in cambio della decrittazione dei sistemi dell'organizzazione. Il ransomware deve essere introdotto in qualche modo all'interno dei sistemi o della rete interni di un'azienda; allegati e-mail dannosi combinati con attacchi di phishing sono un vettore di minaccia comune.
A differenza di un attacco ransomware, un attacco DDoS non crittografa i sistemi di un'azienda; mira semplicemente a metterli offline. Inoltre, non è necessario che l'aggressore abbia accesso ai sistemi interni di un'azienda prima di poter eseguire l'attacco. Tuttavia, con una protezione da attacchi DDoS sufficientemente forte, un attacco DDoS con richiesta di riscatto ha scarso o nessun effetto sul funzionamento di un'azienda.