O que é um ataque DDoS com resgate?

O que é um ataque DDoS com resgate?

Um ataque DDoS com resgate (RDDoS) ocorre quando partes mal intencionadas tentam extorquir dinheiro de um indivíduo ou organização, ameaçando-os com um ataque de negação de Serviço Distribuída (DDoS. A parte maliciosa em questão pode realizar um ataque DDoS e, em seguida, prosseguir enviando uma nota de resgate exigindo pagamento para interromper o ataque, ou pode enviar a nota de resgate ameaçando um ataque DDoS primeiro. No segundo caso, o invasor pode não ser realmente capaz de realizar o ataque, embora não seja prudente supor que eles estejam fazendo uma ameaça vazia.

A melhor proteção contra ataques DDoS com resgate é contar com um forte serviço de mitigação de DDoS. Nunca é boa ideia pagar o resgate para a pessoa ou grupo que faz as ameaças.

O que é ataque DDoS?

Um ataque DDoS é uma tentativa de esgotar os recursos de um aplicativo, site ou rede, para que os usuários legítimos não possam receber o serviço. Os ataques DDoS enviam uma inundação de tráfego de rede indesejado para seus alvos, muito parecido com um engarrafamento de trânsito que obstrui uma rodovia. Os ataques DDoS são "distribuídos", o que significa que eles enviam tráfego de várias fontes (muitas vezes falsificadas ), o que os torna mais difíceis de bloquear do que um ataque de negação de serviço (DoS) a partir de uma única fonte.

Os invasores que realizam os ataques DDoS utilizam uma série de diferentes protocolos de rede. Leia sobre os diferentes tipos de ataques DDoS aqui.

Os ataques DDoS podem ter um grande impacto sobre as operações de uma organização. Para muitas empresas, qualquer tempo de inatividade significa perda de receita. As organizações também podem perder credibilidade se ficarem off-line por um período de tempo prolongado.

Como funciona um ataque DDoS com resgate?

A maioria dos ataques DDoS com resgate começa com uma nota de resgate enviada ao alvo, na qual o invasor ameaça o negócio ou a organização. Em alguns casos, o invasor pode realizar um pequeno ataque de demonstração para mostrar que está falando sério antes de enviar um pedido de resgate. Se a ameaça for genuína e o invasor decidir levá-la adiante, o ataque é realizado da seguinte forma:

1. Os invasores começam enviando tráfego de ataque para o alvo. Eles podem usar seu próprio botnet ou um serviço de DDoS contratado por eles para realizar o ataque. Várias pessoas trabalhando juntas também podem gerar tráfego de ataque usando ferramentas de DDoS. O tráfego de ataque pode visar as camadas 3, 4 ou 7 do modelo OSI .

2. O aplicativo ou serviço visado fica sobrecarregado pelo tráfego de ataque e fica extremamente lento ou para de funcionar completamente.

3. O ataque continua até que os recursos do invasor se esgotem, o ataque seja desativado por algum outro motivo ou o alvo consiga mitigar o ataque. Os métodos de mitigação incluem rate limiting, bloqueio de IP, roteamento de blackhole ou um serviço de proteção contra DDoS ; os três primeiros são difíceis de implementar contra ataques altamente distribuídos.

4. O invasor pode renovar suas exigências de pagamento, realizar ataques subsequentes, ou ambos.

Saiba mais sobre as especificidades de como os ataques DDoS são realizados.

Qual o conteúdo de uma típica nota de ataque DDoS com resgate?

Uma nota de ataque DDoS com resgate é uma mensagem enviada por uma parte maliciosa para uma empresa exigindo dinheiro e dizendo que caso a organização não pague, a parte maliciosa realizará um ataque DDoS. Muitas vezes essas notas são enviadas por e-mail. Outras vezes, o invasor enviará várias mensagens, com cada mensagem revelando mais detalhes sobre suas ameaças ou exigências específicas.

A ameaça

A ameaça contida em uma nota de ataque DDoS com resgate pode assumir algumas formas diferentes:

• A parte maliciosa pode levar o crédito por um ataque DDoS anterior e ameaçar realizar outro
• Eles também podem levar o crédito por um ataque DDoS que se encontra em andamento contra o alvo naquele momento
• Podem ameaçar com um futuro ataque DDoS, seja em um determinado momento ou não

Detalhes da ameaça de ataque

Para fazer com que a ameaça pareça mais perigosa, o invasor pode alegar ser capaz de realizar um ataque DDoS de determinado tamanho e duração. Essas alegações não são necessariamente verdadeiras: só porque alguém afirma ser capaz de realizar um ataque de 3 Tbps que dura 24 horas, não significa que ele realmente tenha os recursos para fazê-lo.

Associação a um grupo

Para aumentar a credibilidade de suas ameaças, o invasor pode reivindicar ser afiliado a conhecidos grupos de "hackers" tais como Fancy Bear, Cozy Bear, o Grupo Lazarus, o Armada Collective, entre outros. Essas reivindicações podem ser verdadeiras, mas são difíceis de verificar. Pode ser um blefe ou uma imitação por parte do invasor.

Exigência de pagamento e instruções para a entrega do pagamento

A nota de resgate exigirá que o pagamento seja feito de uma determinada forma. O pagamento em bitcoins é uma solicitação comum, mas o invasor também pode pedir o resgate em outra criptomoeda ou em uma moeda oficial de um país (dólares, euros, etc.). Em um determinado momento, eles geralmente pedem uma quantia específica de dinheiro e fornecem instruções para a entrega do dinheiro.

Prazo ou prazo limite

Por fim, para dar um caráter de urgência à sua demanda e aumentar a probabilidade de que o alvo obedeça, a nota de resgate pode incluir um prazo difícil de cumprir para a entrega do resgate antes do início do ataque ameaçado, ou para que o ataque atual termine. Alguns invasores acrescentarão que o valor de pagamento exigido aumentará a cada hora ou dia após ter se esgotado o prazo dado.

É uma boa ideia pagar o resgate?

Não. Além do fato de que pagar o resgate envolve dar dinheiro a criminosos, o pagamento não garante que os invasores interromperão suas atividades. Pelo contrário, uma organização que paga um resgate é um alvo ainda mais desejável: ela mostrou que está disposta a atender às exigências dos invasores e, portanto, é mais provável que também atenda exigências futuras.

Além disso, quanto mais dinheiro um invasor obtiver, melhor será sua capacidade de financiar sua operação de extorsão, ampliando seus recursos para a realização de futuros ataques.

Por último, há sempre a possibilidade de que a ameaça não seja factível e a empresa acabe pagando um resgate por nada.

As empresas que recebem exigências de DDoS com resgate devem comunicá-las às autoridades responsáveis pela aplicação da lei apropriadas e criar salvaguardas para se defender contra possíveis ataques caso os invasores concretizem suas ameaças. A proteção contra DDoS da Cloudflare é um exemplo de serviço que pode proteger contra ataques DDoS de qualquer tamanho.

É provável que a maior parte das ameaças de DDoS com resgate sejam factíveis?

Todas as ameaças à segurança devem ser levadas a sério. Entretanto, nem todas as ameaças DDoS com resgate são genuínas. É muito fácil digitar e enviar um e-mail curto. É necessário muito mais recursos para manter, gerenciar e ativar uma grande rede de dispositivos comprometidos (conhecida como botnet) para realizar grandes ataques DDoS.

Dito isto, muitos serviços de ataques DDoS estão disponíveis para contratação na dark web e um invasor pode contratar um desses serviços para realizar o ataque. Naturalmente, isso custa dinheiro para o invasor, dinheiro que ele pode obter por meio de ameaças de ataques DDoS com resgate.

Normalmente, os ataques DDoS com resgate são uma loteria. Quer a parte que exige o resgate seja realmente capaz de executar suas ameaças ou não, eles contam com o fato de que uma pequena porcentagem de seus alvos pagarão o resgate.

Em vez de tentar avaliar a credibilidade da ameaça, o caminho mais seguro é usar um serviço de proteção contra DDoS que pode manter a propriedade da web ou a rede on-line, não importa o que aconteça.

Como a Cloudflare protege contra os ataques RDDoS?

Todos os clientes da Cloudflare, incluindo os clientes gratuitos, têm acesso à proteção contra DDoS que mitiga até mesmo ataques DDoS muito grandes. Além disso, o Magic Transit da Cloudflare protege a infraestrutura de rede dos clientes corporativos contra ataques DDoS na camada 3. A rede da Cloudflare possui 348 Tbps de capacidade, que é muitas vezes maior do que os maiores ataques DDoS já registrados. Embora todas as ameaças à segurança devam ser registradas e monitoradas, esse nível de proteção significa que os clientes da Cloudflare não precisam se preocupar com as notas de ataque DDoS com pedido de resgate e com outras ameaças relacionadas a ataques DDoS.

Se sua organização recebeu uma nota de resgate, você pode entrar em contato com a Cloudflare aqui.

Qual é a diferença entre um ataque de DDoS com resgate e um ransomware?

Os ataques de ransomware constituem outra forma comum de extorsão online. Ransomware é um software malicioso que criptografa os sistemas e bancos de dados de uma organização, tornando-os inutilizáveis. Após a criptografia ter sido concluída, o invasor exige dinheiro para descriptografar os sistemas da organização. O ransomware precisa ser introduzido nos sistemas internos ou rede de uma empresa de alguma forma; anexos de e-mail maliciosos combinados com ataques de phishing constituem um vetor de ameaça comum.

Ao contrário de um ataque de ransomware, um ataque DDoS com resgate não criptografa os sistemas de uma empresa; o seu objetivo é simplesmente deixá-los off-line. Esse tipo de ataque também não requer que o invasor tenha acesso aos sistemas internos de uma empresa antes de poder ser realizado. No entanto, com uma proteção contra DDoS suficientemente forte implantada, um ataque DDoS com resgate tem pouco ou nenhum efeito sobre o funcionamento de uma empresa.