Visto: 84

Cinco similitudes entre la extorsión DDoS y los ataques de ransomware - y una gran diferencia

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

Con una pandemia mundial en pleno auge, es difícil exagerar la importancia de un sistema de salud sólido y confiable.

Lo que lo convierte en un objetivo perfecto para los ciberdelincuentes. Las autoridades federales han anunciado que los ciberdelincuentes están utilizando el malware Trickbot para atacar hospitales y proveedores de atención médica, "a menudo conduciendo a ataques de ransomware, robo de datos y la interrupción de los servicios de atención médica". Sin embargo, esa campaña no está sola. La campaña global de extorsión DDoS de Lazarus Bear Armada (LBA) que comenzó en septiembre también se ha expandido para poner en su radar y atacar a los proveedores de atención médica.

Los atacantes utilizan diferentes métodos en sus campañas: ransomware versus extorsionar a los objetivos con amenazas de ataque DDoS. Pero a pesar de eso, hay aspectos comunes y una gran diferencia. Vamos a ver:

Ambos grupos están motivados por el dinero. Los atacantes de ransomware utilizan el malware Trickbot tanto para el robo de datos como para implementar el ransomware Ryuk; para ellos, la recompensa consiste en hacer que sus víctimas paguen por la clave de descifrado para desbloquear sus archivos. Los extorsionistas de LBA, por otro lado, lanzan un ataque DDoS y dan seguimiento a las demandas de pagos para evitar un segundo ataque que bloqueará la red o los servicios de la víctima. Diferentes tácticas, mismo objetivo.

La frecuencia de los ataques para ambos está aumentando, especialmente durante la pandemia. La frecuencia de los ataques DDoS solo conoce una dirección: hacia arriba. La pandemia agregó combustible para cohetes a esa tendencia, ya que los datos del último Informe de inteligencia de amenazas de NETSCOUT muestran que, durante el aislamiento por la pandemia, el mundo se vio afectado por la mayor cantidad de ataques mensuales que jamás hayamos visto: 929,000 ataques DDoS solo en mayo. De hecho, la frecuencia de los ataques DDoS aumentó un 25 por ciento durante los meses de aislamiento pandémico de marzo a junio. Dar seguimiento de la cantidad de ataques de ransomware es difícil, pero los seguros empiezan a reclamar son una indicación, los incidentes de ransomware han representado el 41 por ciento de las reclamaciones de seguros cibernéticos presentadas en la primera mitad de 2020, según un informe reciente de Coalition, uno de los mayores proveedores de servicios de seguros cibernéticos en América del Norte.

Ambos métodos tienen el mismo impacto de disponibilidad del mapa de ataque de Mitre. Los adversarios pueden realizar ataques de denegación de servicio (DoS) de punto final o red para degradar o bloquear la disponibilidad de servicios o recursos para los usuarios. Sin embargo, los atacantes de ransomware cifran los datos en los sistemas de destino o en una gran cantidad de sistemas en una red para interrumpir la disponibilidad de los recursos del sistema y de la red.

Ambos tienen kits de herramientas de ataque fácilmente disponibles. En resumen, es fácil comenzar. En el lado del ransomware, las partes interesadas pueden acceder fácilmente a los programas de afiliados para comprar varias familias de malware/ransomware, cada una con un código fuente disponible públicamente. Incluso hay una gran cantidad de tutoriales en línea y guías prácticas para enseñarles cómo usar estas nuevas compras. El modelo de negocio DDoS tiene una barra de entrada igualmente baja, ya que los servicios DDoS-for-Hire y Booter / Stresser están fácilmente disponibles y son muy económicos. Además, los atacantes pueden explotar una población cada vez mayor de vectores de ataque.

Ambos buscan objetivos no preparados. Con el ransomware, los adversarios se aprovechan de las organizaciones que carecen de programas de recuperación, segmentación de red y respaldo de datos adecuados. Los atacantes DDoS, por otro lado, quieren encontrar empresas con un plan de protección DDoS inadecuado.

 

Una gran diferencia

La gran diferencia entre los dos radica en la capacidad de una empresa para controlar su destino.

Si los atacantes de ransomware explotan con éxito las copias de seguridad de datos y los procedimientos de restauración inadecuados, no hay mucho que una empresa pueda hacer una vez infectada aparte de pagar a los atacantes y confiar en que proporcionarán la clave de descifrado, si es que hay alguna disponible.

Con un ataque DDoS, por otro lado, siempre hay una recuperación a la vista. No es necesario que confíe en el atacante. Las empresas con recursos internos / externos adecuados que utilizan productos y servicios de protección DDoS modernos tienen mucho más control sobre el resultado. Y en un mundo donde tan poco se siente en control, ahora es el momento de tomar el control de su plan de ataque DDoS.

 

Fuente de información: https://www.netscout.com/blog/five-similarities-between-ddos-and-ransomware-attacks