Gli attacchi DDoS stanno diventando parte degli attacchi ransom. Piuttosto che infiltrarsi negli asset aziendali sicuri, gli aggressori stanno lanciando devastanti attacchi DDoS per dimostrare le loro capacità e chiedere un riscatto in denaro. Comprendere la minaccia ransom DDoS è fondamentale per costruire un piano di mitigazione efficace.
La nostra storia comincia nell’agosto 2020 e continua per oltre un anno con tre episodi. Eccoli qui:
Episodio I
Nell’agosto 2020, abbiamo assistito alla prima ondata di attacchi informatici di estorsione lanciata dal gruppo hacker Lazarus contro società finanziarie, di viaggi e di e-commerce inviando loro un’email di richiesta di riscatto per chiedere alle società colpite di pagare 10 bitcoin (pari allora a $100.000). Poche ore dopo aver ricevuto il messaggio, le società sono state colpite da attacchi DDoS per oltre 200Gbps e durata superiore a nove ore, causando gravi interruzioni del servizio.
Nelle loro lettere (vedi sotto), gli estorsori davano alle vittime sette giorni di tempo per acquistare i bitcoin e pagare il riscatto prima di lanciare contro di esse gli attacchi DDoS. Inoltre, per ogni giorno di ritardo il riscatto sarebbe aumentato di 1 bitcoin.
Immagine campione di una lettera inviata da Fancy Lazarus ai suoi obiettivi.
Episodio II
Nel gennaio 2021, abbiamo assistito a una seconda ondata di estorsioni. I criminali informatici inviarono nuove email di richiesta di riscatto dicendo “Forse ci avete dimenticati, ma noi non abbiamo dimenticato voi. Siamo stati occupati in progetti più redditizi, ma siamo tornati.” Questa volta chiedevano 5 bitcoin (il valore del bitcoin superava i $30.000).
La lezione è chiara, non pagare il riscatto! Se paghi, sarai preso di mira ancora e ancora... e la cosa continuerà.
Episodio III
A partire dal giugno 2021, una nuova ondata di campagne informatiche di estorsione cominciò a prendere di mira tutti i settori, a partire dagli ISP e dai CSP danesi e irlandesi. Il gruppo modificò il suo nome diventando “Fancy Lazarus”. Il riscatto era molto più basso e variava in base alla vittima tra ₿0,5 ($ 18.500), ₿2 ($ 75.000) e ₿5 ($ 185.000) a seconda delle dimensioni dell'azienda. Gli attacchi che ne sarebbero derivati arrivavano a 200Gbps.
Con l'evoluzione degli attacchi DDoS, abbiamo visto nuove tattiche in cui gli aggressori cercavano asset non protetti, compresi quelli del cloud pubblico, attaccando i servizi DNS e saturando i collegamenti. Ciò dimostra che gli aggressori si preparavano in anticipo identificando i punti deboli delle loro vittime.
I rapporti delle vittime colpite dagli attacchi successivi a questa campagna di estorsione confermano che la maggior parte si affidava al proprio ISP o CSP per difendersi dalle minacce DDoS. Tuttavia, questi non erano preparati ad attacchi DDoS su larga scala con vettori di attacco variabili, compresi gli attacchi DDoS alle applicazioni.
Leggi: Hacker’s Almanac: a field guide to understanding the tactics, techniques and attack vectors used by cybercriminals