Views: 604

Resumo da ameaça asert

Data/Hora: 3 de setembro de 2020 0930UTC

Gravidade: Aviso

Distribuição: TLP: BRANCO (Os destinatários podem compartilhar TLP: informações BRANCAS sem restrição, sujeitas apenas às regras de direitos autorais padrão.)

Categorias: Disponibilidade

Colaboradores: Alexander Cockburn, Carl Neenan, Gareth Tomlinson, Mary Hartzell, Shawn Razavi

Descrição

A partir de meados de agosto de 2020, um ator de ameaças relativamente prolífico iniciou uma campanha global de ataques de extorsão DDoS em grande parte direcionados a alvos regionais da indústria financeira e de viagens, como bancos regionais, bolsas de valores, agências de viagens, trocas de moedas e, em alguns casos, seus provedores de transporte de internet upstream. Esses ataques são caracterizados pelo invasor iniciando um ataque DDoS de demonstração contra elementos selecionados da infraestrutura de entrega de serviços/aplicativos da organização alvo, seguido por uma demanda de extorsão por e-mail para pagamento via criptomoeda Bitcoin (BTC). As exigências de extorsão normalmente afirmam que o atacante tem até 2 Tbps de capacidade de ataque DDoS no pronto, e ameaça ataques de acompanhamento se os pagamentos de extorsão não forem transmitidos ao atacante dentro de um determinado período de tempo.

Em muitos casos, quando as exigências de extorsão não são atendidas, os ataques de acompanhamento ameaçados não ocorrem, e o atacante segue para outro alvo. Em alguns casos, o invasor opta por persistir em atacar a organização alvo, incluindo seu provedor de transporte upstream.

O ator responsável por esta campanha de ataque normalmente afirma ser afiliado a grupos de ataque conhecidos e rotulados discutidos na mídia da indústria; isso é feito na esperança de reforçar sua credibilidade com os alvos de extorsão. Exemplos de afiliação afirmada incluem ‘Fancy Bear’, ‘Lazarus Group’ e ‘Armada Collective’ (este último sendo o único das identidades reivindicadas conhecidas por serem afiliadas a campanhas de ataque DDoS). Muitos extorquitistas simplesmente enviam demandas de extorsão por e-mail com os nomes desses vários grupos; o ator de ameaça por trás desta campanha de fato realmente lança ataques DDoS contra as organizações alvo, embora ataques de acompanhamento ameaçados muitas vezes não se materializem.

Os principais vetores de ataque observados nesta campanha são DNS, NTP, ARMS, WS-DD, SSDP e CLDAP reflexão/amplificação; spoofed SYN-flooding; Inundação de pacotes GRE e ESP; Inundações TCP ACK; e ataques de reflexão/amplificação TCP. Em alguns casos, o invasor também fez uso de outros protocolos IPv4 pouco usados para lançar ataques de inundação de pacotes, na esperança de ignorar políticas de acesso em rede inadequadamente escopo implementadas através de listas de controle de acesso de roteador (ACLs) e/ou regras de firewall.

Os volumes de ataque observados ao longo desta campanha de ataque variaram de 50 Gbps – 200 Gbps, e 150 Kpps – 150 Mpps. Embora o atacante tenha afirmado ter até 2 Tbps de capacidade de ataque DDoS, nenhum ataque se aproximando dessa magnitude ocorreu, até o momento.

Tanto a seleção de bens direcionados quanto os destinatários escolhidos para receber as exigências de extorsão do atacante são indicativos de reconhecimento pré-ataque por parte do ator de ameaça. Em vários casos, aplicativos e serviços críticos, mas não óbvios voltados para o público, foram alvo do invasor.

Durante ataques prolongados que incluem o direcionamento dos ISP(s) de trânsito a montante de uma organização, o invasor aparentemente fez uso de técnicas básicas de diagnóstico de rede, como executar várias rotas de rastreamento na tentativa de identificar roteadores e/ou switches de camada 3 dentro da rede ISP de trânsito; esses dispositivos de infraestrutura de rede são posteriormente alvo do invasor.

Embora, em muitos casos, as exigências de extorsão DDoS nunca sejam vistas por seus alvos pretendidos devido à má seleção de endereços de e-mail por parte do invasor, neste caso, parece que o ator de ameaças em questão exerceu uma diligência significativa na identificação de caixas de correio de e-mail que provavelmente serão ativamente monitoradas por organizações alvo.

Impacto colateral

De acordo com as normas observadas, o impacto colateral observado desses ataques DDoS pode ser desproporcionalmente alto; em alguns casos, os ataques contra os ISPs de trânsito a montante que fornecem conectividade à internet para organizações alvo resultaram em interrupção significativa do tráfego de espectadores que atravessam as redes desses operadores de trânsito.

Fatores atenuantes

Como é o caso da maioria dos ataques DDoS, organizações direcionadas que se prepararam adequadamente com antecedência para defender suas propriedades de internet voltadas para o público e infraestrutura relacionadas tiveram pouco ou nenhum impacto negativo significativo relacionado a esta campanha de extorsão DDoS.

Embora o ator de ameaças em questão tenha demonstrado um grau de acuidade e disposição para se envolver em reconhecimento diligente pré-ataque, os vetores de ataque DDoS e técnicas de segmentação empregadas nesta campanha de ataque até agora são bem conhecidos, e podem ser mitigados através de contramedidas/proteções DDoS padrão.

Devido à visibilidade relativamente alta desta campanha de ataque — em grande parte resultante da seleção deliberada de alvos dentro e adjacentes ao setor financeiro fortemente regulamentado, em vez de qualquer singularidade dos ataques em si ou diferenciação da execução comum das tentativas de extorsão do DDoS — presume-se que os recursos internacionais da comunidade de aplicação da lei e da inteligência provavelmente serão trazidos para ajudar os esforços para identificar e prender os responsáveis.

Ações Recomendadas

Organizações com propriedades de internet voltadas para o público voltados para os negócios devem garantir que todas as práticas de rede relevantes, arquitetônicas e operacionais (BCPs) tenham sido implementadas, incluindo políticas de acesso à rede específicas da situação que só permitem o tráfego de internet através de protocolos e portas IP necessárias. O tráfego de rede de acesso à Internet de pessoal organizacional interno deve ser desconflado do tráfego da Internet para/de propriedades de internet voltadas para o público e servido através de links de trânsito de internet a montante separados.

Serviços auxiliares de suporte críticos, como DNS autoritários, também devem ser projetados, implantados e operados de forma consistente com todos os BCPs relevantes.

Após o recebimento de quaisquer exigências para pagamentos de extorsão DDoS, as organizações alvo devem imediatamente se envolver com seus pares/ISPs de trânsito, outras organizações que fornecem serviços críticos voltados para a internet (como hosters de DNS autoritários) e organizações de aplicação da lei em situação de ação. Eles devem garantir que seus planos de defesa DDoS sejam ativados e validados, e manter uma postura de alerta vigilante.

As defesas DDoS para todas as propriedades de internet voltadas para o público e a infraestrutura de suporte devem ser implementadas de forma situabilmente apropriada, incluindo testes periódicos para garantir que quaisquer alterações nos servidores/serviços/aplicativos da organização sejam incorporadas ao seu plano de defesa DDoS. Ambos os recursos de mitigação DDoS inteligentes orgânicos no local devem ser combinados com serviços de mitigação de DDoS upstream baseados em nuvem ou trânsito, a fim de garantir a máxima capacidade de resposta e flexibilidade durante um ataque.

É imperativo que as organizações que operam propriedades de internet e/ou infraestrutura voltadas para a missão pública garantam que todos os servidores/serviços/aplicativos/datastores/elementos de infraestrutura estejam protegidos contra ataques DDoS e sejam incluídos em testes periódicos e realistas do plano de mitigação DDoS da organização. Em muitos casos, encontramos situações em que elementos óbvios, como servidores Web voltados para o público, estavam adequadamente protegidos, mas servidores DNS autoritários, servidores de aplicativos e outros elementos críticos de prestação de serviços foram negligenciados, deixando-os vulneráveis a ataques.

As especificidades da seleção, ajuste e implantação de contramedidas variam de acordo com as particularidades das redes/recursos individuais; as equipes relevantes da conta NETSCOUT Arbor e/ou o Centro de Assistência Técnica da Arbor (ATAC) podem ser consultados no que diz respeito à seleção e emprego de contramedida ideal.

As organizações devem se familiarizar com as particularidades de campanhas anteriores de extorsão DDoS de alto perfil, com ênfase especial na série de ataques ‘DD4BC’ lançada entre 2014 e 2016. Há vários pontos de correspondência entre o modus operandi do ator de ameaça DD4BC e o do ator de ameaça responsável por esta campanha de extorsão DDoS.

Referências

Soluções aplicáveis DA NETSCOUT Arbor: Linha de visão arbor, Arbor TMS, Arbor AED, Nuvem de Arbor

Apresentação histórica de extorsão DDoS (.pdf)

Normas mutuamente acordadas para a segurança de roteamento (Web)

FONTE: NETSCOUT