Campanha global de negação de serviços continua a aumentar tendência nos ataques globais de DDoS

Views: 414
0 0
Read Time:5 Minute, 14 Second

Nas últimas semanas, a Imperva tomou conhecimento de um aumento considerável no número de ameaças graves de Negação de Serviço de Resgate (RDoS), com campanhas de extorsão direcionadas a milhares de grandes organizações comerciais em todo o mundo, especialmente o setor de serviços financeiros. As campanhas RDoS são ameaças de Negação Distribuída de Serviço (DDoS) baseadas em extorsão motivadas por ganhos financeiros e os extorsionistas aproveitam os nomes de grupos de atores de ameaças conhecidos em suas mensagens de resgate para exigir o pagamento em moeda bitcoin para evitar um ataque DDoS na rede de seu alvo. O risco DDoS continua a ser um desafio em todo o setor, e na Imperva investigamos todos os tipos de ataque para preparar melhor nossas soluções e atenuá-las para nossos clientes que aproveitam nossos produtos.

Número de ataques de DDos por dia, como observado pelo Imperva em uma média móvel de 5 dias

A Imperva observou esse tipo de atividade de RDoS por um grupo que afirma estar realizando o ataque em nome de ‘Lazarus’ e ameaçando lançar um ataque DDoS contra toda a rede do cliente se um resgate não for pago dentro de seis dias. Uma vez iniciado o ataque, um pagamento de 30 bitcoins (cerca de US$ 328 mil) irá pará-lo, com um adicional de 10 bitcoins (USD $ 110.000) exigidos para cada dia o resgate permanece não pago. O extorsionista também ameaçou iniciar um pequeno ataque DDoS no principal endereço IP da empresa imediatamente para provar que a ameaça não é uma farsa.

Os ataques DDoS nem sempre vêm com um pedido de resgate, mas, dado que mesmo uma hora de inatividade pode custar às organizações até US$ 100 mil em alguns casos, esse tipo de ataque RDoS vale a pena levar a sério e mitigar contra.

Ataques gbps por dia, como observado pelo Imperva

Você deveria pagar?

Pagar pode não ser a solução. Grupos conhecidos de ameaças cibernéticas que se envolvem em campanhas RDoS geralmente não anunciam sua intenção de atacar, então se você receber um e-mail de extorsão antes de um ataque, há uma boa chance de ser um golpe, ou que os atacantes não são quem eles afirmam ser e não possuem grandes capacidades de DDoS.

Na verdade, pagar não garante necessariamente o fim do problema. Os extorsionistas podem adicioná-lo a uma lista de empresas que pagam e continuam ameaçando você e exigindo ainda mais dinheiro. Eles podem até te atacar mesmo se você pagou.

Alternativamente, um grupo DDoS para aluguel/hacktivista pode querer atacar sua rede, mas tentará obter algum dinheiro extra enviando uma nota de resgate. Eles vão atacar de qualquer maneira, simplesmente porque é a agenda deles ou porque eles foram pagos.

Assim, enquanto os golpistas podem ameaçar lançar pequenos ataques de amostra após seu aviso inicial, cada segundo de inatividade pode prejudicar um negócio e é por isso que o time-to-mitigação (TTM) é vital.

Como funciona a Proteção Imperva DDoS

A proteção Imperva DDoS suporta tecnologias Unicast e Anycast, alimentando uma metodologia de defesa de muitos para muitos. Isso detecta e mitiga automaticamente ataques que exploram vulnerabilidades de aplicativos e servidores, eventos de hit-and-run e grandes botnets.

Ele oferece um benefício único adicional de todos os outros, pois bloqueia consistentemente qualquer ataque – não importa o tamanho ou quão rápido ele aumente – em menos de um segundo, garantido por um SLA de 3 segundos.

Você está atualmente sob ataque DDoS ou recebeu um pedido de resgate com uma ameaça DDoS?

O Imperva oferece uma solução de onboarding DDoS de emergência para protegê-lo contra quaisquer ataques secundários. O serviço de proteção de infraestrutura Imperva é facilmente implantado como sempre ligado ou sob demanda e um Gerenciador de soluções irá guiá-lo através do processo de onboarding para proteger toda a sua infraestrutura de rede contra novos ataques DDoS.

Clique aqui para obter ajuda agora.

Um olhar mais atento para os ataques

Por Johnathan Azaria – Pesquisa de Ameaças Imperva

A análise do Imperva sobre os ataques DDoS da amostra lançados pelos atores de ameaças mostra que os ataques DDoS de resgate comuns e de baixo esforço usam vetores de amplificação, como resposta DNS, SSDP, NTP, Memcache etc. Esses vetores permitem que o atacante use apenas um pequeno número de bots de ataque, a fim de gerar um ataque maciço de largura de banda. Em outras palavras, é uma maneira barata, eficaz e de baixo esforço para canalizar um grande ataque, e não um pequeno ataque que “não causará nenhum dano”, como alegou na mensagem original do golpista. Esses vetores funcionam explorando servidores vulneráveis que podem ser manipulados para enviar grandes quantidades de tráfego para um alvo da escolha do invasor.

DDoS attack 3

O fluxo desses ataques é bastante simples. Neste exemplo, vamos nos referir aos servidores DNS, ou seja, um ataque de amplificação de DNS. Muitos servidores DNS permitem que os usuários solicitem todos os registros de um determinado site, uma solicitação conhecida como uma solicitação ANY. A solicitação em si é bastante pequena, mas a resposta do servidor DNS é bastante grande porque contém muitos registros – a razão entre o tamanho da solicitação e o tamanho da resposta é o fator de amplificação. Os atacantes exploram esse recurso enviando muitas solicitações DNS ANY para servidores DNS enquanto fingem ser a vítima. Isso faz com que o servidor DNS envie a resposta ao servidor da vítima, sem saber que está inundando-o com grandes quantidades de tráfego e efetivamente DDoSing-lo.

Esses vetores, por mais letais que possam parecer, são simples de detectar e facilmente mitigados por soluções de proteção DDoS em nuvem. Como esses ataques podem atingir rapidamente o pico e atingir quantidades devastadoras de tráfego, o fator mais importante é o tempo para mitigar – a quantidade de tempo que o serviço de proteção leva para começar a mitigar o tráfego.

A maioria dos ataques RDoS que mitigamos nas últimas semanas usou vetores de amplificação. No entanto, em alguns casos, os atacantes tiveram tempo para fazer o dever de casa.
Em um ataque maciço que mitigamos, os atacantes estudaram parcialmente a rede atacada e enviaram pedidos de HTTPs sob medida que eram um pouco semelhantes ao tráfego normal.

Saiba mais sobre o Imperva DDoS Protection Solutions aqui.

FONTE: IMPERVA

POSTS RELACIONADOS