0
0
Em termos do cenário de Negação Distribuída de Serviço (DDoS), 2020 era quase chato antes do início de agosto. A excitação do pico recorde gbps e mpps visto no início do verão tinha passado, e nós não estávamos vendo uma tonelada de ataques interessantes
As coisas mudaram abruptamente no início do mês, quando uma onda de cartas de resgate e ataques associados teve como alvo empresas em vários setores, alegando ser de grupos conhecidos com nomes como “Fancy Bear” e o “Armada Collective”. O maior desses ataques enviou mais de 200 Gbps de tráfego em seus alvos.
A Equipe de Pesquisa em Inteligência de Segurança da Akamai (SIRT) publicou um comunicado cobrindo as descobertas iniciais sobre os ataques de 17 de agosto de 2020. O FBI emitiu um aviso flash em 28 de agosto com detalhes adicionais da ameaça. Esta ameaça ainda está ativa. O post de hoje foi projetado para destacar a pesquisa interna da Akamai sobre a atividade e fornecer dados adicionais.
Mão de Abertura
Ransom DoS (RDoS) não é novidade para a Akamai ou nossos clientes. Temos lidado com esse assunto e esses grupos há tanto tempo quanto eles existem. Essa ameaça estava relativamente silenciosa desde novembro de 2019, quando um grupo que alegava ser ‘Urso Aconchegante’ havia realizado ataques semelhantes. Há uma vazão definitiva e fluxo para os ataques DDoS extorsivos, mas os ataques atuais são mais distribuídos em relação tanto às indústrias, quanto onde as empresas-alvo estão sediadas.
Os indicadores, também conhecidos como Tactics, Techniques and Procedures (TTPs), associados à atual série de ataques incluem os seguintes vetores: DNS Flood, WS-Discovery (WSD) Flood, GRE Protocol Flood, SYN Flood e Apple Remote Management services (ARMS). Um aumento no uso desses vetores foi incomum, como mostrado na Figura 1, mas por si só, eles só representavam um sinal muito fraco de que algo novo estava em andamento.
Fig. 1: Sem indicadores de suporte, um aumento de vetores incomuns não foi suficiente para indicar ataques de DDoS extorsivos
O quadro começou a entrar em foco quando uma nova inspeção revelou uma tendência de ataques que incluía vetores específicos e incomuns. Esses ataques foram anormais, pois mostraram tanto bits por segundo mais altos quanto pacotes por segundo (PPS) do que ataques semelhantes haviam exibido algumas semanas antes. Como mostrado na Figura 2, isso entrou em foco ainda mais nítido quando filtramos os ataques pela vertical. Antes de agosto, os vetores de sinal tinham sido usados principalmente para atingir a indústria de jogos. A partir de agosto, esses ataques oscilaram abruptamente para as organizações financeiras e, mais tarde, no ciclo, várias outras verticais.
Fig. 2: The size of each circle denotes the attack size in millions of packets per second
It’s not uncommon to identify bots and other DDoS tools based on the specific vectors they use in attacks. However, none of the vectors involved in these series of attacks were new. Most of the traffic was generated by reflectors, systems that were used to amplify traffic, but were not directly compromised by the attackers.
Early Game
Ver um conjunto comum de protocolos sendo usados como amplificadores em uma campanha DDoS é, por si só, um indicador de novas ferramentas, ou configurações, sendo usado por criminosos, em vez de um indicador de uma campanha de extorsão. O que atraiu isso foram rumores, e mais tarde cartas de extorsão, alegando ser de dois grupos extorquindo seus alvos com ameaças de DDoS.
Várias organizações receberam e-mails direcionados alegando serem de organizações criminosas, seja o Fancy Bear ou o Armada Collective. Ambos os nomes têm sido usados extensivamente em campanhas anteriores de extorsão, e está além da capacidade de Akamai determinar se estes são os mesmos atores ou uma nova organização usando os nomes.
Uma dificuldade significativa na identificação de ataques associados a esta campanha foi que nem todos os ataques usavam o mesmo conjunto de vetores em toda a população-alvo. Quando as organizações começaram a falar sobre o recebimento de e-mails de extorsão, recebemos outro conjunto de indicadores para usar para identificação.
Muitas campanhas de extorsão do DDoS começam como uma carta de ameaça, e nunca progridem além desse ponto. Em contraste, esta campanha tem visto ataques frequentes de “amostra” que provam ao alvo que os criminosos têm a capacidade de dificultar a vida. AKamai não vê todos os ataques relacionados à campanha de extorsão, e nem todos os alvos estão dispostos a admitir que receberam um e-mail dos atacantes. Assumimos que muitos dos e-mails de extorsão acabam pegos por filtros de spam ou no lixo, apesar dos melhores esforços dos atacantes.
Correlacionando ameaças conhecidas, por exemplo, uma organização reconheceu ter recebido uma carta de extorsão, com outros indicadores que nos permitiram começar a fazer suposições educadas sobre quais outros ataques faziam parte da campanha de extorsão DDoS. Esses indicadores precisavam ser temperados para reduzir as taxas falsas positivas, e após a experimentação, foi determinado que ataques superiores a 10 Gbps em volume que duravam mais de 10 minutos proporcionavam o melhor limite para nossas necessidades.
Fig. 3: Ataques posteriores mudaram alguns dos protocolos que eles usaram na tentativa de escapar da detecção
O Jogo Continua
Esta campanha de extorsão do DDoS não acabou. Assim como um bom jogador de pôquer mudará seu estilo para jogar fora um oponente tentando decidir uma aposta, os criminosos por trás desta campanha estão mudando e evoluindo seus ataques, a fim de despissar os defensores e as agências de aplicação da lei que estão trabalhando para localizá-los. Eles podem ficar quietos em um futuro próximo, mas se deixarmos o passado prever o futuro, é certo que eles voltarão para outra chance muito cedo.
Esses ataques não são únicos, o que torna definitivamente difícil declará-los parte de uma campanha específica. Isso é ainda mais obscurecido pelo número de gatos copiados que imitam o texto e o estilo das tentativas de extorsão, sem conexão direta com as organizações “reais” Fancy Bear e Armada Collective.
Fig. 4: Ataques e e-mails semelhantes foram vistos antes de agosto, mas o pico de ataques relacionados é claro quando empilhados
Conclusão
Mais de 90% desses ataques podem ser defendidos com controles e regras automatizados. Os ataques em si não são novos; eles estão usando vetores conhecidos. Uma organização com as defesas adequadas no local e configurada para combinar com seu ambiente pode tratar muitos desses ataques como um blefe. Infelizmente, muitas organizações não têm as defesas apropriadas ou não as habilitaram por várias razões. Várias organizações precisaram tomar ações emergenciais para se proteger durante esta campanha.
O maior desses ataques ultrapassou 200 Gbps, o que é, na melhor das hipóteses, difícil de combater sem uma solução dedicada, e de preferência uma organização parceira como a Akamai. Esses ataques têm sido de natureza global. Não importa onde sua organização esteja sediada, se você receber um e-mail de extorsão, entre em contato com a polícia local. Quanto mais eles tiverem que trabalhar, mais provável é que os criminosos sejam detidos.
FONTE: AKAMAI