Desde meados de agosto, a Radware vem recebendo cartas enviadas a várias organizações por atores que se apresentam como “Fancy Bear”, “Armada Collective” ou “Lazarus Group”. As cartas são enviadas para um endereço de e-mail genérico e nem sempre chegam imediatamente à pessoa certa na organização. As cartas foram aprimoradas desde o início da campanha, com a correção de alguns erros de digitação e a reformulação de algumas ações para maior clareza. A cobertura da imprensa de ataques de DDoS anteriores, que afetaram organizações financeiras, foi adicionada para gerar mais medo.
APT38, Lazarus
Os APTs foram escolhidos cuidadosamente pelos atores e seguem determinada lógica. O “Lazarus”, também referido como “APT38”, ou “BeagleBoyz” pela Cybersecurity and Infrastructure Security Agency (CISA), foi atribuído a ataques dirigidos principalmente a instituições financeiras. Acredita-se que tenha laços estreitos com o governo da Coreia do Norte. Embora o “Lazarus” tenha como alvo organizações do setor financeiro, o DDoS não é uma tática normalmente usada pelo grupo para obter fundos. Ele recorre a estruturas de malware e a redes e servidores de pagamento comprometidos.
APT28, Fancy Bear “Fancy Bear”, também conhecido como “APT28” ou “Sofacy Group”, é um grupo russo de espionagem cibernética que parece ter vínculos estreitos com a agência de inteligência militar russa GRU, patrocinada pelo governo russo. O “Fancy Bear” foi culpado pelas invasões ao DNC em abril de 2016. Normalmente, o grupo se dirige a organizações governamentais, militares de segurança. O Fancy Bear é considerado responsável também pelos ataques cibernéticos contra o parlamento alemão, estação de televisão francesa TV5monde, Casa Branca, OTAN, Comitê Democrático Nacional, Agência Mundial Anti-dopping, Organização para segurança e Cooperação na Europa e a campanha do candidato à presidência da França, Emmanuel Macron. O grupo promove os interesses políticos do governo russo e, entre outros, suas táticas incluem explorações de dia zero, spear phishing e sites de queda de malware disfarçados de fontes de notícias para comprometer seus alvos. O “Fancy Bear” geralmente não recorre às táticas de DDoS e não se dirige a organizações de tecnologia ou indústria, a menos que elas estejam associadas com o governo ou as instituições políticas e queiram gerar influência ou caos políticos, mas não para ganho financeiro por extorsão.
Resgate em bitcoin
As cartas de extorsão enviadas pelo grupo Ransom DDoS alertam que a rede do destinatário estará sujeita a um ataque de DDoS a partir de uma semana do envio da carta. Na data de envio, os IPs de número ASN da vítima, mencionado na carta, sofrem um pequeno ataque para provar a legitimidade da ameaça, mas com a promessa de não causar danos para não preocupar a vítima. Eles alegam não haver contramedidas aos seus ataques e ter a capacidade de executar ataques volumétricos que atingem mais de 2 Tbps. A exigência de resgate inicial é fixada em 20 bitcoins (BTC – cerca de 230 mil dólares) e aumenta em 10 BTC por dia não pago, tempo pelo qual eles sustentam o ataque.
Não há como se comunicar com os chantagistas, portanto não há opção para negociar, e a única maneira de receber uma mensagem é enviando o BTC para o endereço de bitcoin mencionado na carta. Cada vítima tem um endereço de bitcoin exclusivo para rastrear pagamentos. Se o pagamento não for cumprido no prazo fixado pelos criminosos, eles enviam uma mensagem de acompanhamento notificando que não encontraram pagamento do resgate.
Como reagir?
As ameaças devem ser levadas a sério, mas não devem preocupar organizações que tenham uma proteção adequada contra DDoS. Se a empresa não possuir proteção e receber uma carta é preciso encontrar um parceiro capaz de tomar medidas de mitigação para que os ataques sucessivos não afetem a organização e desestabilizem os negócios.
Todas as organizações que recorreram à Radware e receberam uma carta de extorsão superaram os ataques. A magnitude é adaptada ao tamanho e à superfície de ataque da organização-alvo, que variaram de alguns gigabits por segundo até centenas de Gbps. Em alguns casos, os picos atingiam 300 Gbps (não os 2 Tbps anunciados), mas ainda eram devastadores para a maioria das organizações. Normalmente, os ataques duram algumas horas até que os invasores vejam que não estão progredindo.
Em alguns casos foi percebido que invasores mudaram suas táticas e concentraram seus ataques aos serviços DNS das vítimas. O serviço DNS é muitas vezes hospedado fora da organização por provedores dedicados e alguns acabam sem proteção. É importante verificar as medidas de segurança para proteger os serviços DNS, porque simplesmente interromper a resolução de nome pode afetar tanto quanto um ataque direto ao próprio serviço.
Essas ameaças devem ser levadas a sério, mas os ataques não têm um nível de complexidade ou amplitude que não possam ser atenuados quando há proteções adequadas implementadas. A Radware orienta as organizações a não pagar o pedido de resgate. Não há qualquer garantia de que os chantagistas cumprirão com os termos da carta. O pagamento só financia operações futuras, permite que eles aprimorem seus recursos e os motiva a continuar a campanha.