Llegamos a ustedes gracias a:



Alertas de Seguridad

Se detectan nuevos ataques de extorsión DDoS

Con el regreso del grupo Fancy Lazarus

[12/06/2021] Los investigadores de seguridad están siguiendo una nueva actividad de extorsión DDoS por parte del grupo de actores de amenazas Fancy Lazarus. Los ataques se han dirigido principalmente a organizaciones estadounidenses y mundiales de diversos sectores, como el energético, el financiero, el de los seguros, el manufacturero, el de los servicios públicos y el minorista.

El grupo -que anteriormente utilizaba apodos como Fancy Bear, Lazarus, Lazarus Group y Armada Collective, entre otros- hizo una pausa de alrededor de un mes, de abril a mayo del 2021, tras una campaña de ataques DDoS de rescate contra instituciones financieras y organizaciones mundiales que comenzó a mediados o finales de agosto del 2020. "En cada caso, el actor de la amenaza exigía el pago en bitcoin o, de lo contrario, se lanzaba un ataque de denegación de servicio a pequeña escala con un ataque más sustancial apenas unos días después", explicaron los investigadores de Proofpoint en una publicación de su blog. Ahora, el grupo ha resurgido con un nuevo nombre y cambios en sus tácticas, técnicas y procedimientos (TTP).

Cambios en el método de ataque DDoS de Fancy Lazarus

Estas variaciones indican el decidido esfuerzo del grupo por evolucionar sus actividades, según los investigadores. Los cambios son el precio del rescate -rebajado de 10 bitcoins a un precio inicial de 2 bitcoins (probablemente en reconocimiento del valor fluctuante del bitcoin)- y la redacción utilizada en los correos electrónicos enviados a los destinatarios.

"Hay tres variantes de correos electrónicos enviados a los mismos destinatarios que transmiten la misma información, excepto con el cuerpo del correo electrónico en texto plano, HTML, o como una imagen JPG adjunta. Es probable que esto sea un intento de evadir las detecciones", escribieron los investigadores. Anteriormente, el remitente incluía, en ocasiones, a la persona de mayor rango de la empresa objetivo, como el nombre del director general. En la campaña más reciente, se utiliza un formato aleatorio de nombre y apellido y los nombres parecen ficticios, dijeron los investigadores.

"Es interesante que el grupo siga volviendo y retocando el correo electrónico original, lo que indica potencialmente su eficacia. Sin embargo, entre agosto del 2020 y ahora, han probado con textos completamente diferentes en los correos electrónicos", añadieron los investigadores.

Cómo estructura Fancy Lazarus los ataques DDoS

Los correos electrónicos comienzan con un anuncio del nombre que el grupo está utilizando ahora y reconocen que la organización víctima ha sido atacada específicamente. El correo electrónico insta al objetivo a realizar una búsqueda en Google como prueba del "trabajo previo" del grupo y de las recientes víctimas de alto perfil, como la Bolsa de Nueva Zelanda. "No quieres ser como ellos, ¿verdad?", pregunta el correo electrónico.

A continuación, el correo electrónico detalla el proceso por el que se producirá el ataque, indicando que la red del destinatario será objeto de un ataque DDoS en siete días que solo puede evitarse pagando una cuota de 2 bitcoin antes de la fecha límite indicada. Para demostrar su seriedad, los atacantes afirman que comenzarán un pequeño ataque a unos "pocos IPS aleatorios" que durará unas dos horas. "No será un ataque pesado, y no le causará ningún daño", continúa el correo electrónico.

Cuando se trata del ataque a gran escala, el grupo afirma que no hay ninguna contramedida debido a la potencia del ataque, que, según afirman, alcanzará un pico de más de 2Tbps. "Esto significa que sus sitios web y otros servicios conectados no estarán disponibles para todo el mundo", dice el correo electrónico. "Si no pagas el ataque comenzará y la tarifa para detenerlo aumentará a 4 bitcoin y se incrementará en 1 bitcoin por cada día después de la fecha límite que pasó sin pagar".

El crecimiento de los ataques ransom DDoS

En declaraciones a CSO, Sherrod DeGrippo, director senior de investigación y detección de amenazas de Proofpoint, explicó que, aunque los ataques ransom DDoS no son un hecho reciente, la creciente adopción de la criptomoneda está impulsando significativamente el aumento de los ataques ransom DDoS.

"Más recientemente, hubo un repunte en la actividad de ransom DDoS a partir del año pasado con la actividad procedente de este grupo. Desde agosto del 2020, cuando comenzamos a rastrear esta actividad, los investigadores de Proofpoint han visto alrededor de 180 clientes que abarcan una multitud de verticales diversos y no relacionados enviaron estos correos electrónicos de extorsión. Alrededor de 59 de ellos fueron vistos en el primer mes".

Los ataques ransom DDoS también se están volviendo cada vez más eficaces, añadió DeGrippo, en particular contra las organizaciones que carecen de firewalls de aplicaciones web o proveedores de servicios ascendentes que pueden filtrar eficazmente el tráfico DDoS del tráfico legítimo. "Los actores de las amenazas siempre buscan el medio más eficiente para conseguir lo que quieren, en este caso un pago económico", añade. "Los ataques DDoS se han vuelto cada vez más fáciles de lanzar y tienen una recompensa potencialmente sustancial por un trabajo considerablemente menor que el que requeriría algo como un ataque de ransomware. Además, al llevar a cabo este tipo de ataque, el actor de la amenaza elude las protecciones de seguridad automatizadas que marcarían y bloquearían el ransomware."

En cuanto a la legitimidad de las afirmaciones del grupo de que su ataque alcanzará un pico de más de 2Tbps, DeGrippo admitió que, sin una visibilidad completa de los ataques, es difícil de validar con certeza. Sin embargo, "según los informes del FBI y los grupos de intercambio de información, algunos ataques habrían alcanzado aproximadamente los 2Tbps", afirmó. Sin embargo, también cabe señalar que los informes del FBI han indicado que muchas empresas afectadas que han superado el plazo de amenaza no han visto ninguna actividad adicional o la actividad ha sido mitigada con éxito.

En cualquier caso, las organizaciones deben estar preparadas para este tipo de ataques mediante la aplicación de medidas de mitigación adecuadas, concluyó DeGrippo. "Esto incluye el uso de un servicio de protección DoS y tener preparados planes de recuperación de desastres. Una buena respuesta pasa por una buena tecnología y por alianzas que ayuden a filtrar el tráfico DDoS cuando se produce un ataque. Las organizaciones deben tener un plan para saber qué hacer en estos escenarios antes de que ocurran".