#MundoHacker: Ransom DDoS, denegación de servicio como extorsión

DDos ransom

A finales del 2014 alertaba de una situación que había ido en aumento en los meses anteriores: los inicios de una nueva época dorada para los ataques DDoS.

Los ataques de denegación de servicio o DDoS no son ni de lejos nuevos, pero es cierto que en esa industrialización del cibercrimen de la última era, las herramientas necesarias para realizarlos, unido a la democratización que supone tener millones de nuevos dispositivos conectados a la red sin protección alguna (Internet of things), están permitiendo que este tipo de negocio se expanda a un nivel nunca antes visto.

Por apenas 100 euros puedes tumbar un servicio digital de la competencia durante unas horas. Ya ni siquiera es necesario tener recursos y conocimientos técnicos, sino simplemente subcontratarlo a un tercero que se encarga de toda la parte oscura del asunto.

Y el resultado, en un escenario cada vez más dependiente de los recursos digitales, es la negación del servicio. Esto, ejemplificado en una empresa, suele acabar por transformarse en horas de inactividad, ergo en pérdidas económicas.

Lo que me lleva nuevamente a escribir sobre ello no es el riesgo a que nuestros activos digitales queden inactivos por un ataque DDoS, sino todo el negocio que se ha montado alrededor de las estafas de negación de servicio, conocidas en el argot técnico como Ransom DDoS. Una “nueva” (entiéndame…) manera de sacar tajada de la víctima que en muchos casos ni requiere que hagamos efectivo el ataque, y que ha ganado en popularidad gracias, por cierto, al éxito reputacional que tuvieron ataques a gran escala como WanaCry y Petya/NotPetya.

Vamos entonces a explicar su modus operandi, lo que tenemos que tener en cuenta, y qué podemos hacer para minimizar su impacto.

Cómo se ejecuta una campaña de Ransom DDoS

Hace unas semanas, de hecho, un compañero de profesión me escribía para pedir mi opinión sobre un mail que había recibido, y que pego bajo estas líneas:

“We are the Team Xball and we have chosen your website/network as target for our next DDoS attack.

Unfortunately your data was leaked in the recent hacking of the web site and we now have your information.

We have DataBase tax forms, DOB, Names, Addresses, Credit card details, bank account full details and more sensitive data.

Now, we can publish your details and your clients online who would damage the rating of the company and would create many problems for you.

On Friday 7:00p.m. GMT !!! We begin to attack your network servers and computers

We will produce a powerful DDoS attack – up to 250 Gbps

All data will be encrypted on computers Crypto-Ransomware

You can stop the attack beginning, if payment 1 bitcoin.

Do you have time to pay. If you do not pay before the attack 1 bitcoin the price will increase to 10 bitcoins

Please send the bitcoin to the following Bitcoin address:

1KZsSR36jpHFx7DBEHr8gLMLPuZKQyKYkC

Once you have paid we will automatically get informed that it was your payment.

What if I don’t pay?

If you decide not to pay, we will start the attack at the indicated date and uphold it until you do, there’s no counter measure to this, you will only end up wasting more money trying to find a solution. We will completely destroy your reputation amongst google and your customers and make sure your website will remain offline until you pay. We can publish your DataBase.

This is not a hoax, do not reply to this email, don’t try to reason or negotiate, we will not read any replies. Once you have paid we won’t start the attack and you will never hear from us again!

Básicamente estamos ante la típica campaña de phishing masiva. Ni se habían molestado en personalizar el email, aludiendo a que ya tenían acceso a las tarjetas bancarias de su negocio (raro sería, habida cuenta de que en su negocio no hay registro de usuarios), y tenían una fecha límite para pagar 1 bitcoin a un número de cuenta. De no hacerlo, tirarían su web hasta que hicieran el pago y publicarían toda la base de datos que al parecer ya habían obtenido con anterioridad.

Encontramos, como era de esperar, algunos elementos clásicos de la ingeniería social:

  • Urgencia: Apenas tienes unos días para hacer efectivo el pago.
  • Argumento de autoridad: Ya no es que a partir de la fecha dejes de poder trabajar digitalmente en tu negocio. Es que ya has sido hackeado y tenemos todos tus datos, que serán expuestos públicamente. Por tanto lo mejor es que pagues antes de llegar a esta situación, ya que si lo haces más tarde parte del mal ya estará hecho.
  • Validación social: Ni eres el primero ni eres el único. Muchos otros negocios como el tuyo ya han sido víctimas de nuestras garras. Para nosotros eres uno más, y por eso ni habrá negociaciones ni te responderemos. O pagas o sufrirás las consecuencias.

Y es precisamente lo que dicen que no son. Una estafa, un hoax. Semejante en todo caso al resto de estafas que a diario pululan por la red, solo que esta vez aprovechándose del miedo a sufrir una futura e hipotética crisis en nuestra organización.

Basta echarle un ojo a la dirección de bitcoin (DE) para darse cuenta que al menos a día de hoy no hay ningún dinero en la cuenta. Que ojo, puede que lo hayan sacado en algún momento, pero la campaña está tan mal hecha que quiero pensar que nadie ha picado en el asunto.

¿Qué hay que hacer cuando seamos objetivos de un Ransom DDoS?

El primer punto debería ser de puro sentido común.

La mayoría de los ataques jamás se van a realizar

Un ataque DDoS sale barato… pero cuesta dinero. La amplia mayoría de estas campañas tan solo son hoax.

Fíjese que no da ninguna información que nos haga pensar que en efecto han podido entrar en nuestros sistemas. E incluso si la dan, hay que tener en cuenta que una investigación rápida OSINT de los datos de nuestra organización pueden acabar dando la suficiente información técnica como para contextualizar el ataque. Todo de forma totalmente legal, sin entrar dentro de los sistemas, simplemente mediante hacking con buscadores y análisis de fuentes abiertas.

También parece que algunos están apostando por realizar pequeños simulacros de 10 minutos de duración en la que en efecto tiran los servicios objetivo. Pero recalco que muchas de estas plataformas de DDoS as a service ofrecen 5 o 10 minutos de ejemplo gratuito, por lo que a veces simplemente están intentando engañar a la víctima.

Para realizar un ataque DDoS no es necesario acceder a nuestros datos

La mayoría de estas campañas intentan demostrar que van en serio asegurando que ya han podido vulnerar nuestras defensas. Pero es que para realizar un ataque DDoS no es necesario hacer esto.

Simplemente es necesario tener el músculo suficiente (técnico o económico) para lanzar tantas consultas al servidor o servidores de origen como para que éste sea incapaz de procesarlas todas y se colapse. Vamos, que estamos ante un mero argumento de autoridad. Una excusa para dotar de peso a la campaña, que para colmo no se sustenta en ninguna base técnica.

Pagar no sirve más que para asegurarse pérdidas económicas directas

Imagínese que estamos ante un ransom DDoS real, cosa que ya le digo que es muy poco probable (si te quieren joder primero te joderán y luego ya te pedirán el rescate; no te van a avisar para que te prepares). ¿De qué sirve hacer el pago?

Estamos ante cibercriminales, por lo que podemos esperar una ética muy laxa. Tranquilamente pueden seguir realizando el ataque y volviendo a pedirnos un rescate mayor, cosa muy común en campañas de phishing tradicionales.

Por último, hay medidas para paliar un DDoS

Descontando la posibilidad de montar honeypots en nuestra infraestructura y tener la capacidad de redirigir tráfico de nuestra red bajo demanda, lo cierto es que para la mayoría de negocios basados en una web, bastaría con hacer uso de plataformas de intermediación del tráfico como puede ser CloudFlare.

Ya expliqué cómo funcionaba este CDN vitaminado, pero la parte chula es que además es gratuito y tienen una serie de ventajas frente a la conexión directa con el servidor, entre ellas la capacidad de segmentar tráfico o protegernos frente a la mayoría de ataques DDoS.

Akismet también ofrece soluciones semejantes, y para el caso de bloggers e influencers, podríamos llegar a pedir la ayuda de Google con su Project Shield, una infraestructura que tira de la red de los chicos de Mountain View y que ofrecen de forma gratuita (eso sí, bajo demanda expresa y en casos específicos) a aquellos que están sufriendo ataques de denegación de servicio presumiblemente con intereses de censura de contenido.

Vamos, que nadie está libre de que cualquier día alguien le tire los recursos digitales de su organización. Pero hay alternativas en el mercado, tanto de pago como gratuitas, que minimizan muchísimo esta posibilidad.

En todo caso, prácticamente todos los Ransom DDoS que hay son pura estafa. Si le llega algo así, lo mejor que puede hacer es denunciarlo ante las autoridades del país y olvidarse del tema.

 

________

Puede ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias