La extorsión por DDoS en los negocios online: ¿está dispuesto a pagar?

CiberguerraSeguridad

Linda Musthaler, colaboradora en Corero DDoS protection Blog, nos ayuda a entender las campañas de extorsión cibernéticas dirigidas a negocios online.

En el hipotético caso de que usted dirigiese un negocio ilegal haría todo lo posible por mantener su actividad en la más estricta intimidad. De igual forma, si sufriese un -no tan improbable- ataque cibernético, no llamaría a la policía para informar sobre el mismo; pagaría el impuesto revolucionario y seguiría adelante con su empresa.

Llama la atención como en los últimos tiempos, operadores online de “actividades no reguladas” como, por ejemplo, sitios de apuestas ilegales, se han convertido en víctimas de campañas de extorsión. Bajo amenaza de sufrir un ataque DDoS, se les exige un pago a cambio de protección. Dicho desembolso debe hacerse en Bitcoins.

Estas frecuentes campañas de extorsión sobre este tipo de empresas no reguladas vienen sucediéndose con frecuencia en el último año, aunque lo realmente preocupante es que empiezan a afectar también a empresas legítimas que operan en el sector privado.

Un escenario típico…

Linda Musthaler es colaboradora de Corero Networks
Linda Musthaler es colaboradora de Corero Networks

En un escenario típico, un ataque DDoS de corta duración se lleva a cabo en el sitio web de la víctima, por un espacio aproximado de una hora. A este incidente de DDoS le sucede un correo electrónico que contiene una demanda de extorsión, la cual debe ser pagada vía Bitcoin. Por lo general, si la víctima no hace frente al desembolso exigido, 24 horas después sufre un segundo ataque DDoS, esta vez más intenso y de mayor duración (1 hora más). Tras esta segunda ofensiva, la víctima recibe un nuevo correo electrónico de advertencia, aunque esta vez con una demanda económica superior.

A este respecto, y según constata el FBI, en la mayoría de los casos, las empresas víctimas han afrontado el ataque utilizando servicios de mitigación DDoS de terceros en lugar de pagar el rescate. En este sentido, la agencia ha publicado los siguientes detalles técnicos sobre lo que las empresas objeto del ataque han experimentado:

El primer ataque DDoS tiene lugar normalmente antes del envío de la petición de rescate. Tiene una intensidad de 20-40 Gigabytes por segundo (Gbps) con una duración de, aproximadamente, una hora. Después de esta embestida inicial, la víctima recibe un correo electrónico de extorsión; el atacante se presenta y le informa de que ha sufrido un ataque demostrativo, exigiéndole un pago en Bitcoin (de 20 a 40) como única vía para no soportar una nueva irrupción.  Si el desembolso no se produce dentro de las 24 horas siguientes, un segundo ataque DDoS demostrativo tiene lugar; generalmente a una tasa más alta (40-50 Gbps) y con una duración adicional (una hora más). A este ataque le sucede otro correo electrónico con nuevas y mayores exigencias. Los tipos de ataques DDoS consisten principalmente en ataques de reflexión/amplificación utilizando el Protocolo SSDP y el Protocolo de Tiempo de Red (NTP) con ocasionales inundaciones por SYN y, más recientemente, ataques de reflexión/amplificación utilizando XML-RPC en WordPress.

Todos y cada uno de los negocios legítimos deben ser conscientes de este esquema de extorsión y estar preparados para defenderse ante cualquier tipo de ataque DDoS dirigido. ¡Los ciberdelincuentes pueden dejar su negocio offline!