A última ameaça de resgate de criptografia, chegando a um servidor perto de você

Houve ataques abrangentes que usam malware e criptografia de arquivos para extrair resgates monetários. Hackers irão bloquear arquivos importantes nas máquinas das vítimas e exigir um pagamento em criptomoeda.

Agora parece que os hackers estão restaurando para outro vetor de ataque para extrair seus pagamentos de resgate. Eles estão usando ataques DDoS (Dedicated Denial of Service) em servidores.

Ao contrário de um ataque DDos padrão que apenas inundaria um servidor com pacotes aleatórios de dados, esses pacotes continham uma mensagem interessante. Eles instruíram quem estava lendo para pagar 50 Monero para impedir o ataque.

A preços atuais de mercado, isso é cerca de US $ 17.000 que uma empresa teria de desembolsar na esperança de que os invasores desistissem.

Mas o que exatamente é um ataque DDos memchached e os ataques Ransom DDoS são comuns?

O que é um ataque DDoS com Memcached?

Ataques DDoS de memcached só recentemente começaram a entrar em cena e permitiram que hackers lancem alguns dos maiores ataques DDoS já vistos. Eles estão fazendo isso explorando servidores memcached mal configurados.

Conforme explicado em uma postagem do blog por Akamai, essa configuração ruim significa que o servidor responderá ao tráfego UDP com pacotes muito maiores do que os enviados. Às vezes, esses são muitos múltiplos maiores.

Além disso, por ser o protocolo UDP, o IP de origem do pacote pode ser facilmente falsificado. Conseqüentemente, os invasores falsificarão o IP e farão com que pareça que outro servidor está enviando a solicitação. Os servidores memcached responderão a esse IP.

Os pacotes enviados às vezes são tão grandes que os ataques podem realmente produzir DDoS com um pico de 1,35 terabytes por segundo. Na verdade, foi esse tipo de ataque que atingiu recentemente Github com alguns especialistas em segurança cibernética chamando-o de o maior ataque de todos os tempos.

Isso é chamado de ataque DDoS reflexivo, que possui um “fator de amplificação”. Neste caso, o tamanho do pacote multiplicado foi o fator de amplificação que derrubou os servidores.

Não está claro quem está por trás do ataque, mas há muitos pesquisadores de segurança que acreditam que poderia ser outro grupo de hackers da Coreia do Norte que está tentando extorquir empresas e webmasters em todo o mundo.

Pague, ou nós atacamos

Os ataques Ransom DoS (RDoS) não são inteiramente novos. Eles foram praticados antes com algumas organizações como vítimas. Inicialmente, eles envolveriam um grupo de invasores enviando e-mail para várias pessoas em uma organização, ameaçando um ataque.

Eles exigiriam um pagamento em Bitcoin para evitar um ataque potencial. Eles também eram chamados de DDoS-for-Bitcoin (DD4BTC) e, embora fossem intimidantes, eram apenas ameaças.

Embora eles estivessem ameaçando o DDoS, na maioria das vezes eles não tinham o poder de fogo para realmente derrubar os servidores. Portanto, as pessoas da organização ficaram mais do que felizes em ignorar a maioria dessas solicitações.

Com as vulnerabilidades nos servidores Memcached agora conhecidas, eles estão sendo explorados ativamente. Os atacantes têm o poder de fogo que procuram e não têm medo de usá-lo.

Na verdade, eles nem mesmo são ameaçadores.

Pague, ou não paramos

No caso desse RDoS, os invasores não ameaçaram a empresa com suas demandas primeiro. Eles imediatamente começaram a lançar o ataque do Memecache, que deve ter deixado muitos servidores de joelhos.

Porém, no caso desse ataque, ao invés de enviar dados aleatórios, eles enviaram uma pequena mensagem com os pacotes. Abaixo está a imagem da mensagem de resgate que veio dos invasores.

nulo

O resgate escondido nos dados. Fonte: Akamai.com

Como você pode ver, os invasores estão pedindo às vítimas que paguem 50 XMR para um endereço de carteira específico. Eles sem dúvida escolheram receber seu pagamento em Monero, uma vez que é uma das criptomoedas que mais se preocupam com a privacidade..

Também não parece ter como alvo apenas uma vítima. Um pesquisador de segurança francês recebeu o mesmo ataque com a ameaça de resgate samiliar no pacote de dados.

Isso mostra que os invasores podem estar enviando seus pacotes de dados deformados para vários alvos diferentes e esperando que alguém esteja assustado o suficiente para pagar. Dada a segurança do Monero, não há como saber quanto estava sendo enviado para aquele endereço.

Pagar não vai ajudar

Infelizmente para aqueles que estão sendo atacados, é quase certo que pagar o resgate dificilmente o deterá. Isso ocorre porque será impossível para o invasor identificar quem realmente pagou os 50 XMR, pois o endereço de pagamento usado é o mesmo para todos os ataques.

Isso é algo que os atacantes provavelmente sabem, com o objetivo de assustar o destinatário o suficiente para enviar o Monero. Isso poderia ter um efeito adverso, pois o invasor veria um retorno sobre o investimento e poderia aumentá-lo ainda mais.

O que esse ataque demonstra é a capacidade dos criminosos cibernéticos de se adaptarem mais rápido do que as autoridades e pesquisadores são capazes de responder. Isso também mostra que ataques cibernéticos corriqueiros agora foram reprojetados para incluir criptomoedas.

De malware executado em servidores a mineradores de sites que sequestram navegadores para minerar Monero, é provável que vejamos muitos mais vetores se abrirem nos próximos meses.

Imagem em destaque via Fotolia

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me