DDoS-attack_code

En mayo de 2021, el grupo cibercriminal autoproclamado «Fancy Lazarus» comenzó una nueva campaña de ataques de denegación de servicio distribuido (DDoS) contra organizaciones. Los ataques siguieron un patrón similar: después de lanzar ataques DDoS de demostración, Fancy Lazarus amenazó con continuar con un ataque más devastador contra activos críticos a menos que la víctima pagara una suma a través de la criptomoneda Bitcoin. El hacker criminal detrás de esta campaña parece estar aprovechando el éxito de lo que llamamos la campaña Lazarus Bear Armada (LBA). El discurso de la demanda de extorsión es casi idéntico al de la de la campaña LBA, aunque los actores de la amenaza cambiaron el nombre a «Fancy Lazarus» y disminuyeron la cantidad de Bitcoin demandada.

bitcoin-DDoS

A diferencia de la campaña LBA en curso, la campaña Fancy Lazarus parece menos sofisticada y se dirige a una base de víctimas más reducida. También aprovecha diferentes metodologías de ataque contra sus víctimas. NETSCOUT está observando si los ataques de la campaña Fancy Lazarus logran su objetivo de ataques de 2 TBps, y hasta ahora han tenido poco o ningún impacto en las redes de los clientes.

Los actores detrás de una nueva campaña de extorsión DDoS autodenominada «Fancy Lazarus» aprovechan la campaña LBA en curso en nombre y credibilidad. Los actores de amenazas detrás de la campaña de extorsión DDoS de Fancy Lazarus se han dirigido a varios proveedores de servicios de Internet (ISP) de acceso de banda ancha y tránsito en el Reino Unido, Irlanda, Escandinavia y Europa occidental. Concretamente, muchos de estos ataques se lanzaron contra servidores DNS autorizados. El límite superior del ancho de banda de ataque es de alrededor de 72 Gbps y consiste en ataques de amplificación / reflexión de DNS, ataques de registros inexistentes de DNS, ataques de inundaciones RST y ataques de amplificación / reflexión de TCP.

A partir de mayo de 2021, el grupo cibercriminal «Fancy Lazarus» lanzó una serie de ataques de extorsión DDoS dirigidos principalmente a ISP de tránsito y acceso de banda ancha ubicados en el Reino Unido, Irlanda, Escandinavia y Europa occidental. Éstos se caracterizan porque el atacante lanza un ataque DDoS de demostración contra servidores DNS autorizadosoperados por organizaciones objetivo, seguido de una demanda de extorsión enviada por correo electrónico para el pago a través de Bitcoin (criptomoneda). Las demandas de extorsión generalmente establecen que el atacante tiene hasta 2 TBps de capacidad de ataque DDoS preparada y amenaza con ataques de seguimiento si los pagos de extorsión no se transmiten al atacante dentro de un período establecido.

Hasta la fecha, no se han observado ataques de seguimiento contra organizaciones que no cumplen. El actor de amenazas responsable de esta campaña de ataque ha copiado directamente el lenguaje de los mensajes de correo electrónico de demanda de extorsión publicados por LBA DDoS, cambiando la auto atribución a ‘Fancy Lazarus’ y reduciendo la cantidad de extorsión exigida. Debido a las diferencias observadas en los niveles de reconocimiento previo al ataque, eficacia del ataque y persistencia, parece que la campaña de ataque Fancy Lazarus DDoS es el trabajo de un imitador en lugar del actor de amenazas LBA.

Hacker_DDoS

Los principales vectores de ataque observados en esta campaña son los ataques de amplificación / reflexión de DNS, los ataques de registros inexistentes de DNS (también conocidos como ataques de «tortura de agua de DNS»), las inundaciones de RST y los ataques de amplificación / reflexión de TCP

Los volúmenes máximos de ataque, o ancho de banda, observados durante el transcurso de esta campaña de ataque son 72 GBps y 7,3 Mpps, respectivamente. Si bien el atacante ha afirmado tener hasta 2 TBps de capacidad de ataque DDoS, aún no se han producido ataques que se acerquen a esta magnitud. 

El reconocimiento previo al ataque parece estar limitado en gran medida a la identificación de servidores DNS autorizados operados por la organización objetivo. Los destinatarios elegidos para recibir las demandas de extorsión del atacante parecen haber sido seleccionados en función de la lectura de los sitios web públicos del objetivo y las búsquedas en las redes sociales. Los nombres citados de las organizaciones objetivo incluidas en el cuerpo de las demandas de extorsión parecen haber sido copiados de los registros de WHOIS, asociados con los bloques de CIDR asignados al objetivo, incluso cuando esos nombres no corresponden a la marca pública del objetivo. 

Si bien en muchos casos las demandas de extorsión DDoS enviadas por correo electrónico nunca son vistas por sus objetivos previstos debido a la mala selección de la dirección de correo electrónico por parte del atacante, en este caso, parece que el actor de la amenaza en cuestión ha actuado con la debida diligencia para identificar los buzones de correo electrónico que probablemente son monitoreados activamente por las organizaciones objetivo.

El impacto colateral de estos ataques DDoS puede ser significativo para los clientes finales cuyo servicio DNS autorizado se proporciona en servidores DNS específicos. Un ataque DDoS exitoso contra servidores DNS autorizados para un dominio determinado puede resultar en la imposibilidad de resolver los registros DNS de las propiedades de Internet del cliente final, lo que los hace inaccesibles para los usuarios legítimos.

Buscando DNS - DDoS

Como es el caso de la mayoría de los ataques DDoS, las organizaciones objetivo que se han preparado adecuadamente con anticipación para defender sus propiedades de Internet de cara al público y la infraestructura relacionada, han experimentado poco o ningún impacto negativo significativo relacionado con esta campaña de extorsión DDoS.

Las organizaciones con propiedades de Internet de cara al público críticas para el negocio deben asegurar de que se hayan implementado toda la infraestructura de red relevante, las mejores prácticas arquitectónicas y operativas (BCP), incluidas las políticas de acceso a la red específicas para cada situación que solo permitan el tráfico de Internet a través de los protocolos y puertos IP requeridos. El tráfico de la red de acceso a Internet hacia / desde el personal interno de la organización debe desconfiarse del tráfico de Internet hacia / desde las propiedades de Internet de cara al público y servirse a través de enlaces de tránsito de Internet ascendentes separados. Los servicios de DNS autorizados también deben diseñarse, implementarse y operarse de manera consistente con todos los BCP relevantes.

Seguridad ante DDoS

Al recibir cualquier solicitud de pago de extorsión DDoS, las organizaciones seleccionadas deben interactuar de inmediato con sus pares / ISP de tránsito, MSSP y organizaciones policiales apropiadas para cada situación. Deben asegurarse de que sus planes de defensa DDoS estén activados y validados y mantener una postura de alerta vigilante. 

Las defensas DDoS para todas las propiedades de Internet de cara al público y la infraestructura de soporte deben implementarse de una manera apropiada para la situación, incluidas pruebas periódicas para garantizar que cualquier cambio en los servidores / servicios / aplicaciones de la organización se incorpore en su plan de defensa DDoS. Las capacidades de mitigación de DDoS inteligentes y orgánicas en el sitio deben combinarse con servicios de mitigación de DDoS ascendentes basados ​​en la nube o en tránsito para garantizar la máxima capacidad de respuesta y flexibilidad durante un ataque. 

Es imperativo que las organizaciones que operan propiedades o infraestructura de Internet de cara al público de misión crítica se aseguren de que todos los servidores / servicios / aplicaciones / almacenes de datos / elementos de infraestructura estén protegidos contra ataques DDoS y se incluyan en pruebas periódicas y realistas del plan de mitigación DDoS de la organización. En muchos casos, nos hemos encontrado con situaciones en las que elementos obvios, como los servidores web de cara al público, estaban adecuadamente protegidos, pero se descuidaron los servidores DNS autorizados, los servidores de aplicaciones y otros elementos críticos de prestación de servicios, dejándolos vulnerables a los ataques. 

Los detalles de la selección, el ajuste y el despliegue de las contramedidas variarán según los detalles de las redes y los recursos individuales. Se puede consultar a los equipos de cuentas de NETSCOUT pertinentes y / o al Centro de asistencia técnica de Arbor (ATAC) con respecto a la selección y el empleo óptimos de contramedidas. 

Cabe señalar que, si bien los niveles observados de reconocimiento previo al ataque, la eficacia del ataque y la persistencia no se corresponden con los exhibidos por los actores de amenazas de LBA, la preparación adecuada y una mayor conciencia de la situación son siempre clave para mitigar con éxito los ataques DDoS en cualquier contexto.

Artículo original: Fancy Lazarus DDoS Extortion Campaign – Seguir leyendo –

Autor: Netscout

Fecha de publicación de Netscout: 22 de junio de 2021

Traducción: Ayscom

Fecha de publicación Ayscom: 5 de julio de 2021

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *