Les tentatives d’extorsion augmentent les attaques DDoS

Les tentatives d'extorsion augmentent les attaques DDoS

Les tactiques d’extorsion se sont étendues au-delà des attaques de ransomwares qui les ont popularisées.

Dans un document de recherche publié mardi, Akamai Technologies a détaillé une augmentation importante de l’activité DDoS tout au long de 2020, qui comprenait un changement vers les motivations monétaires et une augmentation des attaques basées sur l’extorsion. Selon l’étude, 2020 a également vu des attaques record atteignant respectivement 1,44 Tbps et 809 Mpps contre une banque européenne et un client d’hébergement Internet.

Alors que l’année a débuté avec un nombre constant d’attaques importantes, l’activité DDoS a vraiment commencé à monter en flèche lorsque le COVID-19 a frappé l’Europe et les États-Unis, forçant presque tous les aspects de la vie en ligne. Non seulement les acteurs de la menace derrière ces attaques DDoS se sont tournés vers des campagnes d’extorsion, mais ils ont également élargi la portée des cibles potentielles, ce qui, selon Akamai, est une préfiguration de l’avenir.

Selon la recherche, l’activité a augmenté vers la fin de l’été quand Akamai a commencé à observer les campagnes DDoS liées à l’extorsion, « explosant rapidement pour devenir les plus importantes du genre ». Ces campagnes ont été menées par des acteurs de la menace prétendant appartenir à des groupes de menaces persistants avancés connus sous le nom de Fancy Bear and Armada Collective, et ils ont utilisé des demandes d’extorsion similaires à celles utilisées par les groupes de rançon DDoS dans le passé. Les acteurs ont envoyé un e-mail menaçant, avertissant d’une attaque DDoS imminente à moins qu’une rançon Bitcoin ne soit payée. Cependant, des différences importantes ont soulevé de nouvelles préoccupations.

« Contrairement aux événements précédents des années passées, où il y avait beaucoup de discussions et pas beaucoup d’action. Cette campagne comportait des attaques de démonstration de force à plus de 500 Gbit / s – un signe que les criminels étaient très déterminés et hautement capables de générer des affaires – perturbation impactante », a écrit Akamai.

En outre, le niveau de reconnaissance effectué par les assaillants avant l’envoi des lettres d’extorsion a également augmenté. «Les mauvais acteurs étaient très ciblés dans leurs menaces et voulaient que les victimes sachent qu’elles avaient découvert des faiblesses spécifiques dans l’infrastructure Internet ou avaient identifié des adresses IP ayant un impact sur les revenus qui seraient mises hors ligne à moins que leurs demandes d’extorsion de Bitcoin ne soient satisfaites», a écrit Akamai.

Non seulement les victimes étaient très ciblées, mais Akamai a également observé une forte augmentation des attaques ciblant des secteurs verticaux qui n’ont pas connu autant d’activité ces derniers temps. «7 des 11 industries que nous suivons enregistrent un nombre maximal d’attaques en 2020», a écrit Akamai. « Cela a été mené par d’énormes progrès dans les services aux entreprises (960%), l’éducation (180%), les services financiers (190%), la vente au détail et les biens de consommation (445%) et les logiciels et technologies (196%). »

Selon Roger Barranco, vice-président des opérations de sécurité mondiales chez Akamai, les acteurs de la menace derrière les attaques DDoS en 2020 ont fait un bien meilleur travail en recherchant leur victime et en déterminant quelles parties de leur infrastructure ils devraient attaquer.

«C’est l’une des premières fois que nous les voyons s’attaquer à d’autres choses que des services», a-t-il déclaré. « Ce que j’entends par services, c’est leur site Web, leur site de transaction ou leur serveur de messagerie. Cette fois-ci, ils s’en prenaient également à des bâtiments, par exemple, pour mettre un bâtiment hors ligne. C’est un exemple de quelque chose que les attaquants vont rechercher pour le l’avenir, c’est sûr. Si je ne peux pas nuire à l’entreprise, je vais blesser les travailleurs qui tentent de l’atteindre. « 

Alors que les gangs de ransomwares ont poussé le chantage à de nouveaux niveaux en popularisant la tactique du nom et de la honte, les attaques liées à l’extorsion ont toujours existé. Cependant, ils ont augmenté l’année dernière, a déclaré Barranco. Lorsque l’on compare les attaques DDoS basées sur les ransomwares et les extorsions, il existe des différences, mais une similitude est que le paiement peut attirer plus d’attaques.

« Cela coûte de l’argent au mauvais acteur pour lancer ces attaques. Ils utilisent des outils. Donc, la seule raison pour laquelle ils vont continuer, c’est s’ils sont réellement payés. C’est pourquoi quand je parle aux clients, je dis » ne payez pas. Cela fait partie d’un problème car vous maintenez leur système de revenus lorsque vous faites cela. « 

Une différence entre les tendances des attaques DDoS de 2020 et les années précédentes était la façon dont elles ont été mises en œuvre, ce qui a contribué à l’augmentation du nombre total d’attaques.

« Ils ont suivi au début presque à chaque fois avec au moins deux attaques », a déclaré Barranco. « L’attaque de test pour dire » hé, je suis vrai « , puis l’attaque de suivi, beaucoup plus grande. Dans le passé, nous recevions toujours la menace et souvent ils n’ont pas donné suite. »

Barranco a déclaré à Netcost-Security que, spécifique aux campagnes d’extorsion, il s’agissait d’une approche de fusil de chasse.

« Cela a commencé assez concentré. Ils sont passés par les différents domaines et ils ont frappé plusieurs organisations au sein de cette verticale, mais au fil du temps, il est devenu juste un coup de fusil de chasse à tout le monde et à toute personne à qui ils peuvent envoyer ces lettres, ou ces e-mails, cependant ils communiquent. « 

La tendance à l’extorsion DDoS s’est poursuivie jusqu’en 2021 et se poursuit. « Et ce sont de grandes entités, pas de petites organisations qui sont touchées », a déclaré Barranco. Cependant, il a dit qu’il y avait de bonnes nouvelles car il ne détient pas le même niveau d’intensité que l’année dernière.

Crossover Ransomware-DDoS

Selon un article publié dimanche par Bleeping Computer, un gang de ransomwares, Avaddon, utilise désormais des attaques DDoS pour détruire le site ou le réseau d’une victime.

L’analyste d’Emsisoft, Brett Callow, a déclaré à Netcost-Security qu’il était impossible de dire si la combinaison des ransomwares et des attaques DDoS améliorera les taux de conversion des acteurs.

«Isolés, la plupart des entreprises ne paieraient probablement pas pour arrêter une attaque DDoS. Cependant, lorsqu’elle est combinée à d’autres efforts d’extorsion – cryptage et vol de données, chantage des dirigeants, campagnes médiatiques, etc. – certaines entreprises peuvent décider que le paiement est l’option la plus simple », a-t-il déclaré dans un e-mail à Netcost-Security. « En d’autres termes, l’attaque DDoS pourrait être la goutte d’eau qui a brisé le dos du chameau. »

Si DDoS fonctionne, a déclaré Callow, d’autres groupes sauteront invariablement dans le train en marche. Et malheureusement, la protection contre ces attaques peut être vaine.

« En fin de compte, avec ces attaques DDoS plus importantes, vous ne pouvez absolument rien faire dans votre infrastructure », a déclaré Barranco. « Peu m’importe la taille de la boîte que vous achetez ou la formation de votre équipe, vous ne pouvez résoudre ce problème que dans le cloud pour renverser l’attaque avant qu’elle ne vous atteigne. »