Cibercriminales expanden sus demandas de extorsiones DDoS

“Estimado propietario de sitio Web: pague o iniciaremos un ataque de negación de servicio distribuida (DDoS) en contra de su sitio Web.” Eso dice la amenaza de extorsión que se hace ahora contra múltiples sitios Web, incluyendo Cryptome, que el miércoles pasado publicó una carta de extorsión DDOS para Opsecure.

La carta decía que a menos que se transfirieran fondos a una dirección Bitcoin designada, el sitio Web de Cryptome “sufriría un ataque de negación de servicio distribuida realizado por 1 & 0 Logic Security Group”, a partir del siguiente viernes. En total, los criminales demandaban 1 Bitcoin como pago, que hasta el día de la extorsión equivalía a $102 dólares. En su lugar, Cryptome (archivo digital que se centra en la libertad de expresión, criptografía, espionaje y vigilancia) publicó la carta, diciendo que se sentía “honrada” de haberla recibido.

Como se detalló en un reporte reciente de The Economist, los ataques DDoS son utilizados cada vez más con mayor frecuencia por criminales para extorsionar a empresas, donde las pandillas demandan uno o más pagos si una organización desea que cese el ataque a su sitio.

El aumento en los ataques DDoS –que siguen siendo ilegales en muchos países, incluyendo Estados Unidos– ha sido alimentado en parte por kits de herramientas de ataque DDoS más avanzados, y a menudo gratuitos. Con suficientes PC o servidores infectados por malware (mejor conocidos como zombies) a su disposición, los atacantes pueden abrumar cualquier sitio Web desprotegido, a veces de forma espectacular. A principios de este año, por ejemplo, un ataque DDoS en contra de Spamhaus rompió récords arrojando 300 gigabits por segundo (Gbps) de datos falsos. Spamhaus logró mitigar finalmente el ataque en su contra (que usó miles de servidores DNS infectados) con la ayuda de CloudFlare, proveedor de servicios de mitigación de ataques DDoS.

 

Empresas criminales están detrás de muchos de estos ataques DDoS, como lo demuestra un ataque reciente llevado a cabo mediante el uso de la nueva versión “Drive” de la herramienta DDoS, DirtJumper. En una publicación de blog, Jason Jones, investigador del equipo de ingeniería y respuesta de seguridad Arbor Networks, logró rastrear el ataque hasta un servidor que alojaba también “un servidor de comando y control (CnC) BetaBot y un cosechador de extracción Bitcoin, y los tres fueron plantados por un Smoke Loader”.

Eso se refiere a BetaBot, pieza de malware relativamente nueva y poco costosa que ha sido creada para desactivar software de seguridad de información, y Smoke Loader, malware que se usa para cargar malware adicional (como kits de herramientas para criminales y herramientas DDoS controladas a distancia) en sistemas infectados.

Desde luego, las herramientas de ataque DDoS han sido favorecidas por largo tiempo por la comunidad de hacktivistas. En el periodo previo a los ataques en contra de Corea del Norte respaldados por Anonymous (denominados #OpNorthKorea) que se lanzaron el martes de la semana pasada, por ejemplo, el colectivo hacktivista recomendó a los participantes aprovechar un número de herramientas de ataque DDoS sin costo, como Slow Loris para Python y Windows, Low-Orbit Ion Canon o una serie de técnicas conocidas como la herramienta DDoS OWASP Layer 7.

Mientras tanto, Izz ad-Din al-Qassam Cyber Fighters, que lanzó los ataques Operación Ababil en contra de bancos de Estados Unidos el año pasado (esos ataques parecen estar ahora interrumpidos), han favorecido el kit de herramientas “itsoknoproblembro”, que se conoce también como Brobot. Se han infiltrado en miles de sitios legítimos, en parte explotando una vulnerabilidad conocida en un complemento de WordPress.

Mientras tanto, en Corea del Sur en octubre de 2011, un ataque DDoS se utilizó para irrumpir en el sitio Web de la Comisión Nacional Electoral de ese país el día de la elección parcial para alcalde de Seúl. “La información sobre estaciones de encuesta quedó inaccesible durante horas de la mañana cuando se esperaba que un gran número de votantes jóvenes de orientación liberal votaran de camino a su trabajo”, señaló un reporte de Freedom House. La policía arrestó más tarde a un legislador de Corea del Sur, a su asistente personal y al director de una firma de servicios IT por estar involucrados en el ataque, que autoridades dijeron ascendió a 263 megabytes por segundo (MBps) y que se generó utilizando 200 PC zombie.

Para personas no bien versadas en el arte de configurar kits de herramientas de ataque DDoS o de infiltrar código de ataque DDoS a control remoto en servidores en su defecto legítimos, hay servicios subcontratados que ofrecen hacerlo por ellas. El hacker filipino Gwapo, por ejemplo, anuncia su servicio de ataques DDoS en YouTube. Las tarifas por atacar sitios Web son de $5 dólares por hora “en el caso de pequeños sitios Web personales”, y ascienden hasta $100 dólares por hora, “dependiendo de qué tan grande o protegido esté el blanco”, según el video. Los ataques pueden ser contratados por un tiempo corto o largo, y se pueden programar con anticipación. El pago se acepta a través de Bitcoins, así como también en CashU Codes, Moneypak y Webmoney. El servicio incluso promete devolver el dinero si “el banco se ha… movido a un entorno protegido que no podamos atacar”.

“Usted necesita sacar de la jugada a sus competidores de negocios, rivales, detractores o cualquiera que sea la razón o quiénes sean… bueno pueden hacerlo”, según el video de Gwapo. “No se puede equivocar.”

SÍGUENOS

Síganos en TwitterSíganos en FacebookSíganos en LinkedinSíganos en Youtube