Come inizia un attacco RDoS?
Un attacco RDoS inizia con una richiesta di riscatto. In genere, il criminale informatico dietro l'attacco utilizzerà un provider di posta elettronica attento alla privacy per inviare la propria richiesta alla vittima designata. Questa richiesta includerà un importo di riscatto e un termine entro il quale il riscatto deve essere pagato. L'utente malintenzionato può eseguire un Attacco DDoS prima del termine stabilito per dimostrare la loro capacità di mettere in atto la loro minaccia.
Se il riscatto non viene pagato entro la scadenza, l'attacco DDoS inizierà sul serio. Spesso, questi attacchi DDoS sono sofisticati e cambiano regolarmente tattica per renderli più complessi. Un attacco può durare da ore a settimane e la richiesta di riscatto può aumentare man mano che non viene pagata.
L'evoluzione delle campagne RDoS
Come altre minacce informatiche, gli aggressori Ransom Denial of Service lavorano costantemente per perfezionare e migliorare le loro tattiche e tecniche. Questo li aiuta a massimizzare la redditività dei loro attacchi e a migliorare la loro capacità di mettere in atto le minacce fatte nelle lettere di riscatto.
Spesso, gli aggressori RDoS si mascherano da APT ben noti come Fancy Bear, Armada Collective o Lazarus Group. Nel 2020, gli attacchi provenienti da questi gruppi hanno preso di mira aziende di diversi settori in attacchi a più fasi. Le organizzazioni che non hanno soddisfatto la richiesta iniziale di riscatto di 20 BTC sono state nuovamente prese di mira dagli attacchi nel corso dell'anno. Riutilizzando le loro ricerche esistenti, gli autori delle minacce hanno tentato di estrarre valore aggiuntivo con il minimo sforzo.
Nel 2021, gli aggressori hanno rivolto la loro attenzione ai fornitori di servizi Internet e cloud. Questi attacchi hanno anche dimostrato una ricerca più approfondita, prendendo di mira solo le risorse non protette. Questi attacchi più mirati dimostrano che i criminali informatici dietro le campagne RDoS stavano compiendo ulteriori sforzi per migliorare la probabilità di successo di un attacco e il pagamento di un riscatto.
Come rispondere a una minaccia RDoS
Una lettera di riscatto Ransom Denial of Service rappresenta una minaccia credibile, ma dà anche a un'organizzazione il tempo di prepararsi a un potenziale attacco. Alcuni passaggi che le aziende dovrebbero adottare in risposta a una domanda RDoS includono:
- Non pagare il riscatto: Il pagamento del riscatto non fornisce alcuna garanzia che il criminale informatico non attaccherà comunque. Inoltre, il criminale informatico potrebbe tornare e minacciare ulteriori attacchi per estorcere pagamenti futuri.
- Trasmetti le informazioni su: Le richieste di riscatto RDoS vengono spesso inviate a persone casuali all'interno di un'organizzazione, che potrebbero non sapere cosa farne. La formazione dei dipendenti è essenziale per garantire che le informazioni raggiungano le persone giuste per consentire una risposta.
- Verifica la presenza di un attacco demo: Gli utenti malintenzionati possono eseguire un attacco dimostrativo prima della scadenza per dimostrare le proprie capacità. Il controllo di un attacco demo può aiutare a determinare se la minaccia è reale e può fornire threat intelligence per gestire l'attacco minacciato.
- Avvisa il tuo fornitore di servizi di sicurezza: Fornisci al tuo fornitore di sicurezza tutte le informazioni disponibili sulla minaccia, inclusa la richiesta di riscatto e tutti i dati di un attacco demo. Ciò consente loro di prepararsi meglio a mitigare la minaccia.
Come proteggersi da un attacco RDoS
Dopo aver ricevuto una minaccia Ransom Denial of Service, un'organizzazione deve adottare misure per prepararsi e prevenire l'attacco minacciato. Di seguito sono riportate alcune best practice:
- Comprendere la superficie di attacco: Un attacco RDoS probabilmente prenderà di mira i sistemi critici esposti a Internet, come un sito Web aziendale o un portale VPN. L'identificazione dei potenziali obiettivi è un primo passo necessario per proteggerli.
- Avere un piano: Durante un attacco DDoS, il tempo dedicato alla pianificazione di una risposta è pari a minuti aggiuntivi di tempo di inattività. Crea in anticipo un piano di risposta DDoS per consentire una rapida mitigazione della minaccia.
- Implementa una protezione DDoS completa: Una lettera RDoS è una minaccia vuota se il criminale informatico non è in grado di eseguire efficacemente un attacco DDoS contro l'organizzazione. L'implementazione di una soluzione di protezione DDoS completa da un fornitore noto per aver gestito e bloccato gli attacchi DDoS e RDoS su larga scala è essenziale per una strategia di prevenzione RDoS.
- Verificare i contratti di servizio per la protezione DDoS: Un fornitore di protezione DDoS dovrebbe offrire almeno sei SLA critici. Prima di un attacco, verificare che gli SLA di un fornitore soddisfino le esigenze aziendali.
Se la tua organizzazione ha ricevuto una minaccia Ransom Denial of Service o ritiene di poter essere presa di mira da un attacco DDoS, Contattaci. Per ulteriori informazioni sulla mitigazione della minaccia RDoS, informarsi su Check Point DDoS Protector, che offre una protezione completa contro attacchi DDoS zero-day.
Feedback