1 0
Read Time:8 Minute, 44 Second

ANALYSE Une croissance des attaques DDoS (RDDoS) liées aux rançons s’est accompagnée d’une sophistication et d’une diversité croissantes des vecteurs d’attaque au cours de l’année dernière, selon une série de fournisseurs de sécurité interrogés par The Daily Swig.

Les types d’attaques par déni de service distribué (DDoS) peuvent inclure des attaques volumétriques, basées sur des protocoles et des applications. Beaucoup sont suspendus à des réseaux de zombies d’ordinateurs, de mobiles ou d’appareils IoT compromis.
Moyens, motif et opportunité

Les motifs les plus courants pour lancer un DDoS et brouiller les performances Web d’un adversaire / concurrent incluent l’extorsion de victimes pour un gain financier ou pour servir de tactique leurre pour une autre cyber-attaque.

Bindu Sundaresan, directeur d’AT & T Cybersecurity, a déclaré au Daily Swig: «Les motivations d’aujourd’hui peuvent inclure un intérêt à obtenir une récompense financière, à faire une déclaration idéologique, à créer un avantage géopolitique ou à se venger d’une action gouvernementale particulière, d’une campagne d’entreprise ou d’une position politique. . »
Payez ou dites adieu aux ressources de votre réseau

David Elmaleh, chef de produit senior des services de périphérie chez Imperva, fournisseur de sécurité des appliances cloud et réseau, a déclaré au Daily Swig que les campagnes RDDoS motivées par un gain financier ont connu une augmentation considérable en 2020.
Tendance
Du phishing camouflé en code morse pour tromper le filtrage web

«Nous avons vu des menaces RDDoS cibler des milliers de grandes organisations commerciales dans le monde, notamment le secteur des services financiers», a expliqué Elmaleh.

«Parmi les RDDoS que nous avons surveillés, les extorqueurs utilisent les noms de groupes d’acteurs menaçants bien connus dans leurs messages de rançon pour exiger un paiement en bitcoin afin d’éviter une attaque DDoS sur le réseau de leur cible.»

En savoir plus sur les dernières nouvelles sur les attaques DDoS

Par exemple, Imperva rapporte qu’un groupe utilisant le nom «Lazarus» a menacé de lancer une attaque DDoS contre tout un réseau si une rançon n’était pas payée dans les six jours.

«Une fois l’attaque lancée, un paiement de 30 bitcoins (environ 328 000 $) l’arrêtera, avec 10 bitcoins supplémentaires (110000 $) exigés pour chaque jour où la rançon reste impayée», selon Elmaleh d’Imperva.

« L’extorsionniste a également menacé de lancer immédiatement une petite attaque DDoS sur l’adresse IP principale de l’entreprise pour prouver que la menace n’est pas un canular. »
DDoS comme écran de fumée

Les attaques DDoS peuvent parfois être déployées pour distraire des activités encore plus néfastes.

Chris Bates, responsable de la sécurité des informations chez SentinelOne, a averti: «Les attaques DDoS sont un écran de fumée parfait: elles peuvent être utilisées par des attaquants sophistiqués pour détourner l’attention des équipes de sécurité tandis que les intrus infiltrent l’organisation d’une autre manière.»

Par exemple, en août 2020, un gang d’extorsion DDoS se faisant passer pour l’Armada Collective et APT28 (Fancy Bear), a mené une attaque qui a touché la Bourse de Nouvelle-Zélande (NZX) pendant plusieurs jours consécutifs.

«Cela a abouti à un arrêt des opérations et à l’arrêt des échanges, l’activité ciblant également plusieurs autres institutions financières», a déclaré Chris Morgan, analyste principal du renseignement sur les cybermenaces chez Digital Shadows, au Daily Swig.

«Alors que la plupart des extorqueurs DDoS ciblent souvent les sites Web publics de leurs victimes, cette activité a vu le ciblage répété de l’infrastructure backend, des points de terminaison d’API, des serveurs DNS et même des fournisseurs de services Internet NZX.»

«Ce passage aux systèmes backend peut expliquer les pannes prolongées associées à ces attaques», a-t-il ajouté.
Ransomware + DDoS déployés dans des attaques combinées

À l’inverse, des opérateurs de ransomwares moins sophistiqués ont également été observés en utilisant des attaques DDoS comme méthode supplémentaire d’extorsion.

Une tendance qui a émergé en 2020 impliquait que les opérateurs de ransomwares tirent parti de DDoS pour forcer les cibles à revenir à la table des négociations.

« Si le cryptage n’a pas impressionné la cible et que la menace de fuite de données n’a pas convaincu la cible de payer, les opérateurs de ransomware ont lancé des attaques DDoS pour intimider davantage leurs cibles et les inciter à succomber à la demande », Pascal Geenens, directeur du renseignement sur les menaces chez Radware, fournisseur de solutions d’atténuation DDoS, a déclaré au Daily Swig.

Par exemple, les opérateurs de ransomware Avaddon auraient utilisé DDoS pour perturber le réseau d’une entreprise ciblée si l’entreprise refusait d’entamer des négociations de rançon.

Cela a également un effet secondaire de perturber toutes les activités de correction, comme le traitement des sauvegardes des données impactées, selon Digital Shadows.

Tenez-vous au courant des dernières nouvelles sur les attaques de ransomware

Don Smith, directeur principal de la sécurité informatique chez SecureWorks, a ajouté que «si la menace du cryptage et de l’exfiltration des données ne suffit pas à persuader une victime de payer la rançon, alors peut-être la perte de serveurs et d’appareils connectés à Internet par des attaques DDoS pourrait être» .

D’autres opérateurs de ransomwares, dont SunCrypt et RagnarLocker, ont également été observés en train de monter des attaques DDoS.

Selon Smith, l’année dernière a vu une diversification dans le paysage des ransomwares post-intrusion, certains joueurs exécutant désormais des modèles d’affiliation de ransomware-as-a-service.

«Les opérations de ransomware menées par les affiliés se reflètent dans la diversification des playbooks et des comportements des acteurs de la menace; cela se reflète dans les demandes de rançon, voire dans le professionnalisme des criminels », a-t-il déclaré au Daily Swig.

Candid Wüest, vice-président de la recherche sur la cybersécurité chez Acronis, fournisseur de sauvegarde et de reprise après sinistre, a ajouté que «les services DDoS sont facilement disponibles à la location via des botnets sur des sites souterrains, ce qui en fait une simple extension pour le groupe de ransomware.»

Natalie Page, analyste du renseignement sur les cybermenaces chez SY4 Security, a également souligné que des groupes principalement connus pour les opérations de cryptomining tels que TeamTNT et Lucifer s’approvisionnent en outils d’attaque DDoS.
TTP

F5 rapporte que la plupart des attaques DDoS signalées étaient volumétriques, saturant la bande passante du réseau avec des paquets indésirables pour obstruer les connexions des utilisateurs légitimes.

Les attaques DDoS courantes avec rançon à faible effort utilisent des vecteurs d’amplification tels que la réponse DNS, SSDP, NTP ou Memcache. Les attaques par amplification DNS, par exemple, impliquent l’usurpation de requêtes DNS afin d’inonder une victime de trafic indésirable.

«Le premier semestre 2020 a également vu une augmentation des attaques DDoS ciblant les sites Web et les applications. En 2019, 4,2% des attaques DDoS signalées au F5 SIRT ont été identifiées comme ciblant des applications Web. Cependant, ce chiffre a été multiplié par six en 2020 à 26% », selon Raymond Pompon, directeur de F5 Labs.

Neustar note qu’en juillet, le FBI avait averti que des protocoles réseau courants tels que ARMS (Apple Remote Management Services), WS-DD (Web Services Dynamic Discovery) et CoAP (Constrained Application Protocol) étaient abusés par des pirates pour mener une réflexion et une amplification DDoS. attaques – tout en avertissant que leur désactivation pourrait entraîner une perte de productivité et de connectivité de l’entreprise.

M. Geenens de Radware a ajouté: «Bien qu’il y ait eu un certain nombre de nouveaux protocoles qui ont été militarisés dans des vecteurs d’attaque DoS tels que RDP, ARMS, WS-DD, CoAP, la technique fondamentale est encore beaucoup d’usurpation et d’amplification.»

Alors que WS-DD et CoAP sont vulnérables dans les déploiements IoT non sécurisés et les appareils connectés, RDP (Remote Desktop Protocol) est devenu un vecteur d’attaque populaire alors que les organisations déployaient à la hâte des solutions d’accès à distance pour prendre en charge le télétravail pendant la pandémie, selon Geenens.
NXNSAttack

Certaines nouvelles techniques, comme le NXNSAttack découvert par des chercheurs de l’Université de Tel Aviv, tirent parti des vulnérabilités des logiciels DNS courants.

La technique NXNSAttack peut amener un serveur DNS à exécuter des centaines de milliers de requêtes à chaque fois qu’une machine de pirate informatique n’en envoie qu’une, ce qui amplifie efficacement la puissance de feu de l’attaquant. Cela signifie qu’un attaquant doit compromettre un nombre relativement petit de machines pour avoir un impact massif – ce qui nécessitait auparavant la création d’un énorme botnet.
Court mais pas doux

La tendance est également à une durée d’attaque plus courte mais à un volume d’attaque de paquets par seconde plus important.

Alan Calder, fondateur et président exécutif de IT Governance, une société de gestion des cyber-risques et de la confidentialité, a déclaré au Daily Swig que «le volume d’attaques DDoS et l’expertise technique qui les supporte ont considérablement augmenté au cours des 12 derniers mois».

«Les attaquants [exécutent] des attaques multi-vecteurs à grande vitesse, de courte durée et contre lesquelles il peut être extrêmement difficile de se défendre», a-t-il averti.

Les attaques DDoS CONNEXES sont plus nombreuses, diversifiées, mais plus petites au troisième trimestre de 2020

Alexander Gutnikov, analyste système au service de prévention DDoS de Kaspersky, a déclaré au Daily Swig: «En 2020, la durée moyenne a diminué d’environ un tiers par rapport à 2019; tandis que la longueur maximale augmentait. Dans le même temps, la part des attaques dites «  intelligentes  » – celles qui nécessitent des compétences sophistiquées et qui ciblent généralement le niveau d’application – n’a presque pas changé (39% en 2019, 37% en 2020), ainsi que leur durée maximale .

«Cela suggère que les attaques courtes sont de plus en plus courtes et les longues plus longues; et nous avons observé une tendance similaire au quatrième trimestre 2020 », a-t-il ajouté.
L’avenir de la 5G

Selon Sundaresan d’AT & T Cybersecurity, les attaques DDoS sont de plus en plus puissantes, car elles deviennent de plus en plus complexes, utilisent de nombreux appareils différents et ciblent d’autres parties du réseau de la victime.

On pense que les plus grandes attaques DDoS en volume à ce jour ont été l’assaut de 2,5 téraoctets par seconde (Tbps) contre Google en 2017 et l’attaque de 2,3 Tbps qui a ciblé Amazon en 2018. L’avènement de la 5G pourrait inaugurer des attaques encore plus vicieuses.

Bryan Murphy, directeur des services de conseil chez le fournisseur de sécurité CyberArk, a averti: «En augmentant la bande passante globale disponible, la 5G permet à un nombre incroyable d’appareils IoT d’être connectés. Cependant, ces appareils sont souvent faciles à compromettre et à contrôler dans le cadre de la constitution d’une armée de botnet, car il n’y a toujours pas de norme pour la sécurité IoT. »

Happy
Happy
0 %
Sad
Sad
0 %
Excited
Excited
0 %
Sleepy
Sleepy
0 %
Angry
Angry
0 %
Surprise
Surprise
0 %