Ataques RDDoS y DDoS-as-a-Service: Extorsión y continuidad de negocio

Los ataques RDDoS suponen una amenaza creciente para toda clase de empresas, que ven su continuidad de negocio amenazada por los delincuentes

Como nos ha enseñado el cine de mafias, desde El Padrino hasta Gomorra, uno de los pilares del modelo de negocio de estos grupos es la extorsión a comerciantes y empresarios locales, a los que les ofrecen sus «servicios de protección», o lo que es lo mismo, les exigen un pago periódico a cambio de no atacarlos y de protegerlos frente a mafias rivales. Los ataques RDDoS o ataques distribuidos de denegación de servicio que exigen un rescate, siguen una lógica parecida. Los grupos de delincuentes que los emplean amenazan a sus víctimas con lanzar ataques DDoS, si estas no pagan previamente el rescate. O bien, ponen en marcha estos ataques y, acto seguido, exigen un rescate para ponerle fin.

Los ataques dirigidos de denegación de servicio suponen un desafío para las capacidades defensivas de las empresas porque el sistema o servicio atacado (webs, ecommerce, DNS, APIs…) recibe el ataque desde múltiples orígenes gracias al uso de botnets. Esta estrategia dificulta la tarea de diferenciar entre el tráfico legítimo y el que proviene de los atacantes, para proceder a bloquearlo.

De ahí que el auge de los ataques RDDoS suponga una nueva vuelta de tuerca que complejiza el panorama de amenazas.

Estos ataques son consecuencia de la hibridación y sofisticación de las técnicas, tácticas y procedimientos de los actores hostiles, así como de la aparición de los modelos aaS (as-a-Service) con fines criminales. Estos modelos paquetizan los ataques para que puedan ejecutarlos personas que carecen de los conocimientos y los recursos necesarios para diseñarlos y ponerlos en marcha de forma autónoma.

A continuación, vamos a analizar las claves de los ataques RDDoS y destacar la importancia de realizar DoS test para conseguir que los sistemas expuestos a internet puedan hacer frente a esta clase de ataques.

1. Los ataques dirigidos de denegación de servicio, un clásico que nunca muere

Basta con repasar las noticias sobre ciberataques para contrastar que los ataques DDoS siguen siendo una amenaza preminente para la ciberseguridad de las empresas, las instituciones y los ciudadanos.

En los últimos días, un ataque DDoS ha paralizado durante más de una semana el videojuego Destiny 2, con millones de usuarios; un grupo criminal asociado a Rusia ha causado disrupciones en el funcionamiento de los aeropuertos canadienses; y un ataque DDoS impidió el acceso a la web de la agencia alemana que regula el mercado financiero.

Estos casos evidencian la proliferación de los ataques DDoS, que buscan saturar los recursos de sus víctimas, para conseguir que los servidores dejen de atender las peticiones de clientes legítimos y, por lo tanto, se produzca una caída o disrupción del servicio.

El impacto de los ataques dirigidos de denegación de servicio, que pueden afectar de forma crucial a la continuidad de negocio, ha provocado que los especialistas en ciberseguridad y las compañías hayan invertido recursos y conocimientos para optimizar las capacidades defensivas. ¿Cómo han reaccionado los ciberdelincuentes?

• Sofisticando sus TTPs. Lo que ha dado lugar a la aparición de ataques más complejos y avanzados como DNS Water Torture, empleado para atacar a Navantia, Renfe, el Ministerio de Justicia y hasta a la Casa Real.
• Modificando sus objetivos, como en el caso de los ataques RDDoS que no están centrados en provocar la parálisis del sistema o servicio atacado, sino que usan esta amenaza para obtener beneficios económicos directos.
• Alumbrando nuevos modelos delictivos. Al igual que en el terreno del ransomware han proliferado en la Dark Web las plataformas de Ransomware-as-a-Service, en lo relativo a los ataques DDoS, se ha paquetizado esta tipología de ataques, lo que supone que más actores hostiles puedan poner en marcha ataques dirigidos de denegación de servicio.

2. DDoS-as-a-Service: Aumento exponencial de los atacantes potenciales

La irrupción del Software as Service o el Platform as a Service ha supuesto una revolución en la implementación de potentes desarrollos tecnológicos en las compañías de todo el mundo. El salto al Cloud permite a las empresas contratar múltiples servicios de gran utilidad para sus modelos de negocio sin necesidad de disponer de infraestructura física para alojarlos.

Como ha pasado con todas las transformaciones tecnológicas, los delincuentes han sido capaces de apropiarse del modelo aaS para emplearlo de forma maliciosa. De tal forma que en la Dark Web se comercializan, entre otros, ataques DDoS, poniéndolos al alcance de miles de potenciales actores hostiles. ¿Cómo funciona este modelo?

• Un actor con conocimientos y recursos para desarrollar ataques DDoS y que dispone de una botnet para ejecutarlos, oferta sus servicios a cambio de dinero, generalmente, el pago de criptomonedas, más difíciles de ser rastreadas.
• El comprador selecciona el objetivo del ataque, la tipología de DDoS, la duración de la campaña y la intensidad del ataque.
• Además, al igual que ha pasado con el RaaS, el DDoS-as-a-Service ha ido evolucionando, de tal manera que ahora se ofrecen programas de fidelización, suscripciones y afiliaciones para captar más clientes y, por lo tanto, multiplicar el número de atacantes.

2.1. Objetivos de los actores hostiles

¿Cuáles son los objetivos de los actores hostiles que contratan un DDoS-as-a-Service?

• Boicotear a empresas de la competencia paralizando sus servicios expuestos a internet.
• Atacar a administraciones públicas y compañías dentro de una estrategia de hacktivismo, como el ataque que sufrieron diversas instituciones médicas estadounidenses y europeas empleando la plataforma de DDoS-as-a-Service, Passion, a manos de grupos prorrusos.
• Extorsionar a compañías o instituciones, como sucede en los casos de ataques RDDoS.
• Intimidar a una empresa dentro de una estrategia de ataque más ambiciosa.
• Recurrir a los ataques DDoS como una distracción, para captar la atención y los recursos de los equipos defensivos y, así, poder lanzar otra clase de ataque, como un inyectar un malware o un ransomware.

3. Poner en jaque la continuidad de negocio de toda clase de compañías

Los objetivos que venimos de señalar nos permiten constatar que no solo nos encontramos ante un panorama en el que se multiplican los potenciales atacantes, sino también que los targets también son múltiples.

Una de las creencias erróneas más extendidas sobre la ciberseguridad es que los ciberdelincuentes solo ponen en su punto de mira a las grandes compañías. Los datos que se publican año tras año confirman que las pymes son objetivo de ataque de forma continua, con el agravante de que carecen de los recursos económicos y el talento profesional del que sí disponen las corporaciones de mayor tamaño para desplegar una estrategia de seguridad sólida. La consecuencia de todo esto es que, según Google, 6 de cada 10 pequeñas y medianas empresas que sufren un incidente de seguridad exitoso terminan echando el cierre.

Dentro de este preocupante panorama, es importante prestar atención a los ataques RDDoS en particular y a todos los ataques dirigidos de denegación de servicio en general. ¿Por qué? Suponen una amenaza directa a la continuidad de negocio, sobre todo, para aquellas compañías en las que sus servicios expuestos a internet juegan un papel crucial, por ejemplo, las empresas que comercializan sus servicios o productos a través de un ecommerce.

Si retomamos el caso de Destiny 2, la paralización del juego durante más de una semana se traduce en pérdidas económicas millonarias y en un menoscabo de su reputación incalculable.

3.1. Más atacantes, más víctimas potenciales

La proliferación de los modelos DDoS-as-a-Service y el auge de los ataques RDDoS implica, también, que el target de los ataques de denegación de servicio es amplísimo. ¿Por qué? Si fuera necesario realizar una inversión en recursos demasiado elevada, solo sería rentable atacar a empresas de cierto tamaño e instituciones públicas.

En cambio, los modelos DDoS-as-a-Service abaratan los ataques y, sobre todo, los ponen al alcance de una amplia variedad de actores hostiles que no tienen por qué disponer de conocimientos técnicos elevados.

Mientras que los ataques RDDoS están pensados para obtener ganancias económicas de forma directa. Este dinero sirve para financiar futuros ataques y la adquisición de más medios para ejecutarlos y conseguir que sean más sofisticados y ambiciosos. De ahí que se recomiende por activa y por pasiva a las empresas víctimas de ataques RDDoS que no paguen el rescate exigido. Porque incluso aunque logren frenar los incidentes, estarán reforzando al grupo delictivo que ha amenazado la continuidad de negocio y, por lo tanto, posibilitando que realice nuevos ataques.

3.2. Los ataques RDDoS y el poder de la amenaza

Las personas hemos usado las amenazas para conseguir nuestros objetivos y como un arma de guerra desde los albores de la humanidad. Los ataques RDDoS son el fruto, precisamente, de sumarle a las técnicas, tácticas y procedimientos típicos de los ataques dirigidos de denegación de servicio el poder de la amenaza. Los delincuentes que los ejecutan envían a sus víctimas una nota de rescate en la que se puede amenazar a la empresa de diversas formas:

• Reivindicando un ataque DDoS exitoso anterior y declarando que se está en disposición de provocar un nuevo incidente de seguridad.
• Anunciando que el grupo se encuentra detrás de un ataque de DDoS en curso que no se detendrá hasta que se pague el rescate.
• Amenazando con la puesta en marcha de un ataque, a no ser que se realice el pago solicitado.

En la nota de rescate también se puede incluir información clave para aumentar su nivel de credibilidad: aportar aspectos técnicos de un ataque o sostener que el ataque lo ha puesto en marcha un grupo de delincuentes ampliamente conocido, como los diversos grupos APT que amenazan la seguridad mundial.

Asimismo, la nota de rescate especifica la cantidad de dinero que se solicita, generalmente en criptomonedas y el plazo para realizar el pago, con el objetivo de aumentar la presión sobre la víctima.

4. Black Friday y Navidad: Los delincuentes tienen marcado en rojo el último trimestre del año

Precisamente, los ataques RDDoS suponen una amenaza especialmente relevante en los últimos meses del año. ¿Por qué? El Black Friday y la Navidad son dos campañas comerciales que se superponen y que dinamizan las ventas que se producen en el canal digital de miles de empresas. Desde una compañía multinacional, hasta un pequeño negocio que comercializa productos ecológicos elaborados en el rural.

De ahí que muchos delincuentes estén tentados a poner en marcha ataques RDDoS, con el objetivo de conseguir ganar cuantiosas cantidades de dinero gracias a la extorsión, beneficiándose del miedo que pueden sentir miles de negocios de que un ataque dirigido de denegación de servicio paralice sus servicios y les impida obtener unos ingresos esenciales para los resultados de sus empresas. Sobre todo, en el caso de las compañías cuyo canal de ventas digital es un pilar fundamental de su estrategia empresarial.

¿Cómo pueden las empresas prevenir los ataques RDDoS? ¿De qué manera pueden afrontarlos teniendo la certeza de que sus capacidades defensivas están preparadas para hacer frente a un ataque dirigido de denegación de servicio?

• Reforzar los sistemas y servicios para que puedan gestionar picos de tráfico y ventas (como el Black Friday) con éxito y evitar caídas que afecten negativamente a la generación de ventas.
• Recurrir a proveedores de servidores Cloud y contratar diversos servidores para elevar el nivel de redundancia y poder garantizar la continuidad de negocio frente a los ataques RDDoS.
• Realizar pruebas de denegación de servicio o DoS Test.

5. DoS Test: Evaluar la resiliencia y la respuesta frente a los ataques RDDoS

Las pruebas de carga o denegación de servicio son fundamentales para comprobar la resiliencia y la capacidad de respuesta de los sistemas expuestos a internet.

Los profesionales de Tarlogic Security han desarrollado una metodología para realizar DoS Test de forma eficaz que ya ha sido implementada con éxito en cientos de empresas que desean proteger sus sistemas expuestos a internet.

¿En qué consisten estas pruebas de denegación de servicio? Se emplean diversas técnicas para simular esta tipología de ataques en entornos controlados. El objetivo es comprobar los niveles de saturación de los diferentes servicios de una compañía simulando una gran cantidad de tráfico. Estos test se realizan, generalmente, en un horario en el que la empresa tenga una menor carga de trabajo.

Para afinar la capacidad máxima del servicio objetivo, los profesionales ejecutan pruebas cada vez más exigentes, hasta lograr la saturación de recursos.

5.1. Beneficios de las pruebas de denegación de servicio

¿Cuáles son los beneficios para las empresas que contratan la ejecución de DoS tests?

1. Gracias a la simulación de los ataques se obtienen datos de pruebas de carga reales, que sirven para evaluar la seguridad de los servicios.
2. Permiten comprobar el tiempo de respuesta de las capacidades defensivas de una empresa en caso de que se produzca un ataque DDoS.
3. Las pruebas de denegación de servicio son útiles a la hora de analizar la resiliencia de los sistemas backend. Puesto que fuerzan su capacidad de auto-escalar para poder gestionar toda la carga requerida por el ataque simulado.
4. Sirven para detectar vulnerabilidades en el sistema o aplicación expuesto a internet que pudieran ser explotadas por actores hostiles para poner en marcha ataques DDoS.

En definitiva, los ataques dirigidos de denegación de servicio no solo siguen siendo una amenaza muy relevante para toda clase de empresa, sino que las plataformas DDoS-as-a-Service y los ataques RDDoS han incrementado el número potencial de actores hostiles que pueden lanzar esta clase de ataques y, por ende, la cantidad y tipología de empresas que pueden ser víctimas de ellos

Por eso, es crucial realizar pruebas de denegación de servicio para mejorar la resiliencia frente a estos ataques y optimizar la capacidad de respuesta, con el objetivo de garantizar la continuidad de negocio, sobre todo de los servicios críticos y en momentos de especialmente sensibles para la estrategia empresarial como el Black Friday o la navidad.