DDoS, como una cortina de humo para el fraude y el robo cibernético

arborPor Juan Manuel Luna, especialista de Arbor Networks:

Un ataque DDoS muchas veces es una cortina de humo para tapar una actividad mucho más dañina, como un robo o un fraude. Mientras se encuentra trabajando para mitigar el ataque e intentando que las aplicaciones clave vuelvan a estar en línea, los cibercriminales podrían estar moviéndose debajo del radar para ingresar en los sistemas ilegalmente y llevar a cabo actividades aún peores. Por ejemplo:

–Hackers bombardearon Carphone Warehouse con tráfico en línea mientras robaban información bancaria y personal de 2.4 millones de personas.

–El proveedor de cloud Linode sufrió recientemente más de 30 ataques DDoS que terminaron siendo una trampa para distraer la atención de una violación de cuentas de usuarios.

–Ya en 2011, hackers utilizaron ataques masivos de negación de servicios para distraer al equipo de TI de Sony mientras robaban información de cuenta de millones de clientes.

Estos ataques como tácticas de distracción están aumentando, posiblemente porque el software que se utiliza para lanzar ataques DDoS está disponible rápidamente. El Informe de seguridad de infraestructura mundial anual (WISR) 2016 de Arbor Networks realizó una encuesta a más de 350 proveedores de servicios y empresas, y descubrió que 26 % de los ataques DDoS fueron una cortina de humo para ocultar transgresiones o exfiltraciones de datos. Estos resultados tuvieron eco en un reciente informe de Kaspersky Labs que descubrió que el 26 % de los ataques DDoS acarreaban la pérdida de información sensible.

¿Qué podrían estar ocultando?

Los ataques DDoS se han utilizado como una distracción o pantalla de humo en varias etapas de la “kill chain” de los ciberataques. Los siguientes casos han sido documentados como partes de ataques complejos.

–Reconocimiento: En esta etapa inicial, los cibercriminales lanzan un pequeño ataque DDoS para evaluar la estructura de seguridad y la capacidad de respuesta. Si perciben que la seguridad es débil, permanecerán al acecho para realizar algún sondeo o escaneo de puertos en busca de vulnerabilidades, y de esta manera ingresar a la organización.

–Inserción de malware/aprovechamiento: Ahora, están dentro de la red y esparciendo malware en las máquinas. Para ocultar los rastros, lanzan un ataque DDoS para sobrecargar las herramientas forenses y de detección de amenazas, lo que torna la búsqueda del malware de infiltración implantado mucho más difícil.

–Extracción de información/misión completa: En la etapa final, lanzan un ataque DDoS como distracción mientras roban datos de tarjetas de crédito, propiedad intelectual u otra información valiosa a la que puedan acceder.

Si sufre un ataque DDoS, recuerde que tal vez no sea un evento aislado. Asegúrese de que no esté ocurriendo nada en su red que pueda estar relacionado con ese ataque, de lo contrario, las consecuencias podrían ser mucho peores. De hecho, puede obtener algunas pistas del ataque DDoS que lo podrían ayudar a investigar con mayor profundidad. Por ejemplo, si sabe de dónde proviene, eso le puede indicar quién es el posible autor de la amenaza y qué tácticas, técnicas y procedimientos (TTP) utiliza que lo puedan ayudar a comenzar la búsqueda de otros indicadores de peligro (IOC), que sean un aviso potencial de que es víctima de una amenaza mayor.

¿Por qué tomar todo ese riesgo? Evitar los ataques ocultos, y el potencial daño devastador que pueden causar, es una razón más por la cual las empresas invierten en protección sólida contra DDoS. Así como los ladrones buscan puertas sin llave, los cibercriminales buscan redes vulnerables. Si ellos perciben que las defensas están funcionando y pueden doblegar su ataque inicial, es más probable que abandonen sus esfuerzos y busquen una víctima accesible.

 

contactame@esemanal.mx

Share via
Copy link
Powered by Social Snap