En las últimas semanas está creciendo exponencialmente el número de ataques ransom DDoS, en este tipo de ataque los cibercriminales alertan a las empresas de que van a recibir en breve un ataque DDoS contra su infraestructura y piden el pago a modo de chantaje (ransom) para no llevar a cabo el mismo. Empresas como Cloudflare están ya proactivamente avisando a sus clientes ante esta creciente amenaza.
En las últimas semanas multitud de empresas están recibiendo avisos del tipo:
"We are the Fancy Bear and we have chosen as target for our next DDoS attack.
Your whole network will be subject to a DDoS attack starting at Monday (in 6 days). (This is not a hoax, and to prove it right now we will start a small attack on a few of your IPs that will last for 30 minutes."
Este es solo un ejemplo de aviso de ransom DDoS que diversos grupos de cibercriminales como los autodenominados Fancy Bear, Cozy Bear o Lazarus están enviando. En ellos se avisa que se va a lanzar en breve un ataque DDoS contra la empresa y que se debe pagar una cantidad para evitarlo. Como veis se avisa de que a modo de demostración de sus capacidades se va a lanzar un ataque durante unos minutos, normalmente un ataque de reflexión UDP.
Este ataque de reflexión y amplificación se basa en el envío de un gran número de paquetes UDP modificados, en los que el atacante indica como dirección IP de origen la de la víctima final. Estos paquetes se envían contra, por ejemplo, una botnet, estas máquinas al recibir el paquete generan una respuesta al mismo que en tamaño puede ser hasta 54 veces la del original, generando una ingente cantidad de tráfico no deseado contra la víctima lo que finalmente provoca la denegación de servicio. Por poner un sencillo ejemplo un paquete modificado que se envíe de 64 bytes puede generar una respuesta de 3400 bytes, solo queda multiplicar por los miles de nodos de una botnet para suponer el daño.
Como siempre, en casos de ransomware o de cualquier otro ransom, lo más importante es no caer en pánico y nunca pagar. El Instituto nacional de ciberseguridad (INCIBE) pone a disposición de empresas y particulares teléfonos y métodos de contacto para pedir ayuda en estos casos
