Especialistas em segurança estão alertando sobre uma nova campanha global de extorsão relacionada a DDoS visando empresas que operam nos setores de comércio eletrônico, finanças e viagens.
A Radware disse que rastreia os atores da ameaça desde meados de agosto, com vítimas na América do Norte, APAC e EMEA. Os e-mails são normalmente entregues alegando vir de grupos patrocinados pelo estado, como Fancy Bear e Lazarus Group, bem como o “Armada Collective”.
O último grupo foi vinculado a e-mails de extorsão semelhantes enviados em anos anteriores.
Os e-mails de resgate ameaçam lançar ataques DDoS contra a organização destinatária de mais de 2 Tbps, se o pagamento de algo entre 10 e 20 BTC ($ 113.000-226.000) não for feito. Eles também ameaçam aumentar o resgate em 10BTC para cada prazo perdido.
Também incluídos nas mensagens estão os Números do Sistema Autônomo (ASNs) ou endereços IP de servidores ou serviços que o grupo diz que terá como alvo se suas demandas não forem atendidas.
“Em mensagens de acompanhamento, os atores da ameaça ressaltam que o endereço Bitcoin exclusivo da carta inicial ainda está vazio e reiteram a seriedade da ameaça. Eles também fornecem palavras-chave e nomes de organizações para que a organização-alvo possa pesquisar interrupções de DDoS recentes, seguidas pela pergunta retórica ‘Você não quer ser como eles, quer?’ ”, Explicou Radware.
“Em muitos casos, a ameaça de resgate é seguida por ataques cibernéticos que variam de 50 Gbps a 200 Gbps. Os vetores de ataque incluem UDP e UDP-Frag floods, alguns aproveitando a amplificação WS-Discovery, combinados com TCP SYN, TCP fora do estado e ICMP Floods. ”
Os destinatários dos e-mails foram instados a não pagar o resgate.
Ao mesmo tempo, Radware afirmou ter observado vários ISPs europeus sendo atingidos por ataques DDoS de DNS desde a semana passada, embora não haja nenhum link óbvio para a campanha de resgate.
Um grupo usando o nome “Armada Collective” tentou um estratagema de resgate semelhante em 2016, quando a Cloudflare alegou ter ouvido de 100 clientes que haviam recebido ameaças de extorsão e pedidos de pagamento de 10-50 BTC.
Um ano depois, o Infosecurity noticiou um grupo que se autodenominava “Phantom Squad”, que copiava o mesmo truque.
FONTE: INFOSECURITY MAGAZINE