0
0
Organizações em todo o mundo – incluindo a Travelex – receberam cartas ameaçando lançar ataques DDoS em sua rede, a menos que um resgate de US$ 230 mil seja pago.
Empresas em todo o mundo continuaram a receber e-mails de extorsão ameaçando lançar um ataque de negação de serviço distribuído (DDoS) em sua rede, a menos que eles paguem – com a empresa britânica de câmbio Travelex supostamente sendo um recente destinatário de ameaças de alto perfil.
Pesquisadores disseram que, desde meados de agosto, várias empresas receberam e-mails que avisam que sua rede da empresa será atingida por um ataque DDoS em cerca de uma semana. O pedido inicial de resgate é fixado em 20 BTC – o que se traduz em cerca de US $ 230.000 no momento da escrita – e os cibercriminosos ameaçam aumentar esse resgate em 10 BTC para cada dia não pago, disseram os pesquisadores.
Embora um alto nível de atividade tenha sido rastreado pela primeira vez em agosto, essa atividade desacelerou na primeira quinzena de setembro – apenas para “crescer significativamente” no final de setembro e início de outubro, disseram pesquisadores da Radware ao Threatpost.
A Travelex (que passou por sua parcela de problemas de segurança no último ano, começando com um ataque de ransomware de Ano Novo ) foi uma dessas organizações ameaçadas com um ataque DDoS, a menos que pagasse 20 bitcoins (BTC), informaram pesquisadores da Intel471 na terça-feira. Um endereço de carteira de bitcoin no e-mail mostra que a Travelex não pagou os atacantes em nenhum momento, disseram eles.
“Após o e-mail de extorsão, o ator de ameaças realizou um ataque volumoso em uma porta personalizada de quatro endereços IP que atendem aos subdomínios da empresa”, segundo os pesquisadores da Intel471. “Dois dias depois, os atacantes realizaram outro ataque de amplificação DNS contra o Travelex usando servidores Google DNS.”
Threatpost entrou em contato com a Travelex para mais comentários sobre a ameaça de extorsão do DDoS.
Ameaças de extorsão do DDoS em andamento
Embora a campanha de resgate DDoS esteja em andamento desde agosto e tenha recebido cobertura generalizada, pesquisadores com a Radware disseram em um post de quarta-feira que continuam vendo empresas em todo o mundo receberem os e-mails de extorsão – e que os atacantes estão se tornando mais sofisticados.
“Não há como se comunicar com os chantagistas, então não há opção de negociar e a única maneira de passar uma mensagem é enviando BTC para o endereço bitcoin mencionado na carta”, disseram os pesquisadores.
Os e-mails de extorsão afirmam que o grupo de ameaças já lançou um pequeno ataque DDoS aos IPs da vítima (do número ASN mencionado na carta) para dar legitimidade à ameaça. Os atacantes também afirmam que têm a capacidade de realizar ataques volumosos que atingem o pico de 2Tbps – quase atingindo os níveis do ataque de 2,3 Tbps direcionado a um cliente da Amazon Web Services em fevereiro, que foi o maior ataque dDoS volutrico já registrado.
“ Essas ameaças não são farsas, e os atores têm seguido com ataques”, disse Pascal Geenens, diretor de inteligência de ameaças da Radware, ao Threatpost. “Embora não tenhamos observado o ataque de 2TBps ameaçado na carta incluída no relatório, as organizações viram ataques que variam até 300GBps e combinando vários vetores de ataque. Esses ataques podem ser devastadores para muitas organizações.”
Note-se que as ameaças de extorsão foram enviadas para endereços de e-mail genéricos dentro das empresas, que nem sempre atingiram a pessoa certa na organização – e foram até mesmo recebidas por subsidiárias de empresas do país errado. No entanto, enquanto as iterações anteriores da nota de resgate eram elementares, os pesquisadores observaram o ator de ameaça aumentando sua sofisticação.
“As cartas foram melhoradas desde o início da campanha, corrigindo alguns erros de digitação, reformulando algumas ações para melhor clareza e a cobertura da imprensa sobre ataques anteriores de DDoS que impactaram as organizações financeiras foi adicionada para incutir mais medo”, disseram os pesquisadores.
O ator de ameaça pretende ser vários APTs, posando como Fancy Bear, Armada Collective e Lazarus Group. Os atores parecem ter uma preferência de APT dependendo da vertical que estão tentando convencer a pagar um resgate: os cibercriminosos pretendem ser o Lazarus Group ao mirar organizações financeiras, (como no caso da Travelex, por exemplo), enquanto fingem ser Fancy Bear enquanto visam a tecnologia e as organizações de fabricação.
No entanto, os pesquisadores apontaram para discretas que mostram que os atores de ameaça estão apenas se passando por esses APTs em vez de ser o negócio real: “Com base no que sabemos sobre as táticas, técnicas e procedimentos padrão desses grupos APT, a atividade de ameaça que estamos vendo não corresponde”, disse Geenens ao Threatpost. Atribuição é principalmente adivinhação, e é impossível fazer uma afirmação absoluta de uma forma ou de outra. Mesmo que um grupo da APT admitisse essas ameaças, seria impossível confirmar se eles estão mesmo dizendo a verdade.”
Vale a pena notar que essas ameaças de resgate não são novidade. Em 2019, cibercriminosos que se passavam por Fancy Bear lançaram ataques DDoS contra empresas do setor financeiro e exigiram pagamentos de resgate. E em 2016, um grupo (que também se chamava Armada Collective) enviou e-mails de extorsão para várias empresas online ameaçando lançar ataques DDoS se eles não fossem pagos em Bitcoin. Em 2015, o FBI disse que estava vendo um aumento no número de empresas sendo alvo de golpistas ameaçando lançar ataques DDoS se não pagassem um resgate.
Em suas cartas de resgate, os atacantes afirmam que não há contramedidas para proteger contra seus ataques. Os pesquisadores disseram que esse não é o caso, e aconselharam as organizações a não pagar o pedido de resgate: “Não há garantia de que os chantagistas honrarão os termos de sua carta”, disseram eles. Pagar apenas fundos de operações futuras, permite que eles melhorem suas capacidades e os motiva a continuar a campanha.”
FONTE: THREATPOST