0
0
Ataque de negação de serviço contra servidor de uma rede hoteleira alcançou 15 kRps (solicitações por segundo)
Um relatório publicado hoje pelo pesquisador Larry Cashdollar, membro do SIRT (Security Incident Response Team) da Akamai, conta que um grupo que se intitula REvil fez um ataque de negação de serviço (DoS) contra a rede de uma empresa hoteleira que é cliente da empresa. O ataque não foi recorde, mas alcançou 15 kRps (solicitações por segundo), mais do que o suficiente sufocar um servidor.
Em tese o grupo REvil devia estar morto: ele ficou conhecido na comunidade de segurança pelo ataque de ransomware contra a Kaseya em 2021 e contra a JBS. No entanto, o REvil teria sido desorganizado em março de 2022 pelo governo russo.
O incidente informado à Akamai ocorreu em 12 de maio de 2022. foi submetida a um ataque DDoS. O ataque teria aparência comum se não fosse uma mensagem exigindo pagamento. O relatório de Larry Cashdollar diz que “este ataque foi um ataque DDoS coordenado, com pico de tráfego de 15 kRps, que consistiu em uma simples solicitação HTTP GET na qual o caminho da solicitação continha uma mensagem para o alvo – 554 bytes exigindo pagamento. A mensagem dizia que para que os ataques cessassem, era preciso transferir bitcoins para um endereço de wallet. Houve também uma demanda geoespecífica adicional, solicitando que a empresa-alvo interrompesse as operações comerciais em todo o país. Se a empresa visada não cumprisse as demandas comerciais/políticas e não pagasse a extorsão no prazo desejado, um novo ataque seria feito, afetando as operações comerciais do cliente globalmente”.
O relatório diz que a campanha seguiu um padrão semelhante ao ataque da Imperva, que incluiu a string “revil” na URL como parte da mensagem de extorsão direcionada às equipes de operações e executivos da empresa-alvo. Demandas políticas não são características do REvil. No entanto, alguns especialistas acreditam que a situação no mundo pode afetar o comportamento do grupo de ransomware que ataca a infraestrutura crítica do Ocidente.
O relatório da Akamai também não confirma a “autenticidade” do grupo. Por exemplo, o número da carteira bitcoin usado pelos invasores não tem conexão óbvia com a do REvil original. Talvez os cibercriminosos simplesmente tenham usado táticas consagradas para forçar a vítima a pagar o resgate o mais rápido possível, diz o relatório.
Pesquisadores de segurança cibernética observaram que traços do REvil aparecem em alguns ataques, mas isso não é uma evidência direta do retorno do grupo.
FONTE: CISO ADVISOR