La réémergence des attaques par déni de service distribué (RDDoS) basées sur la rançon

NRZ.Digital
0 0

Au cours du second semestre 2020, Lumen Black Lotus Labs® a observé un nombre inquiétant d’entités recevant des e-mails contenant une menace d’attaque DDoS soutenue à moins qu’une rançon Bitcoin ne soit payée. Ces attaques n’auraient pas pu arriver à un pire moment, car de nombreuses entreprises sont devenues entièrement dépendantes de leur connectivité Internet pour se conformer aux restrictions COVID-19 imposées pour la sécurité ou le respect de la législation locale.

Aperçu rapide de Ransom DDoS; Ce que c’est et ce que ce n’est pas.

Une attaque Ransom DDoS (RDDoS) est un mécanisme permettant aux cybercriminels d’extorquer des fonds à une entreprise légitime en menaçant de lancer des attaques DDoS percutantes contre eux s’ils ne paient pas. Un élément important qui les distingue des autres attaques telles que les ransomwares, est qu’un acteur n’a pas besoin d’avoir un accès privilégié à aucun système pour effectuer une attaque RDDoS. Ces attaques RDDoS visent à épuiser toutes les ressources disponibles des réseaux, infrastructures ou applications facilement accessibles sur Internet. Cela rend à son tour ce service indisponible pour les utilisateurs légitimes. Ces types d’attaques peuvent nuire à la capacité d’une entreprise à fonctionner et nuire à sa réputation si elles ne sont pas traitées en temps opportun.

Black Lotus Labs a déjà observé ce type d’activité, remontant à 2016. Cependant, la campagne qui s’est déroulée en 2020 contraste avec les menaces précédemment observées en termes de volume d’attaques et de période pendant laquelle elle s’est produite. En fait, dans le passé, de nombreux groupes n’ont jamais effectué d’attaques DDoS du tout. Contrairement à ces menaces auparavant creuses, ce groupe de cybercriminels a effectué une attaque limitée afin de prouver leur capacité et leur intention malveillante. Ces attaques ont duré de quinze minutes à deux heures et se sont généralement concentrées sur les serveurs DNS ou le site Web public des organisations. Une fois l’attaque terminée, l’acteur envoie l’e-mail malveillant, exigeant un paiement via Bitcoin à un portefeuille contrôlé par l’acteur.

Études de cas sur les attaques RDDoS: Armada Collective, Lazarus Group et Cozy Bear

L’acteur de menace le plus important dans l’espace RDDoS est un groupe de cybercriminalité sans nom qui se présente comme des entités bien établies telles que «Fancy Bear», «Armada Collective», «Lazarus Group» ou plus récemment incorporant le surnom de «Cozy Bear».  » Jusqu’à présent, Black Lotus Labs n’a observé aucun chevauchement entre les activités RDDoS et les activités APT connues, telles que celles associées aux groupes de piratage Fancy Bear, Cozy Bear ou Lazarus.

Le groupe derrière cette campagne a commencé à gagner une notoriété généralisée quand il a commencé à envoyer une vague de courriels inquiétants vers le début d’août 2020. Certains extraits de la note de rançon peuvent être consultés ci-dessous, où ils prétendaient être le collectif Armada le 11 août. L’aspect notable de cette note était le coût élevé qu’ils exigeaient: 5 Bitcoins, qui dépassaient 50000 $ sur la base du taux de change du jour l’e-mail a été envoyé.

TRANSMETTRE CE MAIL À QUI EST IMPORTANT DANS VOTRE ENTREPRISE ET PEUT PRENDRE UNE DÉCISION!

Nous sommes Armada Collective.

Tous vos serveurs seront DDoS-ed à partir de lundi prochain (17 aoûte, 2020, 6 jours plus tard) si vous ne payez pas 5 Bitcoins @ [Bitcoin wallet]

Si vous ne payez pas d’ici lundi, l’attaque commencera, le prix de l’arrêt augmentera à 10 BTC et augmentera de 5 BTC pour chaque jour d’attaque.

Si vous signalez cela aux médias et essayez d’obtenir une publicité gratuite en utilisant notre nom, au lieu de payer, l’attaque commencera de façon permanente et durera longtemps.

Ce n’est pas une blague.

Nos attaques sont extrêmement puissantes – parfois plus de 1,5 Tbps par seconde. Ainsi, aucune protection bon marché n’aidera.

Ne répondez pas, nous ne lirons probablement pas. Payez et nous saurons que c’est vous. ET VOUS N’ENTENDREZ PLUS JAMAIS DE NOUS!

La première note de rançon mentionnée ci-dessus a été reçue après une attaque de deux heures. Pendant ce temps, nous avons observé un pic de trafic basé sur UDP en provenance du port 37810. Ce port est associé à Caméras réseau CCTV qui sont exposés à Internet. Cela a permis à l’attaquant de lancer une attaque réfléchissante basée sur UDP, en utilisant les services ouverts s’exécutant sur ces appareils. Les attaques utilisant ce port ne sont pas une nouvelle technique, et cette technique était auparavant utilisé dans les attaques DDoS basées sur l’IoT dès 2016.

Ce groupe a intensifié ses tactiques et a pris de l’importance quelques semaines plus tard en tant qu’attaque contre le Bourse de Nouvelle-Zélande l’a mis hors ligne pendant deux jours à compter du 26 août. La durée de cette attaque est inhabituelle par rapport aux autres victimes et suggère soit que les acteurs tentaient de faire la une des journaux pour augmenter la probabilité d’un autre paiement groupe d’acteurs opérant en même temps.

Nous soupçonnons que cette attaque a été le catalyseur du timing d’une Alerte Flash du FBI qui a été publié deux jours plus tard, le 28 août, décrivant cette activité RDDoS et la qualifiant de menace sérieuse qui avait touché «plusieurs organisations».

Pour capitaliser sur les manchettes de l’actualité, l’acteur de la menace a par la suite inclus des références à cette attaque de la bourse de Nouvelle-Zélande dans les notes de rançon ultérieures. Un extrait de la nouvelle note de rançon est référencé ci-dessous.

Veuillez effectuer une recherche Google sur «Lazarus Group» pour jeter un œil à certains de nos travaux antérieurs.

Effectuez également une recherche sur «NZX» ou «New Zealand Stock Exchange» dans les actualités. Vous ne voulez pas être comme eux, n’est-ce pas?

L’acteur menaçant a également élevé ses demandes à un coût exorbitant de 20 bitcoins. À l’époque, le 2 septembre, cette demande équivalait à plus de 200000 $ sur la base du taux de change en dollars américains. Ces notes de rançon ont ensuite été reçues après qu’une organisation ait subi une attaque DDoS réfléchissante par le service de gestion à distance Apple (ou ARM) UDP. Rapports sur ce type d’attaque ont été observés dès 2019. Dans les semaines qui ont suivi, Black Lotus Labs a observé cette même technique DDoSing d’autres organisations du secteur financier comme les bourses internationales, cependant aucune attaque prolongée n’a été observée.

L’une des campagnes les plus récentes associées à cet acteur menaçant a débuté le 24 octobre. Dans cette campagne, l’acteur a choisi le nom d’affichage «Fancy Bear» et a envoyé des e-mails aux victimes du domaine covidpapers[.]org. Quelques jours plus tard, le 27 octobre, les acteurs ont envoyé une autre vague d’e-mails prétendant être «Cosy Bear» du domaine coronaxy[.]com. Cela différait des campagnes précédentes qui utilisaient des fournisseurs de messagerie gratuits tels que ProtonMail et PrivateMail. Bien que ces campagnes se soient fait passer pour différents acteurs de la menace, le corps des e-mails était le même.

L’acteur menaçant a fait la même réclamation qu’auparavant, à l’organisation DDoS de la victime si elle ne payait pas avant le 2 novembre (9 jours plus tard). La seule différence était que l’entité a réduit sa demande à un peu plus de 1000 $ (USD) en Bitcoins (BTC). Ces e-mails ont été envoyés à des organisations dans plusieurs secteurs verticaux et pays. Bien qu’il n’y ait aucune preuve indiquant que cela était associé aux récentes élections américaines, Black Lotus Labs a observé un conseil des élections de comté parmi ceux qui ont reçu l’avis de menace. Cela montre que les acteurs ciblaient largement leurs notes, dans ce que nous pensons être une tentative de maximiser les profits.

Une autre caractéristique notable de la campagne, du moins pendant cette période, était que le même identifiant de portefeuille Bitcoin était envoyé à plusieurs organisations. Cet aspect particulier de l’envoi d’un identifiant de portefeuille à plusieurs organisations, au lieu d’attribuer un portefeuille unique à chaque organisation, signifiait que l’acteur n’avait aucun moyen clair de comprendre quelle victime avait ou n’avait pas effectué le paiement de sa rançon. Cela signifie qu’il était extrêmement peu probable qu’ils reviennent pour une attaque soutenue car il n’y avait aucun moyen pour l’acteur menaçant de discerner la source de tout paiement.

Présentation du Kadyrovtsy

Probablement en raison de leur succès, nous voyons maintenant d’autres criminels essayer de monétiser ce même crime RDDoS. Un groupe que nous avons récemment observé a utilisé le nom d’affichage «The Kadyrovtsy». À l’heure actuelle, nous pensons que cette entité fonctionne indépendamment de l’entité de cybercriminalité susmentionnée. Vous trouverez ci-dessous des extraits de la note de rançon envoyée le 18 novembre, associée à ce groupe particulier.

maintenant nous exécutons une petite démo d’attaque sur seulement une petite partie du réseau pendant 3 heures pour prouver que nous ne sommes pas du bluff

en pas payé après lundi l’attaque totale commence depuis longtemps sur tout votre réseau et vous perdez mal et nous augmentons le prix pour l’arrêter

si vous payez bien plus d’attaque et vous ne nous entendez plus jamais

Cette note a été envoyée après une attaque DDoS contre le destinataire qui a duré trois heures et demie. L’attaque a utilisé plusieurs types de techniques DDoS, telles que l’attaque d’amplification NTP, WS-Discovery et le trafic UDP discuté précédemment routeurs IoT vulnérables. À son apogée, l’attaque a généré un peu plus de 200 Gbps. Bien que cette attaque ait été plutôt modérée dans la quantité de trafic qu’elle a générée, nous pensons que cela illustre le fait que le problème RDDoS a peu de chances de disparaître.

Directives et considérations générales sur le RDDoS

Alors que le domaine du RDDoS en est encore à son adolescence par rapport à des cybercrimes plus établies, Black Lotus Labs estime que ce type de menace est susceptible de continuer à avoir un impact sur les organisations dans un avenir prévisible. Comme il est évident avec l’émergence du Kadyrovtsy, nous soupçonnons que RDDoS va probablement s’étendre pour devenir une autre facette du paysage de la cybercriminalité.

Nous recommandons aux organisations de NE PAS payer la demande de rançon car le paiement ne fait qu’alimenter davantage ce modèle commercial illicite. Même si une entreprise le fait, rien ne garantit que l’organisation criminelle arrêterait alors son attaque. De même, même si une organisation paie un groupe, la victime pourrait par la suite recevoir une autre note de rançon d’un autre groupe de cybercriminalité.

Afin de mieux se protéger contre les attaques DDoS, les entreprises doivent envisager une atténuation DDoS afin de s’assurer que le trafic d’attaque ne peut pas submerger les ressources. Les entreprises peuvent également envisager de déployer des applications sur une infrastructure hautement distribuée ou de faire de leur mieux pour rendre difficile l’énumération de leur infrastructure publique.

Black Lotus Labs continuera à suivre ces acteurs et leur activité grâce à une visibilité sur les attaques et le trading Bitcoin. Comme toujours, nous travaillons avec les opérateurs de ces infrastructures pour signaler et supprimer les infrastructures d’attaque et les portefeuilles, augmentant ainsi le coût pour l’acteur pour réussir.

En savoir plus sur la façon dont les Black Lotus Labs sont les défenseurs d’un Internet propre.

Apprendre encore plus

Ce blog est fourni à titre informatif uniquement et peut nécessiter des recherches et des justifications supplémentaires de la part de l’utilisateur final. De plus, les informations sont fournies «telles quelles» sans aucune garantie ou condition d’aucune sorte, expresse ou implicite. L’utilisation de ces informations est aux risques et périls de l’utilisateur final. Lumen ne garantit pas que les informations répondront aux exigences de l’utilisateur final ou que la mise en œuvre ou l’utilisation de ces informations entraînera le résultat souhaité pour l’utilisateur final. © 2021 Lumen Technologies. Tous les droits sont réservés.



Happy
Happy
0
Sad
Sad
0
Excited
Excited
0
Sleppy
Sleppy
0
Angry
Angry
0
Surprise
Surprise
0

Average Rating

5 Star
0%
4 Star
0%
3 Star
0%
2 Star
0%
1 Star
0%

Laisser un commentaire

Next Post

Une société Internet de Hong Kong a bloqué un site Web en raison d'une loi sur la sécurité

Cette photo montre la page principale du site Web HKChronicles, vue à Yokohama, au Japon, le jeudi 14 janvier 2021. Jeudi, un fournisseur de services Internet de Hong Kong a déclaré avoir bloqué l’accès à un site Web pro-démocratie pour se conformer à la politique nationale de la ville. droit […]

Abonnez-vous maintenant