Grupos de DDoS auto intitulados “Armada Collective” e “Fancy Bear” extorquem vítimas

Os cibercriminosos que alegam representar grupos de ameaças bem conhecidos, como Fancy Bear e Armada Collective, têm ameaçado organizações com ataques distribuídos de negação de serviço (DDoS), alerta Akamai.

Os ataques começaram há cerca de uma semana e têm como alvo uma variedade de setores, incluindo financeiro e varejo, na tentativa de extorquir grandes somas de dinheiro de vítimas em potencial.

Semelhante aos grupos de extorsão que operaram no passado, os invasores entrariam em contato com as empresas vítimas avisando-as sobre um ataque DDoS iminente em sua infraestrutura, a menos que um resgate fosse pago.

As mensagens de extorsão são semelhantes às observadas em incidentes anteriores e, em alguns casos, alertam a vítima que, caso a solicitação de extorsão fosse divulgada publicamente, o ataque DDoS começaria imediatamente.

“Se você relatar isso para a mídia e tentar obter alguma publicidade gratuita usando nosso nome, em vez de pagar, o ataque começará permanentemente e durará muito tempo. (Sic)”, diz uma carta de extorsão supostamente vinda do Armada Collective.

“… seus sites e outros serviços conectados estarão indisponíveis para todos. Observe também que isso prejudicará gravemente sua reputação entre os clientes. […] Destruiremos completamente sua reputação e garantiremos que seus serviços permanecerão offline até você paga. (sic) “, afirma uma mensagem supostamente enviada pela Fancy Bear.

O grupo que afirma ser Armada Collective pede às vítimas que paguem um resgate de 5 BTC, ou 10 BTC após o prazo ser atingido. Eles também observam que o valor aumentará 5 BTC por dia, até que o resgate seja pago.

Os agressores que se autodenominam Fancy Bear pedem às vítimas que paguem 20 BTC em resgate, ou 30 BTC se o prazo for perdido. A quantidade aumentaria em 10 BTC para cada dia seguinte.

Em algumas das cartas, os atacantes afirmam ser capazes de lançar ataques DDoS de até 2 Tbps.

De acordo com a Akamai, as tentativas de extorsão são provavelmente obra de grupos de imitadores, e não de dois adversários conhecidos.

“O SIRT Akamai suspeita que as demandas de extorsão sejam originadas de copiadores que usam a reputação de grupos de ataque conhecidos como forma de intimidação para agilizar o pagamento” , observa Akamai , recomendando que as organizações se abstenham de pagar qualquer resgate.

O Armada Collective, um grupo de extorsão altamente ativo há cinco anos, inspirou vários grupos imitadores, alguns deles observados no final de 2015 e ao longo de 2016 .

Também conhecido como APT 28 , Pawn Storm, Strontium, Sednit e Tsar Team, o Fancy Bear é um grupo de ciberespionagem vinculado ao governo russo. Na verdade, os Estados Unidos dizem que é uma unidade militar do 85º Centro Principal de Serviços Especiais (GTsSS) do Estado-Maior Russo da Diretoria de Inteligência ( GRU ).

Fonte: https://www.securityweek.com/ddos-extorters-claim-be-armada-collective-fancy-bear