Cybergang afirma que REvil está de volta e executa ataques DDoS
Atores que afirmam ser o grupo de ransomware extinto estão mirando um dos clientes da Akami com um ataque de camada 7, exigindo um pagamento de extorsão em Bitcoin.
A extinta gangue de ransomware REvil está reivindicando a responsabilidade por uma recente campanha distribuída de negação de serviço (DDoS) contra um cliente de hospitalidade do provedor de rede em nuvem Akamai. No entanto, é altamente possível que o ataque não seja um ressurgimento do infame grupo cibercriminoso, mas uma operação imitadora, disseram os pesquisadores.
Os pesquisadores da Akamai monitoram o ataque DDoS desde 12 de maio, quando um cliente alertou a equipe de resposta a incidentes de segurança (SIRT) da empresa sobre uma tentativa de ataque por um grupo que alega estar associado ao REvil, revelou a Akamai em um post de blog na quarta- feira.
“Os ataques até agora visam um site enviando uma onda de solicitações HTTP/2 GET com algumas técnicas de bloqueio de cache para sobrecarregar o site”, escreveu o pesquisador de vulnerabilidades da Akamai SIRT, Larry Cashdollar, no post. “As solicitações contêm demandas incorporadas de pagamento, uma carteira bitcoin (BTC) e demandas comerciais/políticas.”
No entanto, embora os invasores afirmem ser REvil, não está claro neste momento se o grupo de ransomware extinto é responsável, pois as tentativas parecem menores do que campanhas semelhantes anteriores pelas quais o grupo reivindicou a responsabilidade, disseram os pesquisadores.
Também parece haver uma motivação política por trás da campanha DDoS, que é inconsistente com as táticas anteriores do REvil, nas quais o grupo alegou que foi motivado apenas por ganhos financeiros.
Retorno do REvil?
O REvil, que faliu em julho de 2021, era um grupo de ransomware como serviço (RaaS) com sede na Rússia, conhecido por seus ataques de alto perfil contra Kaseya , JBS Foods e Apple Computer , entre outros. A natureza disruptiva de seus ataques estimulou as autoridades internacionais a agir duramente contra o grupo, com a Europol prendendo vários afiliados da gangue em novembro de 2021.
Finalmente, em março de 2022, a Rússia – que até então havia feito pouco para frustrar a operação do REvil – reivindicou a responsabilidade de desmantelar totalmente o grupo a pedido do governo dos EUA, prendendo seus membros individuais. Um dos presos na época foi fundamental para ajudar o grupo de ransomware DarkSide em um ataque paralisante em maio de 2021 contra a Colonial Pipeline, que resultou no pagamento de US$ 5 milhões em resgate pela empresa.
O recente ataque DDoS – que seria um pivô para o REvil – foi composto por uma simples solicitação HTTP GET na qual o caminho da solicitação continha uma mensagem para o alvo contendo uma mensagem de 554 bytes exigindo pagamento, disseram os pesquisadores. O tráfego no ataque à camada 7 da rede – a camada de interação humano-computador na qual os aplicativos acessam os serviços de rede – atingiu o pico de 15 kRps.
A vítima foi orientada a enviar o pagamento em BTC para um endereço de carteira que “atualmente não tem histórico e não está vinculado a nenhum BTC conhecido anteriormente”, escreveu Cashdollar.
O ataque também teve uma demanda geoespecífica adicional que solicitou que a empresa-alvo interrompesse as operações comerciais em todo o país, disse ele. Especificamente, os invasores ameaçaram lançar um ataque de acompanhamento que afetaria as operações comerciais globais se essa demanda não fosse atendida e o resgate não fosse pago em um prazo específico.
Potencial ataque de imitação
Há um precedente para o REvil usar DDoS em suas táticas anteriores como meio de extorsão tripla. No entanto, além disso, o ataque não parece ser o trabalho do grupo de ransomware, a menos que seja o início de uma operação totalmente nova, observou Cashdollar.
O modus operandi típico do REvil era obter acesso a uma rede ou organização alvo e criptografar ou roubar dados confidenciais, exigindo pagamento para descriptografar ou impedir o vazamento de informações para os maiores licitantes ou ameaçando a divulgação pública de informações confidenciais ou prejudiciais, disse ele.
A técnica vista no ataque DDoS “se afasta de suas táticas normais”, escreveu Cashdollar. “A gangue REvil é um provedor de RaaS e não há presença de ransomware neste incidente”, escreveu ele.
A motivação política ligada ao ataque – que está ligada a uma decisão legal sobre o modelo de negócios da empresa-alvo – também vai contra uma afirmação que os líderes do REvil fizeram no passado de que eles são puramente lucrativos. “Não vimos o REvil ligado a campanhas políticas em nenhum outro ataque relatado anteriormente”, observou Cashdollar.
No entanto, é possível que o REvil esteja buscando um ressurgimento mergulhando em um novo modelo de negócios de extorsão DDoS, disse ele. O mais provável é que os invasores da campanha estejam apenas usando o nome de um notório grupo de criminosos cibernéticos para assustar a organização-alvo para que atenda às suas demandas, disse Cashdollar.
“Que melhor maneira de assustar sua vítima do que alavancar o nome de um grupo notável que causa medo nos corações dos executivos e equipes de segurança das organizações em amplas áreas da indústria”, escreveu ele.
Fonte: https://threatpost.com/
