A extinta gangue de ransomware REvil está reivindicando a responsabilidade por uma recente campanha distribuída de negação de serviço (DDoS) contra um cliente de hospitalidade do provedor de rede em nuvem Akamai. No entanto, é altamente possível que o ataque não seja um ressurgimento do infame grupo cibercriminoso, mas uma operação imitadora, disseram os pesquisadores.
Os pesquisadores da Akamai monitoram o ataque DDoS desde 12 de maio, quando um cliente alertou a equipe de resposta a incidentes de segurança (SIRT) da empresa sobre uma tentativa de ataque por um grupo que alega estar associado ao REvil, revelou a Akamai em um post de blog na quarta- feira.
“Os ataques até agora visam um site enviando uma onda de solicitações HTTP/2 GET com algumas técnicas de bloqueio de cache para sobrecarregar o site”, escreveu o pesquisador de vulnerabilidades da Akamai SIRT, Larry Cashdollar, no post. “As solicitações contêm demandas incorporadas de pagamento, uma carteira bitcoin (BTC) e demandas comerciais/políticas.”
No entanto, embora os invasores afirmem ser REvil, não está claro neste momento se o grupo de ransomware extinto é responsável, pois as tentativas parecem menores do que campanhas semelhantes anteriores pelas quais o grupo reivindicou a responsabilidade, disseram os pesquisadores.
Também parece haver uma motivação política por trás da campanha DDoS, que é inconsistente com as táticas anteriores do REvil, nas quais o grupo alegou que foi motivado apenas por ganhos financeiros.
O REvil, que faliu em julho de 2021, era um grupo de ransomware como serviço (RaaS) com sede na Rússia, conhecido por seus ataques de alto perfil contra Kaseya , JBS Foods e Apple Computer , entre outros. A natureza disruptiva de seus ataques estimulou as autoridades internacionais a agir duramente contra o grupo, com a Europol prendendo vários afiliados da gangue em novembro de 2021.
Finalmente, em março de 2022, a Rússia – que até então havia feito pouco para frustrar a operação do REvil – reivindicou a responsabilidade de desmantelar totalmente o grupo a pedido do governo dos EUA, prendendo seus membros individuais. Um dos presos na época foi fundamental para ajudar o grupo de ransomware DarkSide em um ataque paralisante em maio de 2021 contra a Colonial Pipeline, que resultou no pagamento de US$ 5 milhões em resgate pela empresa.
O recente ataque DDoS – que seria um pivô para o REvil – foi composto por uma simples solicitação HTTP GET na qual o caminho da solicitação continha uma mensagem para o alvo contendo uma mensagem de 554 bytes exigindo pagamento, disseram os pesquisadores. O tráfego no ataque à camada 7 da rede – a camada de interação humano-computador na qual os aplicativos acessam os serviços de rede – atingiu o pico de 15 kRps.
A vítima foi orientada a enviar o pagamento em BTC para um endereço de carteira que “atualmente não tem histórico e não está vinculado a nenhum BTC conhecido anteriormente”, escreveu Cashdollar.
O ataque também teve uma demanda geoespecífica adicional que solicitou que a empresa-alvo interrompesse as operações comerciais em todo o país, disse ele. Especificamente, os invasores ameaçaram lançar um ataque de acompanhamento que afetaria as operações comerciais globais se essa demanda não fosse atendida e o resgate não fosse pago em um prazo específico.
Há um precedente para o REvil usar DDoS em suas táticas anteriores como meio de extorsão tripla. No entanto, além disso, o ataque não parece ser o trabalho do grupo de ransomware, a menos que seja o início de uma operação totalmente nova, observou Cashdollar.
O modus operandi típico do REvil era obter acesso a uma rede ou organização alvo e criptografar ou roubar dados confidenciais, exigindo pagamento para descriptografar ou impedir o vazamento de informações para os maiores licitantes ou ameaçando a divulgação pública de informações confidenciais ou prejudiciais, disse ele.
A técnica vista no ataque DDoS “se afasta de suas táticas normais”, escreveu Cashdollar. “A gangue REvil é um provedor de RaaS e não há presença de ransomware neste incidente”, escreveu ele.
A motivação política ligada ao ataque – que está ligada a uma decisão legal sobre o modelo de negócios da empresa-alvo – também vai contra uma afirmação que os líderes do REvil fizeram no passado de que eles são puramente lucrativos. “Não vimos o REvil ligado a campanhas políticas em nenhum outro ataque relatado anteriormente”, observou Cashdollar.
No entanto, é possível que o REvil esteja buscando um ressurgimento mergulhando em um novo modelo de negócios de extorsão DDoS, disse ele. O mais provável é que os invasores da campanha estejam apenas usando o nome de um notório grupo de criminosos cibernéticos para assustar a organização-alvo para que atenda às suas demandas, disse Cashdollar.
“Que melhor maneira de assustar sua vítima do que alavancar o nome de um grupo notável que causa medo nos corações dos executivos e equipes de segurança das organizações em amplas áreas da indústria”, escreveu ele.
Fonte: https://threatpost.com/
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…