E-mail


Senha

Lembrar senha

   
Informe o e-mail usado para fazer o login


   



Pesquisa




Campanha global de Ransom DDoS tem nova atualização
Enviar release
Este release no seu Blog ou Site

Recentemente, a Radware e o FBI fizeram um alerta sobre uma campanha global de ransom DDoS que tinha como foco instituições financeiras e outros setores. Nesta campanha, as empresas recebiam cartas de extorsão com ameaças nas quais a rede do destinatário estaria sujeita a um ataque de DDoS a partir de uma semana do envio da carta.


Desde meados de agosto, a Radware vem recebendo cartas enviadas a várias organizações por atores que se apresentam como “Fancy Bear”, “Armada Collective” ou “Lazarus Group”. As cartas são enviadas para um endereço de e-mail genérico e nem sempre chegam imediatamente à pessoa certa na organização. Em alguns casos, foram recebidas por subsidiárias ou filiais no país errado.

As cartas vindas com o remetente “Armada Collective” eram um pouco mais antigas e utilizavam linguagem diferente em comparação com as do mesmo período e as de extorsão mais recentes de atores que se apresentam como “Fancy Bear” e “Lazarus Group”. Estes últimos são consistentes no uso do idioma inglês, fazendo a correspondência parágrafo por parágrafo. As cartas foram aprimoradas desde o início da campanha, com a correção de alguns erros de digitação e a reformulação de algumas ações para maior clareza. A cobertura da imprensa de ataques de DDoS anteriores, que afetaram organizações financeiras, foi adicionada para gerar mais medo.

Todas as cartas que a Radware recebeu de diferentes organizações em todo o mundo indicam que \"Lazarus Group\" é o remetente quando o alvo é uma organização financeira. A Intel417 relatou recentemente que criminosos que se apresentam como Lazarus Group ameaçaram a Travelex, uma bolsa de valores britânica, com um ataque de DDoS em troca de um pagamento de 20 bitcoins.
O apelido “Fancy Bear” é usado apenas para alvos de tecnologia e indústria. Os atores parecem ter uma preferência por APT, dependendo da vertical que estão tentando convencer a pagar um resgate.

APT38, Lazarus

Os APTs foram escolhidos cuidadosamente pelos atores e seguem determinada lógica. O \"Lazarus\", também referido como \"APT38\", ou \"BeagleBoyz\" pela Cybersecurity and Infrastructure Security Agency (CISA) do Department of Homeland, foi atribuído a ataques dirigidos principalmente a instituições financeiras. Acredita-se que tenha laços estreitos com o governo da Coreia do Norte.

Na semana passada, a CISA publicou o alerta \"FASTCash 2.0:BeagleBoyz da Coreia do Norte rouba bancos”. O título do alerta AA20-239A deixa a desejar e atribui novos ataques ao \"Lazarus Group” à medida que ele aumenta seus esforços para angariar dinheiro para seu patrocinador, o governo norte-coreano. Por meio de inúmeras campanhas dirigidas a organizações no cenário da criptomoeda e no setor financeiro, a nação carente de recursos espera angariar fundos para o seu programa de mísseis.

Embora o “Lazarus” tenha como alvo organizações do setor financeiro, o DDoS não é uma tática normalmente usada pelo grupo para obter fundos. Ele recorre a estruturas de malware e a redes e servidores de pagamento comprometidos.

APT28, Fancy Bear \"Fancy Bear\", também conhecido como \"APT28\" ou \"Sofacy Group\", é um grupo russo de espionagem cibernética que parece ter vínculos estreitos com a agência de inteligência militar russa GRU, patrocinada pelo governo russo. O \"Fancy Bear\" foi culpado pelas invasões ao DNC em abril de 2016. Normalmente, o grupo se dirige a organizações governamentais, militares e de segurança. O Fancy Bear é considerado responsável também pelos ataques cibernéticos contra o parlamento alemão, estação de televisão francesa TV5monde, Casa Branca, OTAN, Comitê Democrático Nacional, Agência Mundial Anti-dopping, Organização para Segurança e Cooperação na Europa e a campanha do candidato à presidência da França, Emmanuel Macron. O grupo promove os interesses políticos do governo russo e, entre outros, suas táticas incluem explorações de dia zero, spear phishing e sites de queda de malware disfarçados de fontes de notícias para comprometer seus alvos.
O \"Fancy Bear\" geralmente não recorre às táticas de DDoS e não se dirige a organizações de tecnologia ou indústria, a menos que elas estejam associadas com o governo ou as instituições políticas e queiram gerar influência ou caos políticos, mas não para ganho financeiro por extorsão.

Resgate em bitcoin As cartas de extorsão enviadas pelo grupo Ransom DDoS alertam que a rede do destinatário estará sujeita a um ataque de DDoS a partir de uma semana do envio da carta. Na data de envio, os IPs de número ASN da vítima, mencionado na carta, sofrem um pequeno ataque para provar a legitimidade da ameaça, mas com a promessa de não causar danos para não preocupar a vítima. Eles alegam não haver contramedidas aos seus ataques e ter a capacidade de executar ataques volumétricos que atingem mais de 2 Tbps.

A exigência de resgate inicial é fixada em 20 BTC (cerca de 230 mil dólares no momento desta publicação) e aumenta em 10 BTC por dia não pago, tempo pelo qual eles sustentam o ataque.

Não há como se comunicar com os chantagistas, portanto não há opção para negociar, e a única maneira de receber uma mensagem é enviando o BTC para o endereço de bitcoin mencionado na carta. Cada vítima tem um endereço de bitcoin exclusivo para rastrear pagamentos. Se o pagamento não for cumprido no prazo fixado pelos criminosos, eles enviam uma mensagem de acompanhamento notificando que não encontraram pagamento do resgate no endereço de bitcoin e que este deve ser um erro por parte da vítima. Como eles não estão blefando ou tentando fazer dinheiro rápido, eles preferem o pagamento à destruição, dando à vítima uma \"segunda chance de reconsiderar antes de causar estragos\".

Como reagir? As ameaças devem ser levadas a sério, mas não devem preocupar organizações que tenham uma proteção adequada contra DDoS. Se você não tiver proteção e receber uma carta, encontre um parceiro capaz de ajudá-lo a tomar medidas de mitigação para que os ataques sucessivos não afetem sua organização e desestabilizem os negócios.

Todas as organizações que recorreram à Radware e receberam uma carta de extorsão como a exemplificada acima, superaram os ataques. A magnitude é adaptada ao tamanho e a superfície de ataque da organização-alvo, que variaram de alguns gigabits por segundo até centenas de Gbps. Em alguns casos, os picos atingiam 300 Gbps (não os 2 Tbps anunciados), mas ainda eram devastadores para a maioria das organizações.

Os vetores de ataque incluem reflexão ARMS, reflexão CLDAP, reflexão WS-Discovery, inundação GRE, inundação NTP, UDP e inundações de fragmentos UDP, combinados com TCP SYN, TCP fora de estado, reflexão DNS e inundações ICMP. Normalmente, os ataques duram algumas horas até que os invasores vejam que não estão progredindo.

Em alguns casos, vimos os invasores mudarem suas táticas e concentrarem seus ataques aos serviços DNS das vítimas. O serviço DNS é muitas vezes hospedado fora da organização por provedores dedicados e alguns acabam sem proteção. É importante verificar as medidas de segurança para proteger os serviços DNS, porque simplesmente interromper a resolução de nome pode afetar tanto quanto um ataque direto ao próprio serviço.

Não pague

Essas ameaças devem ser levadas a sério, mas os ataques não têm um nível de complexidade ou amplitude que não possam ser atenuados quando há proteções adequadas implementadas. A Radware orienta as organizações a não pagar o pedido de resgate. Não há qualquer garantia de que os chantagistas cumprirão com os termos da carta. O pagamento só financia operações futuras, permite que eles aprimorem seus recursos e os motiva a continuar a campanha.

Editorias: Ciência e Tecnologia  
Tipo: Pauta  Data Publicação:
Fonte do release
Empresa: IMS BRASIL  
Contato: Marcia Cerqueira  
Telefone: 11-31923806-

Envie um e-mail para o(a) responsável pela notícia acima:
Seu nome

Seu e-mail

Mensagem

Digite o código mostrado abaixo

  
Skype:
MSN:
Twitter:
Facebook:
Eventos
Copyright 2008 - DIFUNDIR - Todos os direitos reservados. Não é permitida a reprodução deste conteúdo sem prévia autorização.