حملات جدید اخاذی DDoS در بازگشت گروه Fancy Lazarus کشف شد


محققان امنیتی فعالیت های جدید باج خواهی DDoS را توسط گروه تهدید Fancy Lazarus ردیابی می کنند. این حملات در درجه اول سازمان های ایالات متحده و جهانی را در تعدادی از بخش ها شامل انرژی ، مالی ، بیمه ، تولید ، خدمات و خرده فروشی هدف قرار می دهد.

این گروه که قبلاً از نام هایی مانند Fancy Bear ، Lazarus ، Lazarus Group و Armada Collective و غیره استفاده می کرد ، پس از یک کارزار برای باج دهی حملات DDoS علیه موسسات مالی و سازمان های جهانی که راه اندازی کرده بودند ، از آوریل تا مه 2021 حدود یک ماه به دار آویختن ادامه داد. در اواسط تا اواخر آگوست 2020. “در هر صورت ، تهدید کننده تهدید تقاضای پرداخت بیت کوین کرد یا در غیر این صورت یک حمله در مقیاس کوچک برای انکار سرویس با حمله قابل توجه تر فقط چند روز بعد آغاز خواهد شد” پست وبلاگ. اکنون این گروه با نام جدید و تغییراتی در تاکتیک ها ، تکنیک ها و رویه های خود (TTP) ظهور کرده است.

تغییراتی در روش حمله DDoS فانتزی لازاروس

محققان گفتند ، این تغییرات نشان دهنده تلاش قاطع گروه برای توسعه فعالیت های آن است. این تغییرات عبارتند از قیمت بازخرید – از 10 بیت کوین به قیمت اولیه 2 بیت کوین (به احتمال زیاد به عنوان نشانه ای از نوسان بیت کوین) و متن استفاده شده در ایمیل های ارسال شده به گیرندگان کاهش می یابد.

“سه نوع ایمیل ارسال شده به گیرنده های مشابه وجود دارد که همان اطلاعات را منتقل می کند ، به جز متن ایمیل در متن ساده ، HTML یا به عنوان پیوست در یک تصویر JPG. این احتمالاً تلاشی است برای جلوگیری از افشاگری ها “، محققان نوشتند. پیش از این ، فرستنده گاهی بالاترین مقام شرکت هدف را وارد می کرد ، مانند نام مدیر عامل شرکت. محققان گفتند که آخرین کمپین از یک قالب تصادفی برای نام و نام خانوادگی استفاده می کند و نامها ساختگی به نظر می رسند.

“جالب اینجاست که این گروه هنوز در حال بازگشت و تغییر ایمیل اصلی است که به طور بالقوه اثربخشی آن را نشان می دهد. با این حال ، بین اوت سال 2020 و اکنون ، آنها متن کاملاً متفاوتی را در ایمیل ها امتحان کرده اند. “

چگونه Fancy Lazarus حملات DDoS را ساختار می دهد

ایمیل ها با اعلام نامی که اکنون گروه از آن استفاده می کند و تأیید هدف قرار گرفتن مشخصاً سازمان قربانی آغاز می شوند. این ایمیل خواستار جستجوی گوگل به عنوان گواهی بر “کارهای قبلی” این گروه و قربانیان برجسته اخیر ، مانند بورس سهام نیوزیلند است. ایمیل می پرسد: “تو نمی خواهی مثل آنها باشی؟”

سپس ایمیل با جزئیات روند حمله را بیان می کند و بیان می دارد که شبکه گیرنده در طی هفت روز مورد حمله DDoS قرار می گیرد که تنها با پرداخت هزینه 2 بیت کوین در مهلت تعیین شده می توان از این امر جلوگیری کرد. مهاجمان برای اثبات جدی بودن خود گفتند كه حمله كوچكی به “چندین IPS تصادفی” انجام خواهند داد كه حدود دو ساعت طول خواهد كشید. این ایمیل ادامه داد: “این یک حمله شدید نخواهد بود و به شما آسیب نمی رساند.”

در مورد حمله تمام عیار ، این گروه ادعا می کند که به دلیل قدرت حمله هیچ مقابله ای انجام نمی شود ، به اعتقاد آنها این اوج به بالای 2 Tbps خواهد رسید. در این ایمیل آمده است: “این بدان معنی است که وب سایت ها و سایر خدمات مرتبط برای همه غیرقابل دسترسی هستند.” “اگر پرداخت نکنید ، حمله شروع می شود و هزینه توقف به 4 بیت کوین افزایش می یابد و پس از پایان مهلت بدون پرداخت 1 بیت کوین برای هر روز افزایش می یابد.”

افزایش حملات DDoS باج

Sherod DeGripo ، مدیر ارشد تحقیقات و کشف تهدیدات در Proofpoint ، در گفتگو با CSO ، توضیح داد که در حالی که حملات DDoS باج پیشرفت اخیر نیست ، پذیرش روز افزون ارز رمزنگاری شده تعداد حملات DDoS باج را به میزان قابل توجهی افزایش داده است.

“اخیراً ، فعالیت های بازخرید DDoS ، از سال گذشته ، با فعالیت های ناشی از این گروه ، افزایش یافته است. از آگوست سال 2020 ، زمانی که ما برای اولین بار ردیابی این فعالیت را آغاز کردیم ، محققان Proofpoint حدود 180 مشتری را مشاهده کرده اند که تعداد مختلفی از عمودی های مختلف و غیر مرتبط را ارسال می کنند. حدود 59 نفر از آنها در ماه اول مشاهده شدند. “

DeGrippo می افزاید: حملات بازخرید DDoS نیز م moreثرتر می شوند ، به ویژه علیه سازمان هایی که فایروال برای برنامه های وب یا ارائه دهندگان خدمات بالادستی ندارند که می توانند به طور م trafficثر ترافیک DDoS را از ترافیک قانونی فیلتر کنند. وی افزود: “بازیگران تهدید شده همیشه به دنبال کارآمدترین روش برای به دست آوردن خواسته های خود هستند ، در این صورت پرداخت مالی.” “حملات DDoS در حال آسان شدن است و پتانسیل آن را دارد که به میزان قابل توجهی کمتر از کارهایی که حمله باج افزار به آن نیاز دارد ، پرداخت کند. علاوه بر این ، با انجام این نوع حمله ، عامل تهدید از محافظت های امنیتی خودكار كه می تواند باج افزار را علامت گذاری و مسدود كند ، دور می زند. “

در مورد قانونی بودن ادعاهای این گروه مبنی بر اینکه حمله آنها به بیش از 2 Tbps خواهد رسید ، DeGrippo اذعان می کند که بدون دید کامل حملات ، تأیید با قطعیت دشوار است. با این حال ، “بر اساس گزارش های FBI و گروه های تبادل اطلاعات ، برخی از حملات تقریباً به 2 Tbps رسیده است”. همچنین لازم به ذکر است که گزارش FBI نشان می دهد بسیاری از شرکت های متضرر که مهلت تهدید شده را پشت سر می گذارند یا فعالیت اضافی نمی بینند یا فعالیت با موفقیت کاهش یافته است.

با این حال ، DeGrippo نتیجه گیری می کند ، سازمان ها باید با داشتن اقدامات تخفیف مناسب برای چنین حملاتی آماده باشند. “این شامل استفاده از سرویس محافظت DoS و آماده سازی برای برنامه های بازیابی حوادث است. پاسخ خوب در فناوری ها و مشارکت های خوب نهفته است که به فیلتر کردن ترافیک DDoS هنگام حمله کمک می کند. سازمان ها باید قبل از وقوع ، برنامه ای برای آنچه در این سناریوها باید انجام دهند ، داشته باشند. “

حق چاپ © 2021 ارتباطات IDG ، شرکت

Author: morteza

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *