Secondo un nuovo rapporto della società di sicurezza Radware, gli attori della minaccia dietro una campagna DDOS hanno preso di mira nuovamente lo stesso gruppo di vittime dopo che le organizzazioni non hanno pagato il riscatto iniziale.
Il rapporto rileva che le vittime sono state colpite per la prima volta dal gruppo non identificato nell’agosto o settembre 2020. Quindi, quando le vittime non sono riuscite a pagare la richiesta di riscatto iniziale, sono state inviate ulteriori e-mail di estorsione del riscatto a dicembre 2020 e gennaio, con gli autori della minaccia che chiedevano tra cinque a 10 bitcoin (da 160.000 a 320.000 dollari).
Subito dopo che le vittime hanno ricevuto la seconda serie di messaggi minacciosi, le organizzazioni sono state colpite da un attacco DDoS che ha superato i 200 Gbps ed è durato più di nove ore senza interruzioni, osserva il rapporto.
“Forse ci hai dimenticato, ma noi non ti abbiamo dimenticato. Eravamo impegnati a lavorare su progetti più redditizi, ma ora siamo tornati“, si legge nella seconda nota di riscatto, secondo Radware.
I ricercatori di Radware ritengono che i due round di attacchi siano stati condotti dallo stesso attore della minaccia a causa delle somiglianze nell’infrastruttura di attacco e dei messaggi ricevuti dagli aggressori. Inoltre, le aziende che hanno ricevuto le nuove lettere non sono state rivelate ai media lo scorso anno, quindi solo gli autori delle minacce originali avrebbero saputo che le organizzazioni erano state precedentemente prese di mira.
Cambiare tattica
I ricercatori di Radware affermano che le tattiche recentemente osservate con gli attacchi lanciati da questo particolare gruppo indicano un cambiamento fondamentale nel modo in cui opera. In precedenza, gli operatori si rivolgevano a un’azienda o a un settore per alcune settimane e poi andavano avanti.
“La campagna DDoS di riscatto globale 2020-2021 rappresenta un cambiamento strategico rispetto a queste tattiche. L’estorsione DDoS è ora diventata parte integrante del panorama delle minacce per le organizzazioni in quasi tutti i settori dalla metà del 2020“, afferma il rapporto.
L’altro grande cambiamento individuato è che questo gruppo di minacce non è più timido nel tornare a obiettivi che inizialmente ignoravano il loro attacco o minaccia, con Radware che afferma che le aziende prese di mira l’anno scorso potrebbero aspettarsi un’altra lettera e un altro attacco nei prossimi mesi.
“Abbiamo chiesto di pagare 10 bitcoin a per evitare che l’intera rete subisca attacchi DDoS. È scaduto da molto tempo e non abbiamo ricevuto il pagamento. Perché? Che c’è? Pensi di poter mitigare i nostri attacchi? Pensi che sia stato uno scherzo o che ci arrenderemo e basta? In ogni caso, ti sbagli“, dice la seconda lettera, secondo Radware.
“La perseveranza, le dimensioni e la durata dell’attacco ci fanno credere che questo gruppo sia riuscito a ricevere pagamenti o che disponga di ampie risorse finanziarie per continuare i suoi attacchi“, afferma il rapporto.
Un altro motivo per cui Radware ritiene che gli hacker abbiano rilanciato la loro campagna passata è l’aumento del valore di Bitcoin. Mentre il prezzo del bitcoin si attestava a 10.000 dollari nell’agosto 2020, entro la fine dell’anno è balzato a circa 30.000 dollari.
Raccomandazioni
Anche se viene ricevuto un secondo giro di lettere e attacchi DDoS, Radware sconsiglia di pagare il riscatto dell’aggressore, poiché non vi è alcuna garanzia che un pagamento comporterà l’abbandono dei propri sforzi da parte dell’hacker.
“Sapere che un’organizzazione ha ceduto alla minaccia li porterà a tornare in futuro“, aggiunge il rapporto.
Altre raccomandazioni includono:
- Protezione DDoS ibrida per includere protezione DDoS in sede e cloud per la prevenzione degli attacchi DDoS in tempo reale che affronta anche attacchi ad alto volume e protegge dalla saturazione dei tubi;
- Rilevamento basato sul comportamento per identificare e bloccare rapidamente e accuratamente le anomalie consentendo il passaggio del traffico legittimo;
- La creazione di firme in tempo reale proteggerà prontamente da minacce sconosciute e attacchi zero-day;
- Predisporre un piano di risposta alle emergenze per la sicurezza informatica.
Tendenze degli attacchi DDoS
Questo mese, la società di sicurezza Check Point Research ha scoperto una nuova botnet chiamata FreakOut che ha lanciato attacchi DDoS per colpire i sistemi Linux vulnerabili
A dicembre, la società di sicurezza Citrix ha avvertito che gli autori delle minacce stavano sfruttando i prodotti ADC dell’azienda per condurre e amplificare gli attacchi di negazione del servizio distribuiti, secondo una notifica pubblicata dall’azienda.
In precedenza, l’FBI ha emesso un avvertimento che l’ufficio aveva visto un aumento costante non solo del numero di attacchi DDoS che interessavano le organizzazioni statunitensi, ma anche delle tecniche utilizzate per amplificare questi attacchi.