Campanhas de ransom de negação de serviço em 2022 estão mais sofisticadas

Nos últimos meses, os pesquisadores da Radware observaram um aumento significativo nas atividades de DDoS em todo o mundo. Táticas, técnicas e procedimentos (TTPs) adotados pelos grupos estão evoluindo, gerando angústia às empresas alvo especialmente nos EUA, Ásia e Europa. A Radware está sendo regularmente consultada para integrar rapidamente novos clientes nos setores público, de serviços financeiros e de prestação de serviços.

Um ponto preocupante observado pela Radware surgiu com grupos de ataques Ransom DoS (RDoS) se tornando cada vez mais avançados e sofisticados, e passando a orquestrar ataques mais complexos.

A Radware recomenda que as organizações permaneçam vigilantes e aumentem suas defesas com soluções de detecção e mitigação de DDoS — e aconselha fortemente a não pagar o valor do resgate.

A Phantom Squad está de volta?

Após uma lacuna de cinco anos, uma nova carta de ransomware foi divulgada, com análises sugerindo que ela tem os traços de assinatura do grupo de RDoS Phantom Squad. Em 22 de maio de 2022, uma carta de resgate quase idêntica à usada nas campanhas de RDoS da Phantom Squad em 2017 apareceu. A única diferença entre a carta de 2017 e a versão atual de 2022 é a adição de uma seção de segmentação, onde o grupo de ameaças fornece endereços IP e nomes de domínio que seriam seus alvos pretendidos.

Até o momento, apenas uma carta veio à tona, sem que haja paralisações ou demonstrações de ataques direcionados aos alvos.

REvil retorna – a anatomia dos ataques

Ao mesmo tempo, um grupo que afirma ser o REvil renovou sua campanha de ataques RDoS usando pedidos de flood HTTPS.

Ao contrário da Phantom Squad, o grupo que afirma ser o REvil não está apenas realizando ameaças, mas também causando estragos. Primeiro eles enviam à vítima pretendida uma nota de resgate, e depois passam a usar táticas mais avançadas. As táticas incluem incorporar a nota de resgate e demandas na carga do ataque. O grupo está realizando ataques criptografados de alta taxa na camada de aplicação (várias milhões de solicitações por segundo). Esses ataques duram cerca de cinco minutos e incluem mensagens incorporadas na URL de solicitação. O grupo que afirma ser o REvil também foi observado usando o Twitter no ano passado para pressionar ainda mais suas vítimas.

Conselhos às organizações

A Radware recomenda que organizações, ISPs e CSPs de qualquer tamanho e vertical avaliem a proteção de suas conexões à internet e planejem contra-ataques RDoS distribuídos globalmente, destinados a servidores DNS e tentativas de saturação dos uplinks de internet.

Daniel Smith, Chefe de Pesquisa da divisão de inteligência de ameaças cibernéticas da Radware, comentou: “Grupos de ameaças RDoS que se passam pela Phantom Squad e REvil parecem estar mirando organizações na Europa, Estados Unidos e Ásia. E, apesar da campanha da Phantom Squad de 2017 ter sido realizada sem ataques reais de DDoS, recomendamos que as organizações permaneçam vigilantes. O grupo que afirma ser o REvil tem lançado ataques DDoS em larga escala e tem usado táticas avançadas para pressionar suas vítimas. No ano passado, notamos que os ataques RDoS se tornaram uma ameaça persistente, e não esperamos que isso mude tão cedo.”

O relatório completo da Radware pode ser encontrado neste link.