随着Fancy Lazarus 组织的回归,检测到新的 DDoS 勒索攻击
安全研究人员正在跟踪威胁行为者组织Fancy Lazarus 的新 DDoS 勒索活动。这些攻击主要针对来自能源、金融、保险、制造、公用事业和零售等一系列领域的美国和全球组织。
该组织以前使用Fancy Bear、Lazarus、Lazarus Group 和 Armada Collective 等绰号,在针对全球金融机构和组织发起勒索DDoS 攻击后,从2021 年 4 月到 2021 年 5 月中断了大约一个月。Proofpoint 研究人员在2020 年 8 月中下旬开始。博文。现在,该组织以新名称和战术、技术和程序(TTP) 变化重新出现。
Fancy Lazarus 的 DDoS 攻击方法的更改
研究人员说,这些变化表明该组织坚定地努力发展他们的活动。这些变化是赎金定价——从 10 个比特币降低到 2 个比特币的起始价格(很可能是为了识别比特币的波动价值)——以及发送给收件人的电子邮件中使用的措辞。
“除了电子邮件正文为纯文本、HTML 或 JPG 图像附件外,共有三种电子邮件变体发送给相同的收件人,传达相同的信息。这很可能是为了逃避检测,”研究人员写道。以前,发件人有时会包括目标公司的最高级别人员,例如首席执行官的姓名。研究人员说,在最新的活动中,使用了随机的名字、姓氏格式,名字看起来是虚构的。
“有趣的是,该小组仍在回过头来调整原始电子邮件,这可能表明其有效性。然而,从 2020 年 8 月到现在,他们在电子邮件中尝试了完全不同的文本,”研究人员补充说。
Fancy Lazarus 如何构建 DDoS 攻击
这些电子邮件以宣布该组织现在使用的名称开头,并承认受害组织已成为特定目标。该电子邮件敦促目标执行谷歌搜索,以证明该组织“以前的工作”和最近备受瞩目的受害者,如新西兰证券交易所。“你不想像他们一样,是吗?” 电子邮件询问。
然后,电子邮件详细概述了攻击发生的过程,并指出收件人的网络将在7 天内受到DDoS 攻击,只有在规定的截止日期前支付2 比特币的费用才能避免这种攻击。为了证明他们的严重性,攻击者声称他们将对“少数随机 IPS”进行小规模攻击,持续大约两个小时。“这不会是一次严重的攻击,也不会对您造成任何损害,”电子邮件继续说道。
当谈到全面攻击时,该组织声称由于攻击的力量,没有应对措施,他们表示攻击的峰值将超过2 Tbps。“这意味着您的网站和其他连接的服务将无法供所有人使用,”电子邮件中写道。“如果你不付款,攻击将开始,停止费用将增加到 4 个比特币,并且在没有付款的截止日期过后每天增加 1 个比特币。”
勒索DDoS 攻击的增长
Proofpoint 威胁研究和检测高级主管 Sherrod DeGrippo 在接受 CSO 采访时解释说,虽然勒索 DDoS 攻击不是最近的发展,但加密货币的日益普及正在显着推动勒索 DDoS 攻击的激增。
“最近,从去年开始,勒索 DDoS 活动有所增加,该活动来自该组织。自 2020 年 8 月我们首次开始跟踪此活动以来,Proofpoint 研究人员已经看到来自多个不同且不相关的垂直行业的大约 180 名客户发送了这些勒索电子邮件。在第一个月就看到了其中的 59 个。”
DeGrippo 补充说,勒索 DDoS 攻击也变得越来越有效,特别是针对缺乏 Web 应用程序防火墙或上游服务提供商的组织,这些组织可以有效地将 DDoS 流量从合法流量中过滤出来。“威胁参与者一直在寻找最有效的手段来获得他们想要的东西,在这种情况下是一种经济回报,”她补充道。“DDoS 攻击已经变得越来越容易发起,并且比勒索软件攻击所需的工作量要少得多。此外,通过进行此类攻击,威胁行为者绕过了自动安全保护措施,这些保护措施会标记和阻止勒索软件。”
关于该组织声称他们的攻击将超过2 Tbps 的合法性,DeGrippo 承认,如果没有对攻击的全面了解,很难确定验证。然而,“根据 FBI 的报告和信息共享小组,据报道,一些攻击达到了大约 2 Tbps,”她说。然而,还值得注意的是,联邦调查局的报告表明,许多已超过受威胁期限的受影响公司要么没有看到任何额外的活动,要么活动已成功缓解。
DeGrippo 总结说,无论如何,组织应该通过适当的缓解措施为此类攻击做好准备。“这包括使用 DoS 保护服务和准备好灾难恢复计划。良好的响应取决于良好的技术和合作伙伴关系,以帮助在受到攻击时过滤 DDoS 流量。组织必须在这些情况发生之前制定计划以应对这些情况。”