Grupo de extorsão DDoS Fancy Lazarus ressurge com nova campanha
São Paulo 17/6/2021 –
Ataques são focados em ativos desprotegidos em todos os segmentos de mercado.
Há menos de um ano, um ator de ameaças de sequestro DDoS que se passava por “Fancy Bear” e “Lazarus Group” atacou indústrias específicas, como organizações financeiras, de turismo e comércio eletrônico, independentemente de as organizações terem ou não proteção DDoS. Esta campanha anterior se tornou uma das mais longas campanhas de extorsão DDoS da história.
A Radware, fornecedora de soluções de cibersegurança e entrega de aplicações, alerta sobre ressurgimento do Fancy Lazarus, que nas últimas semanas iniciou uma nova campanha focada em organizações de todos os tamanhos e setores que estejam com ativos desprotegidos.
Recentemente, a Radware identificou um aumento no atendimento de emergência em novos clientes que sofreram ameaças de ransomware DDoS. Nas últimas semanas, a Radware tem monitorado um aumento nas atividades de um ator de ameaças que se autodenomina Fancy Lazarus, mirando organizações com ativos que supostamente não estavam adequadamente protegidos e convidando-os a pagar um resgate para não sofrerem ataques DDoS devastadores.
Em suas cartas, os criminosos dão às suas vítimas sete dias para comprar Bitcoins e pagar o resgate antes que sofressem seus ataques DDoS. A cada dia de atraso no pagamento a taxa fica maior. O pedido de resgate varia entre os alvos e parece ser ajustado à reputação e tamanho da organização. O pedido de resgate também é menos expansivo em comparação com as enormes demandas de 10 e 20 bitcoins (cerca de US$ 370.000 e US$ 740.000 na data de hoje) observadas nas campanhas do ano passado. Desta vez, as demandas geralmente variam entre 0,5 Bitcoin (US$ 18.500) e 5 Bitcoins (US$ 185.000) e aumentam o mesmo valor para cada dia de atraso após o prazo.
“Esta é a primeira vez que vemos os criminosos mirando seletivamente as organizações e favorecendo aqueles com ativos desprotegidos em suas cartas de resgate”, disse Pascal Geenens, Diretor de Inteligência de Ameaças da Radware. “Isso mostra que os cibercriminosos estão utilizando informações de roteamento do Border Gateway Protocol para detectar se os alvos estão protegidos ou não por serviços de proteção em nuvem sempre ativos. Além disso, estamos vendo que o resgate DDoS, que tradicionalmente era um evento com tempo limitado e picos anuais, agora está se tornando uma ameaça persistente, que deve ser considerada como parte integrante do cenário de ameaças DDoS.”
Relatos de vítimas impactadas por ataques de extorsão confirmam essa observação. A maioria dos Provedores de Serviços de Internet (ISPs) e dos Provedores de Serviços em Nuvem (CSPs) das vítimas estavam equipados com serviços de mitigação DDoS para proteger seus clientes. No entanto, nem todos estavam preparados para ataques grandes e distribuídos globalmente visando seus servidores DNS ou saturando seus links de internet.
Ataques DDoS muito grandes e distribuídos globalmente só podem ser efetivamente mitigados com a interrupção do tráfego malicioso mais próximo de sua fonte e nunca permitindo vários fluxos de tráfego geograficamente distribuídos. Apenas serviços de proteção distribuídos globalmente e em anycast são eficazes contra esses tipos de ataques DDoS.
Geenens acrescenta: “O recente aumento das atividades criminosas deve ser um forte lembrete para que corporações, ISPs e CSPs de qualquer tamanho e segmento avaliem a proteção de seus serviços essenciais e conexões à internet e façam um planejamento contra ataques DDoS distribuídos globalmente que visem a saturação dos links. Isso ocorre especialmente no caso dos provedores de serviços e seus serviços de DNS. Acreditamos que as soluções híbridas DDoS fornecem o melhor dos dois mundos, com proteção on-premises contra todos os tipos de ataques DDoS, enquanto desviam automaticamente para um Serviço DDoS em nuvem quando o ataque aumenta um risco de saturação do link de internet.”