Crescem atividades de grupos de ransomware DDoS no mundo

Da Redação
31/05/2022

Pesquisadores da empresa de cibersegurança Radware constataram um aumento significativo nos últimos meses nos ataques distribuídos de negação de serviço (DDoS, do inglês Distributed Denial of Service) em todo o mundo. Táticas, técnicas e procedimentos (TTPs) adotados pelos grupos estão evoluindo, gerando angústia às empresas alvo especialmente nos EUA, Ásia e Europa. A Radware está sendo regularmente consultada para integrar rapidamente novos clientes nos setores público, de serviços financeiros e de prestação de serviços.

Um aspecto preocupante nesses ataques, observado pelos pesquisadores, é o aumento de grupos de hackers que estão operando com ransomware DDoS (RDoS), que tem se tornando cada vez mais sofisticados e passado a realizar ataques mais complexos. A Radware recomenda que as organizações permaneçam vigilantes e aumentem suas defesas com soluções de detecção e mitigação de DDoS — e aconselha fortemente a não pagar o valor do resgate.

Após uma lacuna de cinco anos, uma nova nota de pedido de resgate foi divulgada, com análises sugerindo que ela tem os traços de assinatura do grupo de RDoS Phantom Squad. A nota de resgate quase idêntica à usada nas campanhas de RDoS da Phantom Squad em 2017 veio à tona em 22 de maio. A única diferença dessa nota mais recente é a adição de uma seção de segmentação, em que o grupo de ameaças fornece endereços IP e nomes de domínio que seriam seus alvos pretendidos. Até o momento, apenas uma nota veio à tona, sem que tenha havido interrupções ou demonstrações de ataques direcionados aos alvos.

Veja isso
Grupo com nome do REvil faz ataque pesado de DDoS
Microsoft lança alerta: risco de DDoS contra sistemas Linux

Ao mesmo tempo, um grupo que afirma ser o REvil renovou sua campanha de ataques RDoS usando pedidos de flood HTTPS. Ao contrário da Phantom Squad, o grupo que afirma ser o REvil não está apenas realizando ameaças, mas também causando estragos. Primeiro eles enviam à vítima uma nota com pedido de resgate, e depois passam a usar táticas mais avançadas. As táticas incluem incorporar a nota de resgate e demandas na carga do ataque. O grupo está realizando ataques criptografados de alta taxa na camada de aplicação — várias milhões de solicitações por segundo. Esses ataques duram cerca de cinco minutos e incluem mensagens incorporadas na URL de solicitação. O grupo que afirma ser o REvil também foi observado usando o Twitter no ano passado para pressionar ainda mais suas vítimas.

A Radware recomenda que organizações, ISPs e CSPs de qualquer tamanho e vertical avaliem a proteção de suas conexões à internet e planejem contra ataques RDoS distribuídos globalmente, destinados a servidores DNS e tentativas de saturação dos uplinks de internet.

“Grupos de ameaças RDoS que se passam pela Phantom Squad e REvil parecem estar mirando organizações na Europa, Estados Unidos e Ásia. E, apesar da campanha da Phantom Squad de 2017 ter sido realizada sem ataques reais de DDoS, recomendamos que as organizações permaneçam vigilantes. O grupo que afirma ser o REvil tem lançado ataques DDoS em larga escala e tem usado táticas avançadas para pressionar suas vítimas. No ano passado, notamos que os ataques RDoS se tornaram uma ameaça persistente, e não esperamos que isso mude tão cedo”, alerta Daniel Smith, chefe de pesquisa da divisão de inteligência em ameaças cibernéticas da Radware.

Compartilhar: