Grupo com nome do REvil faz ataque pesado de DDoS

Da Redação
26/05/2022

Um relatório publicado hoje pelo pesquisador Larry Cashdollar, membro do SIRT (Security Incident Response Team) da Akamai, conta que um grupo que se intitula REvil fez um ataque de negação de serviço (DoS) contra a rede de uma empresa hoteleira que é cliente da empresa. O ataque não foi recorde, mas alcançou 15 kRps (solicitações por segundo), mais do que o suficiente sufocar um servidor.

Em tese o grupo REvil devia estar morto: ele ficou conhecido na comunidade de segurança pelo ataque de ransomware contra a Kaseya em 2021 e contra a JBS. No entanto, o REvil teria sido desorganizado em março de 2022 pelo governo russo.

Veja isso
Hacker ucraniano ligado ao grupo REvil é extraditado para os EUA
Grupo REvil de ransomware preso pela polícia russa

O incidente informado à Akamai ocorreu em 12 de maio de 2022. foi submetida a um ataque DDoS. O ataque teria aparência comum se não fosse uma mensagem exigindo pagamento. O relatório de Larry Cashdollar diz que “este ataque foi um ataque DDoS coordenado, com pico de tráfego de 15 kRps, que consistiu em uma simples solicitação HTTP GET na qual o caminho da solicitação continha uma mensagem para o alvo – 554 bytes exigindo pagamento. A mensagem dizia que para que os ataques cessassem, era preciso transferir bitcoins para um endereço de wallet. Houve também uma demanda geoespecífica adicional, solicitando que a empresa-alvo interrompesse as operações comerciais em todo o país. Se a empresa visada não cumprisse as demandas comerciais/políticas e não pagasse a extorsão no prazo desejado, um novo ataque seria feito, afetando as operações comerciais do cliente globalmente”.

O relatório diz que a campanha seguiu um padrão semelhante ao ataque da Imperva, que incluiu a string “revil” na URL como parte da mensagem de extorsão direcionada às equipes de operações e executivos da empresa-alvo. Demandas políticas não são características do REvil. No entanto, alguns especialistas acreditam que a situação no mundo pode afetar o comportamento do grupo de ransomware que ataca a infraestrutura crítica do Ocidente.

O relatório da Akamai também não confirma a “autenticidade” do grupo. Por exemplo, o número da carteira bitcoin usado pelos invasores não tem conexão óbvia com a do REvil original. Talvez os cibercriminosos simplesmente tenham usado táticas consagradas para forçar a vítima a pagar o resgate o mais rápido possível, diz o relatório.

Pesquisadores de segurança cibernética observaram que traços do REvil aparecem em alguns ataques, mas isso não é uma evidência direta do retorno do grupo.

Compartilhar: