Pesquisadores de segurança estão rastreando novas atividades de extorsão por meio de ataques distribuídos de negação de serviço (DDoS) pelo grupo de hackers Lazarus. Os ataques têm como alvo principal organizações americanas e globais de uma variedade de setores, incluindo energia, financeiro, seguros, manufatura, serviços públicos e varejo.
O grupo — que anteriormente usava apelidos como Fancy Bear, Lazarus, Lazarus Group e Armada Collective, entre outros — agora ressurge com o nome de Fancy Lazarus e mudanças em suas táticas, técnicas e procedimentos (TTPs). Ele havia ficado fora de atividade por cerca de um mês, de abril a maio deste ano, após uma campanha de resgate de ataques DDoS contra instituições e organizações financeiras globais que começou em meados de agosto de 2020. “Em cada caso, os operadores da ameaça exigiram pagamento em bitcoin, caso contrário um ataque de negação de serviço em pequena escala seria lançado e, a seguir, um ataque mais substancial alguns dias depois”, explicaram os pesquisadores da empresa de segurança corporativa Proofpoint em uma postagem no blog corporativo.
Essas variações indicam o esforço do grupo para evoluir suas atividades, disseram os pesquisadores. Uma das mudanças é o preço do resgate, que foi reduzido de 10 bitcoin para um preço inicial de 2 bitcoin — provavelmente em razão do valor flutuante do bitcoin — e o texto usado nos e-mails enviados aos destinatários.
“Existem três variantes de e-mail enviadas para os mesmos destinatários, transmitindo as mesmas informações, exceto com o corpo do e-mail em texto simples, HTML ou como um anexo de imagem JPG. Esta é provavelmente uma tentativa de evitar detecções”, escreveram os pesquisadores. Anteriormente, o remetente, às vezes, incluía a pessoa de maior classificação da empresa-alvo, como o nome do CEO. Na campanha mais recente, um formato aleatório de nome e sobrenome é usado e os nomes parecem fictícios, disseram os pesquisadores.
Veja isso
Grupo hacker Lazarus muda alvo e agora mira o roubo de criptomoedas
Grupo de hackers Lazarus atualiza arsenal de ataques com malware Vyveva
Os e-mails começam com um anúncio do nome que o grupo está usando agora e enfatiza que a organização vítima foi especificamente visada. O e-mail incita a empresa a realizar uma pesquisa no Google como prova do “trabalho anterior” do grupo e de vítimas recentes de alto perfil, como a Bolsa de Valores da Nova Zelândia. “Você não quer ser como eles, quer?”, pergunta em tom de ameaça o grupo no e-mail.
Em seguida, o e-mail então descreve, em detalhes, o processo pelo qual o ataque ocorrerá, informando que a rede do destinatário estará sujeita a um ataque DDoS em sete dias que só pode ser evitado pagando uma taxa de 2 bitcoin no prazo estabelecido. Para provar sua seriedade, os invasores afirmam que começarão um pequeno ataque a “alguns IPS aleatórios” que durará cerca de duas horas. “Não será um ataque pesado e não causará nenhum dano a você”, continua o e-mail.
Quando se trata de um ataque em grande escala, o grupo afirma que não há contramedida devido ao poder do ataque, que eles dizem ter um pico de mais de 2 terabits por segundo (Tbps). “Isso significa que seus sites e outros serviços conectados não estarão disponíveis para todos”, diz o grupo no e-mail. “Se você não pagar, o ataque começará e a taxa de parada aumentará para 4 bitcoin e aumentará 1 bitcoin para cada dia após o prazo que passou sem pagamento.”