La società di cybersecurity Imperva venerdì ha dichiarato di aver recentemente mitigato un attacco DDoS (distributed denial-of-service) di riscatto rivolto a un sito web senza nome che ha raggiunto un picco di 2,5 milioni di richieste al secondo (RPS).
“Mentre gli attacchi DDoS con riscatto non sono nuovi, sembrano evolversi e diventare più interessanti con il tempo e con ogni nuova fase“, ha detto Nelli Klepfish, analista di sicurezza di Imperva. “Per esempio, abbiamo visto casi in cui la nota di riscatto è inclusa nell’attacco stesso incorporata in una richiesta URL“.
Le fonti principali degli attacchi provenivano dall’Indonesia, seguita da Stati Uniti, Cina, Brasile, India, Colombia, Russia, Thailandia, Messico e Argentina.
Gli attacchi DDoS (Distributed denial-of-service) sono una sottocategoria di attacchi DoS (denial-of-service) in cui un esercito di dispositivi online collegati, noto come una botnet, viene utilizzato per sommergere un sito web di destinazione con traffico fasullo nel tentativo di renderlo non disponibile per gli utenti legittimi.
L’azienda con sede in California ha detto che l’entità colpita ha ricevuto più note di riscatto incluse come parte degli attacchi DDoS, chiedendo alla società di effettuare un pagamento in bitcoin per rimanere online ed evitare di perdere “centinaia di milioni in market cap“.
In una svolta interessante, gli attaccanti si fanno chiamare REvil, il famigerato cartello di ransomware-as-a-service che ha subito una grande battuta d’arresto dopo che alcuni dei suoi operatori sono stati arrestati dalle autorità russe all’inizio di questo gennaio.
“Non è chiaro però se le minacce sono state davvero fatte dal gruppo REvil originale o da un impostore“, ha notato Klepfish.
L’attacco da 2,5 milioni di RPS sarebbe durato meno di un minuto, con uno dei siti gemelli gestiti dalla stessa azienda che ha sostenuto un attacco simile che è durato circa 10 minuti, anche se le tattiche impiegate sono state costantemente cambiate per evitare possibili mitigazioni.
Le prove raccolte da Imperva indicano che gli attacchi DDoS provengono dalla botnet Mēris, che ha continuato a sfruttare una vulnerabilità di sicurezza ora risolta nei router Mikrotik (CVE-2018-14847) per colpire obiettivi, tra cui Yandex lo scorso settembre.
“I tipi di siti che gli attori della minaccia stanno cercando di essere siti aziendali che si concentrano su vendite e comunicazioni“, ha detto Klepfish. “Gli obiettivi tendono ad essere statunitensi o europei con l’unica cosa che hanno in comune è che sono tutte società quotate in borsa e gli attori delle minacce usano questo a loro vantaggio facendo riferimento al danno potenziale che un attacco DDoS potrebbe fare al prezzo delle azioni della società“.
I risultati arrivano mentre gli attori maligni sono stati avvistati mentre armavano una nuova tecnica di amplificazione chiamata TCP Middlebox Reflection per la prima volta in natura per colpire le banche, i viaggi, i giochi, i media e le industrie di web hosting con un flusso di traffico falso.
L’attacco DDoS per il riscatto è anche la seconda attività legata alla botnet scongiurata da Imperva dall’inizio dell’anno, in quanto la società ha dettagliato un attacco di web scraping che ha preso di mira una piattaforma non identificata di annunci di lavoro alla fine di gennaio.
“L’aggressore ha utilizzato una botnet su larga scala, generando non meno di 400 milioni di richieste bot da quasi 400.000 indirizzi IP unici in quattro giorni con l’intento di raccogliere i profili di chi cerca lavoro“, ha detto la società di sicurezza.
