FBI: Migliaia di organizzazioni prese di mira dalla campagna di estorsione RDoS
4 Settembre 2020 - Tempo di lettura: 10 minuti
L'FBI avverte le aziende statunitensi che migliaia di organizzazioni in tutto il mondo, di vari settori industriali, sono state minacciate di attacchi DDoS entro sei giorni a meno che non paghino un riscatto in Bitcoin.
Gli hacker dietro questa vasta e continua campagna di riscatto DDoS (RDDoS o RDoS) iniziata il 12 agosto 2020, si atteggiano a noti gruppi di hacker come Fancy Bear, Cozy Bear, Lazarus Group e Armada Collective nelle note di riscatto consegnato alle aziende target.
Nel MU-000132-DD Flash Alert distribuito alle aziende statunitensi la scorsa settimana, il servizio di intelligence interno degli Stati Uniti aggiunge anche che la banda criminale sta attualmente prendendo di mira organizzazioni del settore verticale del settore della vendita al dettaglio, finanziario, dei viaggi e dell'e-commerce.
Sebbene l'FBI non abbia fornito alcun suggerimento sulle regioni prese di mira, la società israeliana di sicurezza informatica Radware, che ha anche emesso un avviso su questi attacchi oggi, afferma di aver ricevuto segnalazioni di attacchi da entità in Nord America, APAC (Asia-Pacifico) e EMEA (Europa, Medio Oriente e Africa).
I riscatti RDoS partono da 10 BTC
I riscatti richiesti dal gruppo variano tra 10 BTC (circa $ 113.000) e 20 BTC (circa $ 226.000) da pagare a indirizzi Bitcoin univoci per ciascuna vittima, secondo Radware.
Le note di riscatto dicono anche che gli attacchi DDoS saliranno a 2 Tbps se le aziende non riescono a trovare i soldi e pagare i riscatti, con la tassa di riscatto che cresce in incrementi di 10 BTC per ogni scadenza mancata una volta che gli attacchi iniziano.
La società statunitense di sicurezza cloud Akamai ha dichiarato in un rapporto separato che le lettere di riscatto sono simili a quelle inviate durante una campagna RDoS da novembre 2019, nonché a una del 2017 secondo l'allerta dell'FBI.
Se segnalate questo ai media e cercate di ottenere un po 'di pubblicità gratuita usando il nostro nome, invece di pagare, l'attacco inizierà definitivamente e durerà a lungo. (sic) "- Armada Collective
" ... i tuoi siti web e altri servizi connessi non saranno disponibili per tutti. Tieni inoltre presente che ciò danneggerà gravemente la tua reputazione tra i tuoi clienti. [...] Distruggeremo completamente la tua reputazione e ci assicureremo che i tuoi servizi rimangano offline finché non pagherai. (sic) "- Fancy Bear
L'FBI afferma che più organizzazioni colpite da questa campagna RDoS hanno segnalato attacchi dimostrativi di piccole dimensioni dopo aver ricevuto le note di riscatto ma, nella maggior parte dei casi, non sono stati seguiti da attività DDoS dopo la scadenza del termine di sei giorni.
Nonostante ciò, diverse organizzazioni hanno segnalato che le loro operazioni sono state influenzate da attacchi che non potevano essere mitigati.
Akamai ha affermato che questi attacchi dimostrativi "raggiungono il picco di quasi 200 Gb / sec, utilizzando ARMS, DNS Flood, GRE Protocol Flood, SNMP Flood, SYN Flood e WSDiscovery Flood come vettori principali".
Le aziende mirate hanno consigliato di non pagare il riscatto
L'FBI ha raccomandato alle società statunitensi che hanno ricevuto tali richieste di riscatto dalla banda criminale dietro questa campagna RDoS in corso di non pagare il riscatto dei criminali.
Cedendo alle loro richieste finanzierà direttamente le loro operazioni future come ha detto l'FBI e li incoraggerà anche a prendere di mira altre potenziali vittime.
Le aziende mirate sono inoltre esortate a segnalare eventuali attacchi RDoS che le interessano all'ufficio locale dell'FBI per fornire informazioni che potrebbero aiutare a prevenire attacchi contro altri obiettivi, nonché per identificare potenzialmente e ritenere gli aggressori responsabili delle loro azioni.
L'FBI consiglia alle organizzazioni statunitensi di utilizzare i servizi di mitigazione DDoS per identificare e bloccare automaticamente tali attacchi prima che le loro reti siano interessate.
Si consiglia inoltre di collaborare con il proprio provider di servizi Internet (ISP) per semplificare il monitoraggio del traffico di rete e bloccarlo in caso di attacco DDoS in corso.
