Campanhas de ransom de negação de serviço em 2022 estão mais sofisticadas

Os pesquisadores observaram um aumento significativo nas atividades de DDoS em todo o mundo e recomendam que as organizações permaneçam vigilantes e aumentem suas defesas com soluções de detecção e mitigação de DDoS

Compartilhar:

Nos últimos meses, os pesquisadores da Radware observaram um aumento significativo nas atividades de DDoS em todo o mundo. Táticas, técnicas e procedimentos (TTPs) adotados pelos grupos estão evoluindo, gerando angústia às empresas alvo especialmente nos EUA, Ásia e Europa. A Radware está sendo regularmente consultada para integrar rapidamente novos clientes nos setores público, de serviços financeiros e de prestação de serviços.

 

Um ponto preocupante observado pela Radware surgiu com grupos de ataques Ransom DoS (RDoS) se tornando cada vez mais avançados e sofisticados, e passando a orquestrar ataques mais complexos.

 

A Radware recomenda que as organizações permaneçam vigilantes e aumentem suas defesas com soluções de detecção e mitigação de DDoS — e aconselha fortemente a não pagar o valor do resgate.

 

A Phantom Squad está de volta?

 

Após uma lacuna de cinco anos, uma nova carta de ransomware foi divulgada, com análises sugerindo que ela tem os traços de assinatura do grupo de RDoS Phantom Squad. Em 22 de maio de 2022, uma carta de resgate quase idêntica à usada nas campanhas de RDoS da Phantom Squad em 2017 apareceu. A única diferença entre a carta de 2017 e a versão atual de 2022 é a adição de uma seção de segmentação, onde o grupo de ameaças fornece endereços IP e nomes de domínio que seriam seus alvos pretendidos.

 

Até o momento, apenas uma carta veio à tona, sem que haja paralisações ou demonstrações de ataques direcionados aos alvos.

 

REvil retorna – a anatomia dos ataques

 

Ao mesmo tempo, um grupo que afirma ser o REvil renovou sua campanha de ataques RDoS usando pedidos de flood HTTPS.

 

Ao contrário da Phantom Squad, o grupo que afirma ser o REvil não está apenas realizando ameaças, mas também causando estragos. Primeiro eles enviam à vítima pretendida uma nota de resgate, e depois passam a usar táticas mais avançadas. As táticas incluem incorporar a nota de resgate e demandas na carga do ataque. O grupo está realizando ataques criptografados de alta taxa na camada de aplicação (várias milhões de solicitações por segundo). Esses ataques duram cerca de cinco minutos e incluem mensagens incorporadas na URL de solicitação. O grupo que afirma ser o REvil também foi observado usando o Twitter no ano passado para pressionar ainda mais suas vítimas.

 

Conselhos às organizações

 

A Radware recomenda que organizações, ISPs e CSPs de qualquer tamanho e vertical avaliem a proteção de suas conexões à internet e planejem contra ataques RDoS distribuídos globalmente, destinados a servidores DNS e tentativas de saturação dos uplinks de internet.

 

“Grupos de ameaças RDoS que se passam pela Phantom Squad e REvil parecem estar mirando organizações na Europa, Estados Unidos e Ásia. E, apesar da campanha da Phantom Squad de 2017 ter sido realizada sem ataques reais de DDoS, recomendamos que as organizações permaneçam vigilantes. O grupo que afirma ser o REvil tem lançado ataques DDoS em larga escala e tem usado táticas avançadas para pressionar suas vítimas. No ano passado, notamos que os ataques RDoS se tornaram uma ameaça persistente, e não esperamos que isso mude tão cedo”, comenta Daniel Smith, Chefe de Pesquisa da divisão de inteligência de ameaças cibernéticas da Radware.

Conteúdos Relacionados

Security Report | Overview

Violações de dados geram perda de 18% no PIB nacional, aponta Instituto

Estudo elaborado pelo Instituto Nacional de Combate ao Cibercrime (INCC) mostra impactos preocupantes dos custos de violações de dados no...
Security Report | Overview

Setor financeiro no Brasil sofreu cerca de 1.774 ciberataques por semana, diz estudo

Globalmente, o setor bancário sofreu uma média de 1.696 ciberataques semanais por organização nos últimos seis meses, e as ameaças...
Security Report | Overview

Relatório alerta sobre brechas em sistemas Microsoft, Facebook e WordPress

Estudo da Redbelt também destaca um anúncio realizado pela divisão de nuvem do Google que aplicará a autenticação multifator (MFA)...
Security Report | Overview

Mobly forma parceria para ampliar visibilidade de SI e reduzir falsos positivos

Ambiente implementado pela Add Value permitiu a integração de solução CrowdStrike que melhorou a visibilidade e o controle sobre os...