São Paulo--(
DINO - 20 out, 2020) - Desde meados de agosto, a Radware vem recebendo cartas enviadas a várias organizações por atores que se apresentam como 'Fancy Bear', 'Armada Collective' ou 'Lazarus Group'. As cartas são enviadas para um endereço de e-mail genérico e nem sempre chegam imediatamente à pessoa certa na organização. As cartas foram aprimoradas desde o início da campanha, com a correção de alguns erros de digitação e a reformulação de algumas ações para maior clareza. A cobertura da imprensa de ataques de DDoS anteriores, que afetaram organizações financeiras, foi adicionada para gerar mais medo.APT38, LazarusOs APTs foram escolhidos cuidadosamente pelos atores e seguem determinada lógica. O 'Lazarus', também referido como 'APT38', ou 'BeagleBoyz' pela Cybersecurity and Infrastructure Security Agency (CISA), foi atribuído a ataques dirigidos principalmente a instituições financeiras. Acredita-se que tenha laços estreitos com o governo da Coreia do Norte. Embora o 'Lazarus' tenha como alvo organizações do setor financeiro, o DDoS não é uma tática normalmente usada pelo grupo para obter fundos. Ele recorre a estruturas de malware e a redes e servidores de pagamento comprometidos.APT28, Fancy Bear 'Fancy Bear', também conhecido como 'APT28' ou 'Sofacy Group', é um grupo russo de espionagem cibernética que parece ter vínculos estreitos com a agência de inteligência militar russa GRU, patrocinada pelo governo russo. O 'Fancy Bear' foi culpado pelas invasões ao DNC em abril de 2016. Normalmente, o grupo se dirige a organizações governamentais, militares de segurança. O Fancy Bear é considerado responsável também pelos ataques cibernéticos contra o parlamento alemão, estação de televisão francesa TV5monde, Casa Branca, OTAN, Comitê Democrático Nacional, Agência Mundial Anti-dopping, Organização para segurança e Cooperação na Europa e a campanha do candidato à presidência da França, Emmanuel Macron. O grupo promove os interesses políticos do governo russo e, entre outros, suas táticas incluem explorações de dia zero, spear phishing e sites de queda de malware disfarçados de fontes de notícias para comprometer seus alvos. O 'Fancy Bear' geralmente não recorre às táticas de DDoS e não se dirige a organizações de tecnologia ou indústria, a menos que elas estejam associadas com o governo ou as instituições políticas e queiram gerar influência ou caos políticos, mas não para ganho financeiro por extorsão.Resgate em bitcoin As cartas de extorsão enviadas pelo grupo Ransom DDoS alertam que a rede do destinatário estará sujeita a um ataque de DDoS a partir de uma semana do envio da carta. Na data de envio, os IPs de número ASN da vítima, mencionado na carta, sofrem um pequeno ataque para provar a legitimidade da ameaça, mas com a promessa de não causar danos para não preocupar a vítima. Eles alegam não haver contramedidas aos seus ataques e ter a capacidade de executar ataques volumétricos que atingem mais de 2 Tbps. A exigência de resgate inicial é fixada em 20 bitcoins (BTC - cerca de 230 mil dólares) e aumenta em 10 BTC por dia não pago, tempo pelo qual eles sustentam o ataque.Não há como se comunicar com os chantagistas, portanto não há opção para negociar, e a única maneira de receber uma mensagem é enviando o BTC para o endereço de bitcoin mencionado na carta. Cada vítima tem um endereço de bitcoin exclusivo para rastrear pagamentos. Se o pagamento não for cumprido no prazo fixado pelos criminosos, eles enviam uma mensagem de acompanhamento notificando que não encontraram pagamento do resgate.Como reagir? As ameaças devem ser levadas a sério, mas não devem preocupar organizações que tenham uma proteção adequada contra DDoS. Se a empresa não possuir proteção e receber uma carta é preciso encontrar um parceiro capaz de tomar medidas de mitigação para que os ataques sucessivos não afetem a organização e desestabilizem os negócios.Todas as organizações que recorreram à Radware e receberam uma carta de extorsão superaram os ataques. A magnitude é adaptada ao tamanho e à superfície de ataque da organização-alvo, que variaram de alguns gigabits por segundo até centenas de Gbps. Em alguns casos, os picos atingiam 300 Gbps (não os 2 Tbps anunciados), mas ainda eram devastadores para a maioria das organizações. Normalmente, os ataques duram algumas horas até que os invasores vejam que não estão progredindo.Em alguns casos foi percebido que invasores mudaram suas táticas e concentraram seus ataques aos serviços DNS das vítimas. O serviço DNS é muitas vezes hospedado fora da organização por provedores dedicados e alguns acabam sem proteção. É importante verificar as medidas de segurança para proteger os serviços DNS, porque simplesmente interromper a resolução de nome pode afetar tanto quanto um ataque direto ao próprio serviço. Essas ameaças devem ser levadas a sério, mas os ataques não têm um nível de complexidade ou amplitude que não possam ser atenuados quando há proteções adequadas implementadas. A Radware orienta as organizações a não pagar o pedido de resgate. Não há qualquer garantia de que os chantagistas cumprirão com os termos da carta. O pagamento só financia operações futuras, permite que eles aprimorem seus recursos e os motiva a continuar a campanha.