Vykoupení nevyžaduje jen ransomware, dělají to i útoky DdoS: CERT-FR tak ve středečním zpravodaji naznačuje, že detekoval vlnu „distribuovaných útoků odmítnutí služby spojených s požadavky na vykoupení (RDDoS)“. CERT uvádí, že tyto útoky se mezi francouzskými společnostmi od srpna 2020 zvýšily, ale že příslušná kampaň již byla identifikována v roce 2019.
Více strachu než ublížení
Operace útoku popsaná CERTem je následující: oběti nejprve obdrží e -mail od pachatelů a identifikují se jako součást známé skupiny kyberzločinců (Lazarus, Carbanak, Silence, Fancy Bear nebo Armada Collective.) Poté uvedou pro oběť, že se zaměří na útoky Ddos a bude požadovat vykoupení (20 bitcoinů v příkladu od CERT-FR) a tvrdí, že může provádět útoky dosahující objemu 2 terabitů za sekundu. Aby povzbudily oběti k placení, po těchto e-mailech následuje „demonstrace útoků DdoS zaměřených na infrastrukturu back-endu obětí, API nebo dokonce servery DNS oběti“, která způsobí narušení služby. .
Jak vysvětluje CERT, tyto hrozby je třeba uvést na pravou míru: Anssi vysvětluje, že nezaznamenal žádné útoky, jejichž objem přesáhl 200 gigabitů za sekundu, tzn. významný útok, ale který je v rámci průměru pozorovaných útoků DdoS. poslední měsíce. Podle Anssiho nebyl po zaplacení zjištěn žádný rozsáhlý útok, ani nebyl vyplacen. „Tyto hrozby jsou jako podvod, protože žádná z pozorovaných nebyla implementována a následovala akce v případě nezaplacení,“ dodala agentura s upřesněním, že útočníci nebudou schopni rozlišit oběti, které zaplatily výkupné, od ti, kteří zaplatili. „Bitcoin ve skutečnosti zajišťuje anonymitu transakcí a jedna bitcoinová adresa je znovu použita v několika e -mailech určených k různým účelům. “
S pomocí této jedinečné bitcoinové adresy však agentura zjistila, že podvodníkům se prostřednictvím této e-mailové kampaně podařilo od obětí vybrat několik tisíc dolarů.
Strach, nejistota a DdoS
Kampaň byla identifikována již v roce 2019 a e -mail s hrozbou a použitá metoda jsou již popsány společností Akamai na konci loňského roku. Vlna hrozeb tohoto druhu byla objevena koncem srpna 2020, o čemž konkrétně informovala americká FBI, a skupiny používající tuto metodu zejména narušily fungování novozélandské burzy.
Skupina nebo skupiny stojící za útoky se snaží napodobit jiné známé skupiny a využít svou pověst k získání výkupného. Taktika, kterou mnoho skupin zná a používá již několik let: CloudFlare na tento typ škodlivého e -mailu upozorňoval již v roce 2016, což naznačuje, že se útočníci pokusili přestrojit za kolektiv Armady a vydírat bitcoiny obětem, které jsou příliš lehké.
V některých případech názvy skupin, které útočníci zmiňují, nejsou v žádném případě spojeny s útočnými kampaněmi DdoS: skupina Silence se například specializuje na škodlivé bankovnictví, stejně jako skupina Carbanak. Skupiny Fancy Bear nebo Lazarus jsou skupiny spojené se státy (Rusko a Severní Korea) a jejich aktivity jsou obecně propracovanější než útoky DdoS. Stále si můžeme pamatovat, že kolektiv Armady se specializuje na útoky DdoS v kombinaci s požadavky na vykoupení. Tato skupina, aktivní v roce 2015, však několik let mlčela.
Anssi zjevně radí výkupné neplatit, opak by byl překvapivý. V tomto konkrétním případě výplata nic nezmění, protože útočníci se primárně spoléhají na strach z vydírání peněz a nemají prostředky k provádění svých útoků. Můžeme si také pamatovat nedorozumění, které Protonmail zažil v roce 2015: v režii kolektivu Armady se zabezpečená e-mailová služba dohodla na výkupném pod nátlakem a útok stejně pokračoval. V každém případě je proto těžké přesvědčit sami sebe, že zaplacením výkupného něco změní.
