已解散的REvil勒索软件团伙声称对最近针对云网络提供商Akamai一位好客客户的分布式拒绝服务(DDoS)活动负责。然而,研究人员表示,这次袭击很可能不是臭名昭著的网络犯罪集团的死灰复燃,而是一次模仿行动。
Akamai研究人员自5月12日以来一直在监控DDoS攻击,Akamai周三在博客中透露,当时一名客户向公司的安全事件响应团队(SIRT)发出警报,称一个声称与REvil有关联的组织试图进行攻击。
Akamai SIRT漏洞研究人员Larry Cashdollar在帖子中写道:“到目前为止,攻击的目标是通过发送一波HTTP/2 GET请求,并使用一些缓存破坏技术来压倒网站。”。“这些请求包含嵌入式支付需求、比特币(BTC)钱包和商业/政治需求。”
然而,研究人员表示,尽管攻击者声称自己遭到了报复,但目前尚不清楚该勒索软件集团是否要对此负责,因为这些企图似乎比该集团此前声称要对其负责的类似活动要小。
DDoS活动背后似乎还有一个政治动机,这与REvil之前的策略不一致,REvil在之前的策略中声称其动机完全是为了经济利益。
是否返回REvil?
REvil是一家总部位于俄罗斯的勒索软件即服务(RaaS)集团,于2021 7月倒闭,因其对Kaseya、JBS Foods和Apple Computer等公司的高调攻击而闻名。其袭击的破坏性性质促使国际当局对该组织采取严厉打击,欧洲刑警组织于2021 11月逮捕了该团伙的一些附属机构。
最后,在2022年3月,在此之前几乎没有阻止REvil行动的俄罗斯声称,应美国政府的要求,对完全解散该组织负责,并逮捕了其个别成员。当时被捕的其中一人帮助勒索软件集团DarkSide于2021对Colonial Pipeline发动了一次严重袭击,导致该公司支付了500万美元的赎金。
研究人员表示,最近的DDoS攻击是REvil的一个支点,它由一个简单的HTTP GET请求组成,其中请求路径包含一条发送给目标的消息,其中包含一条554字节的消息,要求支付。对网络第7层(应用程序访问网络服务的人机交互层)的攻击流量达到峰值15 KRP。
Cashdollar写道,受害者被指示将BTC付款发送到一个钱包地址,该地址“目前没有历史记录,也没有与任何以前已知的BTC绑定”。
他说,此次袭击还提出了额外的特定地理要求,要求目标公司停止在全国范围内的业务运营。具体而言,攻击者威胁称,如果这一要求得不到满足且赎金未在特定时间内支付,将发动后续攻击,从而影响全球业务运营。
潜在的模仿攻击
REvil在其以前的战术中使用DDoS作为三重勒索手段有先例。然而,Cashdollar指出,除此之外,此次袭击似乎不是勒索软件集团的工作,除非这是一次全新行动的开始。
他说,REvil的典型做法是访问目标网络或组织,加密或窃取敏感数据,要求付款以解密或防止信息泄露给出价最高的投标人,或威胁公开披露敏感或破坏性信息。
Cashdollar写道,DDoS攻击中的技术“偏离了他们的常规战术”。他写道:“REvil团伙是RaaS提供商,此次事件中不存在勒索软件。”
与此次袭击有关的政治动机与对目标公司商业模式的法律裁决有关,这也与REvil的领导人过去声称他们纯粹是利润驱动的说法背道而驰。现金美元(Cashdollar)观察到:“我们还没有看到REvil与之前报道的任何其他袭击中的政治活动有关。”。
然而,他表示,REvil可能正试图通过涉足DDoS勒索的新商业模式来寻求复兴。Cashdollar表示,更有可能的是,此次活动中的攻击者只是利用一个臭名昭著的网络犯罪集团的名义,恐吓目标组织满足他们的要求。
他写道:“有什么比利用一个知名团体的名字来吓唬受害者付款更好的方法,让行业内各个组织的高管和安全团队都感到恐惧。”。
还没有评论,来说两句吧...