Desde meados de agosto, a Radware vem recebendo cartas enviadas a várias organizações por atores que se apresentam como “Fancy Bear”, “Armada Collective” ou “Lazarus Group”. As cartas são enviadas para um endereço de e-mail genérico e nem sempre chegam imediatamente à pessoa certa na organização. Em alguns casos, foram recebidas por subsidiárias ou filiais no país errado.
As cartas vindas com o remetente “Armada Collective” eram um pouco mais antigas e utilizavam linguagem diferente em comparação com as do mesmo período e as de extorsão mais recentes de atores que se apresentam como “Fancy Bear” e “Lazarus Group”. Estes últimos são consistentes no uso do idioma inglês, fazendo a correspondência parágrafo por parágrafo. As cartas foram aprimoradas desde o início da campanha, com a correção de alguns erros de digitação e a reformulação de algumas ações para maior clareza. A cobertura da imprensa de ataques de DDoS anteriores, que afetaram organizações financeiras, foi adicionada para gerar mais medo.
Todas as cartas que a Radware recebeu de diferentes organizações em todo o mundo indicam que “Lazarus Group” é o remetente quando o alvo é uma organização financeira. A Intel417 relatou recentemente que criminosos que se apresentam como Lazarus Group ameaçaram a Travelex, uma bolsa de valores britânica, com um ataque de DDoS em troca de um pagamento de 20 bitcoins. O apelido “Fancy Bear” é usado apenas para alvos de tecnologia e indústria. Os atores parecem ter uma preferência por APT, dependendo da vertical que estão tentando convencer a pagar um resgate.
APT38, Lazarus
Os APTs foram escolhidos cuidadosamente pelos atores e seguem determinada lógica. O “Lazarus”, também referido como “APT38”, ou “BeagleBoyz” pela Cybersecurity and Infrastructure Security Agency (CISA) do Department of Homeland, foi atribuído a ataques dirigidos principalmente a instituições financeiras. Acredita-se que tenha laços estreitos com o governo da Coreia do Norte.
Na semana passada, a CISA publicou o alerta “FASTCash 2.0:BeagleBoyz da Coreia do Norte rouba bancos”. O título do alerta AA20-239A deixa a desejar e atribui novos ataques ao “Lazarus Group” à medida que ele aumenta seus esforços para angariar dinheiro para seu patrocinador, o governo norte-coreano. Por meio de inúmeras campanhas dirigidas a organizações no cenário da criptomoeda e no setor financeiro, a nação carente de recursos espera angariar fundos para o seu programa de mísseis. Embora o “Lazarus” tenha como alvo organizações do setor financeiro, o DDoS não é uma tática normalmente usada pelo grupo para obter fundos. Ele recorre a estruturas de malware e a redes e servidores de pagamento comprometidos.
APT28, Fancy Bear
“Fancy Bear”, também conhecido como “APT28” ou “Sofacy Group”, é um grupo russo de espionagem cibernética que parece ter vínculos estreitos com a agência de inteligência militar russa GRU, patrocinada pelo governo russo. O “Fancy Bear” foi culpado pelas invasões ao DNC em abril de 2016. Normalmente, o grupo se dirige a organizações governamentais, militares e de segurança. O Fancy Bear é considerado responsável também pelos ataques cibernéticos contra o parlamento alemão, estação de televisão francesa TV5monde, Casa Branca, OTAN, Comitê Democrático Nacional, Agência Mundial Anti-dopping, Organização para Segurança e Cooperação na Europa e a campanha do candidato à presidência da França, Emmanuel Macron. O grupo promove os interesses políticos do governo russo e, entre outros, suas táticas incluem explorações de dia zero, spear phishing e sites de queda de malware disfarçados de fontes de notícias para comprometer seus alvos. O “Fancy Bear” geralmente não recorre às táticas de DDoS e não se dirige a organizações de tecnologia ou indústria, a menos que elas estejam associadas com o governo ou as instituições políticas e queiram gerar influência ou caos políticos, mas não para ganho financeiro por extorsão.
Resgate em bitcoin
As cartas de extorsão enviadas pelo grupo Ransom DDoS alertam que a rede do destinatário estará sujeita a um ataque de DDoS a partir de uma semana do envio da carta. Na data de envio, os IPs de número ASN da vítima, mencionado na carta, sofrem um pequeno ataque para provar a legitimidade da ameaça, mas com a promessa de não causar danos para não preocupar a vítima. Eles alegam não haver contramedidas aos seus ataques e ter a capacidade de executar ataques volumétricos que atingem mais de 2 Tbps. A exigência de resgate inicial é fixada em 20 BTC (cerca de 230 mil dólares no momento desta publicação) e aumenta em 10 BTC por dia não pago, tempo pelo qual eles sustentam o ataque.
Não há como se comunicar com os chantagistas, portanto não há opção para negociar, e a única maneira de receber uma mensagem é enviando o BTC para o endereço de bitcoin mencionado na carta. Cada vítima tem um endereço de bitcoin exclusivo para rastrear pagamentos. Se o pagamento não for cumprido no prazo fixado pelos criminosos, eles enviam uma mensagem de acompanhamento notificando que não encontraram pagamento do resgate no endereço de bitcoin e que este deve ser um erro por parte da vítima. Como eles não estão blefando ou tentando fazer dinheiro rápido, eles preferem o pagamento à destruição, dando à vítima uma “segunda chance de reconsiderar antes de causar estragos”.
Como reagir?
As ameaças devem ser levadas a sério, mas não devem preocupar organizações que tenham uma proteção adequada contra DDoS. Se você não tiver proteção e receber uma carta, encontre um parceiro capaz de ajudá-lo a tomar medidas de mitigação para que os ataques sucessivos não afetem sua organização e desestabilizem os negócios.
Todas as organizações que recorreram à Radware e receberam uma carta de extorsão, superaram os ataques. A magnitude é adaptada ao tamanho e a superfície de ataque da organização-alvo, que variaram de alguns gigabits por segundo até centenas de Gbps. Em alguns casos, os picos atingiam 300 Gbps (não os 2 Tbps anunciados), mas ainda eram devastadores para a maioria das organizações. Normalmente, os ataques duram algumas horas até que os invasores vejam que não estão progredindo.
Em alguns casos, vimos os invasores mudarem suas táticas e concentrarem seus ataques aos serviços DNS das vítimas. O serviço DNS é muitas vezes hospedado fora da organização por provedores dedicados e alguns acabam sem proteção. É importante verificar as medidas de segurança para proteger os serviços DNS, porque simplesmente interromper a resolução de nome pode afetar tanto quanto um ataque direto ao próprio serviço.
Essas ameaças devem ser levadas a sério, mas os ataques não têm um nível de complexidade ou amplitude que não possam ser atenuados quando há proteções adequadas implementadas. A Radware orienta as organizações a não pagar o pedido de resgate. Não há qualquer garantia de que os chantagistas cumprirão com os termos da carta. O pagamento só financia operações futuras, permite que eles aprimorem seus recursos e os motiva a continuar a campanha.
