Cyberbeveiligingsbedrijf Imperva zei vrijdag dat het onlangs een losgeld-distributed denial-of-service (DDoS)-aanval, gericht op een niet nader genoemde website, met een piek van 2,5 miljoen verzoeken per seconde (RPS) heeft verzacht.
“Hoewel losgeld-DDoS-aanvallen niet nieuw zijn, lijken ze met de tijd en met elke nieuwe fase te evolueren en interessanter te worden”, zegt Nelli Klepfish, beveiligingsanalist bij Imperva. zei. “We hebben bijvoorbeeld gevallen gezien waarin het losgeldbriefje is opgenomen in de aanval zelf, ingebed in een URL-verzoek.”
De belangrijkste bronnen van de aanvallen kwamen uit Indonesië, gevolgd door de VS, China, Brazilië, India, Colombia, Rusland, Thailand, Mexico en Argentinië.
Distributed denial-of-service (DDoS)-aanvallen zijn een subcategorie van denial-of-service (DoS)-aanvallen waarbij een leger van verbonden online apparaten, ook wel een botnet genoemd, wordt gebruikt om een doelwebsite te overstelpen met nepverkeer in een poging om het niet beschikbaar te maken voor legitieme gebruikers.
Het bedrijf met hoofdkantoor in Californië zei dat de getroffen entiteit meerdere losgeldnota’s ontving die waren opgenomen als onderdeel van de DDoS-aanvallen, en eiste dat het bedrijf een bitcoin-betaling zou doen om online te blijven en te voorkomen dat het “honderden miljoenen aan marktkapitalisatie” zou verliezen.
In een interessante wending noemen de aanvallers zichzelf REvil, het beruchte ransomware-as-a-service-kartel dat een grote tegenslag kreeg nadat een aantal van zijn operators eerder in januari door Russische wetshandhavingsautoriteiten werden gearresteerd.
“Het is echter niet duidelijk of de bedreigingen echt zijn geuit door de oorspronkelijke REvil-groep of door een bedrieger,” merkte Klepfish op.
 |
| Oorsprong van de aanval |
De 2,5 miljoen RPS-aanval zou minder dan een minuut hebben geduurd, waarbij een van de zustersites die door hetzelfde bedrijf worden beheerd, een vergelijkbare aanval heeft ondergaan die ongeveer 10 minuten duurde, zelfs als de gebruikte tactieken constant werden gewijzigd om mogelijke mitigatie te voorkomen.
Bewijs verzameld door Imperva wijst op de DDoS-aanvallen die afkomstig zijn van het Mēris-botnet, dat nog steeds gebruik maakt van een nu aangepakt beveiligingsprobleem in Mikrotik-routers (CVE-2018-14847) om doelen aan te vallen, waaronder Yandex.
“Het soort sites dat de dreigingsactoren zoeken, lijken bedrijfssites te zijn die zich richten op verkoop en communicatie”, zei Klepfish. “Targets zijn meestal gevestigd in de VS of Europa, met als één ding dat ze allemaal gemeen hebben dat ze allemaal beursgenoteerde bedrijven zijn en de bedreigingsactoren gebruiken dit in hun voordeel door te verwijzen naar de potentiële schade die een DDoS-aanval zou kunnen toebrengen aan de aandelenkoers van het bedrijf.”
De bevindingen komen wanneer kwaadwillende actoren zijn gespot met het bewapenen van een nieuwe versterkingstechniek genaamd TCP Middlebox Reflection voor de allereerste keer in het wild om de bank-, reis-, gaming-, media- en webhostingindustrieën te raken met een stroom van nepverkeer.
De losgeld-DDoS-aanval is ook de tweede botnet-gerelateerde activiteit die door Imperva is afgewend sinds het begin van het jaar, waarbij het bedrijf eind januari een webscraping-aanval beschreef die gericht was op een niet-geïdentificeerd vacatureplatform.
“De aanvaller gebruikte een grootschalig botnet en genereerde in vier dagen niet minder dan 400 miljoen botverzoeken van bijna 400.000 unieke IP-adressen met de bedoeling de profielen van werkzoekenden te verzamelen”, aldus het beveiligingsbedrijf. zei.
