Das Cybersicherheitsunternehmen Imperva sagte am Freitag, es habe kürzlich einen Distributed-Denial-of-Service-Angriff (DDoS) mit Lösegeld abgeschwächt, der auf eine unbenannte Website abzielte und einen Höchststand von 2.5 Millionen Anfragen pro Sekunde (RPS) erreichte.
„Obwohl Lösegeld-DDoS-Angriffe nicht neu sind, scheinen sie sich mit der Zeit und mit jeder neuen Phase weiterzuentwickeln und interessanter zu werden“, sagt Nelli Klepfish, Sicherheitsanalystin bei Imperva. sagte. „Zum Beispiel haben wir Fälle gesehen, in denen die Lösegeldforderung in den Angriff selbst eingebettet in eine URL-Anforderung enthalten war.“
Die Hauptquellen der Angriffe kamen aus Indonesien, gefolgt von den USA, China, Brasilien, Indien, Kolumbien, Russland, Thailand, Mexiko und Argentinien.
Distributed Denial-of-Service (DDoS)-Angriffe sind eine Unterkategorie von Denial-of-Service (DoS)-Angriffen, bei denen eine Armee verbundener Online-Geräte, bekannt als Botnet, verwendet wird, um eine Ziel-Website mit gefälschtem Datenverkehr zu überschwemmen um es für legitime Benutzer nicht verfügbar zu machen.
Das Unternehmen mit Hauptsitz in Kalifornien sagte, dass das betroffene Unternehmen mehrere Lösegeldscheine erhalten habe, die im Rahmen der DDoS-Angriffe enthalten seien, und forderte das Unternehmen auf, eine Bitcoin-Zahlung zu leisten, um online zu bleiben und den Verlust von „Hunderten von Millionen an Marktkapitalisierung“ zu vermeiden.
In einer interessanten Wendung nennen sich die Angreifer REvil, das berüchtigte Ransomware-as-a-Service-Kartell einen herben Rückschlag erlitten nachdem eine Reihe seiner Betreiber Anfang Januar von russischen Strafverfolgungsbehörden festgenommen worden waren.
„Es ist jedoch nicht klar, ob die Drohungen wirklich von der ursprünglichen REvil-Gruppe oder von einem Betrüger stammten“, bemerkte Klepfish.
 |
| Angriffsursprünge |
Der 2.5-Millionen-RPS-Angriff soll weniger als eine Minute gedauert haben, wobei eine der von demselben Unternehmen betriebenen Schwesterseiten einen ähnlichen Angriff erlitt, der ungefähr 10 Minuten dauerte, obwohl die angewandten Taktiken ständig geändert wurden, um eine mögliche Schadensbegrenzung abzuwenden.
Von Imperva gesammelte Beweise weisen auf die DDoS-Angriffe hin, die von der M botris botnet, das weiterhin eine jetzt behobene Sicherheitslücke in Mikrotik-Routern ausnutzt (CVE-2018-14847), um Ziele anzugreifen, einschließlich Yandex.
„Die Arten von Websites, auf die die Bedrohungsakteure aus sind, scheinen Geschäftswebsites zu sein, die sich auf Verkauf und Kommunikation konzentrieren“, sagte Klepfish. „Ziele sind in der Regel in den USA oder Europa ansässig, wobei sie alle eines gemeinsam haben: Sie sind alle börsennotierte Unternehmen und die Bedrohungsakteure nutzen dies zu ihrem Vorteil, indem sie auf den potenziellen Schaden hinweisen, den ein DDoS-Angriff anrichten könnte der Aktienkurs des Unternehmens.“
Die Ergebnisse kommen, als böswillige Akteure entdeckt wurden, die eine neue Amplifikationstechnik namens "Waffenwaffe" verwenden TCP-Middlebox-Reflektion zum allerersten Mal in freier Wildbahn, um Banken, Reisen, Spiele, Medien und Webhosting-Branchen mit einer Flut von gefälschtem Datenverkehr zu treffen.
Der Lösegeld-DDoS-Angriff ist auch die zweite Botnet-bezogene Aktivität, die von Imperva seit Anfang des Jahres abgewendet wurde, was mit der detaillierten Beschreibung eines Web-Scraping-Angriffs endete, der Ende Januar auf eine nicht identifizierte Plattform für Stellenanzeigen abzielte.
„Der Angreifer nutzte ein groß angelegtes Botnetz, das innerhalb von vier Tagen nicht weniger als 400 Millionen Bot-Anfragen von fast 400,000 eindeutigen IP-Adressen generierte, mit der Absicht, die Profile von Arbeitssuchenden zu ernten“, so die Sicherheitsfirma sagte.
