Cyberbeveiligingsbedrijf Imperva zei vrijdag dat het onlangs een losgeld-distributed denial-of-service (DDoS)-aanval, gericht op een niet nader genoemde website, met een piek van 2.5 miljoen verzoeken per seconde (RPS) heeft verzacht.
"Hoewel losgeld-DDoS-aanvallen niet nieuw zijn, lijken ze met de tijd en met elke nieuwe fase te evolueren en interessanter te worden", zegt Nelli Klepfish, beveiligingsanalist bij Imperva, zei. "We hebben bijvoorbeeld gevallen gezien waarin het losgeldbriefje is opgenomen in de aanval zelf, ingebed in een URL-verzoek."
De belangrijkste bronnen van de aanvallen kwamen uit Indonesië, gevolgd door de VS, China, Brazilië, India, Colombia, Rusland, Thailand, Mexico en Argentinië.
Distributed denial-of-service (DDoS)-aanvallen zijn een subcategorie van denial-of-service (DoS)-aanvallen waarbij een leger van verbonden online apparaten, ook wel een botnet genoemd, wordt gebruikt om een doelwebsite te overstelpen met nepverkeer in een poging om het niet beschikbaar te maken voor legitieme gebruikers.
Het in Californië gevestigde bedrijf zei dat de getroffen entiteit meerdere losgeldnota's ontving die waren opgenomen als onderdeel van de DDoS-aanvallen, waarbij het bedrijf werd geëist een bitcoin-betaling te doen om online te blijven en te voorkomen dat het "honderden miljoenen aan marktkapitalisatie" zou verliezen.
In een interessante draai noemen de aanvallers zichzelf REvil, het beruchte ransomware-as-a-service-kartel dat een grote tegenslag gehad nadat een aantal van zijn operators eerder in januari door Russische wetshandhavingsinstanties waren gearresteerd.
"Het is echter niet duidelijk of de bedreigingen echt zijn geuit door de oorspronkelijke REvil-groep of door een bedrieger," merkte Klepfish op.
 |
| Oorsprong van de aanval |
De 2.5 miljoen RPS-aanval zou minder dan een minuut hebben geduurd, waarbij een van de zustersites die door hetzelfde bedrijf worden beheerd, een vergelijkbare aanval heeft ondergaan die ongeveer 10 minuten heeft geduurd, zelfs als de gebruikte tactieken constant werden gewijzigd om mogelijke mitigatie te voorkomen.
Bewijs verzameld door Imperva wijst op de DDoS-aanvallen die afkomstig zijn van de Mēris-botnet, die een nu aangepakt beveiligingsprobleem in Mikrotik-routers is blijven gebruiken (CVE-2018-14847) om doelen aan te vallen, waaronder Yandex.
"Het soort sites waar de dreigingsactoren naar op zoek zijn, lijken bedrijfssites te zijn die zich richten op verkoop en communicatie", zei Klepfish. “Targets zijn meestal gevestigd in de VS of Europa, met als één ding dat ze allemaal gemeen hebben dat ze allemaal beursgenoteerde bedrijven zijn en de bedreigingsactoren gebruiken dit in hun voordeel door te verwijzen naar de potentiële schade die een DDoS-aanval zou kunnen toebrengen aan de aandelenkoers van het bedrijf.”
De bevindingen komen omdat kwaadaardige acteurs zijn gespot met een nieuwe versterkingstechniek genaamd TCP Middlebox-reflectie voor de allereerste keer in het wild om de bank-, reis-, gaming-, media- en webhostingindustrieën te raken met een stortvloed aan nepverkeer.
De losgeld-DDoS-aanval is ook de tweede botnet-gerelateerde activiteit die door Imperva is afgewend sinds het begin van het jaar, waarbij het bedrijf eind januari een webscraping-aanval beschreef die gericht was op een niet-geïdentificeerd vacatureplatform.
"De aanvaller gebruikte een grootschalig botnet en genereerde in vier dagen niet minder dan 400 miljoen botverzoeken van bijna 400,000 unieke IP-adressen met de bedoeling de profielen van werkzoekenden te verzamelen", aldus het beveiligingsbedrijf. zei.
