Công ty an ninh mạng Imperva hôm thứ Sáu cho biết gần đây họ đã giảm nhẹ một cuộc tấn công từ chối dịch vụ (DDoS) được phân phối đòi tiền chuộc nhắm vào một trang web giấu tên đạt đỉnh 2.5 triệu yêu cầu mỗi giây (RPS).
“Mặc dù các cuộc tấn công DDoS đòi tiền chuộc không phải là mới, nhưng chúng dường như đang phát triển và trở nên thú vị hơn theo thời gian và theo từng giai đoạn mới,” Nelli Klepfish, nhà phân tích bảo mật tại Imperva, nói. “Ví dụ: chúng tôi đã thấy các trường hợp ghi chú đòi tiền chuộc trong chính cuộc tấn công được nhúng vào một yêu cầu URL”.
Các nguồn tấn công hàng đầu đến từ Indonesia, tiếp theo là Mỹ, Trung Quốc, Brazil, Ấn Độ, Colombia, Nga, Thái Lan, Mexico và Argentina.
Các cuộc tấn công từ chối dịch vụ (DDoS) phân tán là một danh mục phụ của các cuộc tấn công từ chối dịch vụ (DoS) trong đó một đội quân các thiết bị trực tuyến được kết nối, được gọi là botnet, được sử dụng để áp đảo một trang web mục tiêu có lưu lượng truy cập giả mạo trong một nỗ lực để làm cho nó không khả dụng cho người dùng hợp pháp.
Công ty có trụ sở tại California cho biết, thực thể bị ảnh hưởng đã nhận được nhiều khoản tiền chuộc như một phần của các cuộc tấn công DDoS, yêu cầu công ty thực hiện thanh toán bằng bitcoin để duy trì hoạt động trực tuyến và tránh mất “hàng trăm triệu USD vốn hóa thị trường”.
Trong một bước ngoặt thú vị, những kẻ tấn công đang tự gọi mình là REvil, một băng nhóm ransomware-as-a-service khét tiếng phải chịu một thất bại lớn sau khi một số nhà khai thác của nó bị bắt bởi các cơ quan thực thi pháp luật Nga vào đầu tháng Giêng này.
Klepfish lưu ý: “Không rõ liệu các mối đe dọa thực sự được thực hiện bởi nhóm REvil ban đầu hay bởi một kẻ mạo danh.
 |
| Nguồn gốc cuộc tấn công |
Cuộc tấn công 2.5 triệu RPS được cho là chỉ kéo dài chưa đầy một phút, với một trong những trang web chị em do cùng một công ty điều hành đã chịu một cuộc tấn công tương tự kéo dài khoảng 10 phút, ngay cả khi các chiến thuật được sử dụng liên tục được thay đổi để ngăn chặn việc giảm thiểu có thể xảy ra.
Bằng chứng do Imperva thu thập chỉ ra các cuộc tấn công DDoS bắt nguồn từ Mạng botnet Mēris, đã tiếp tục tận dụng lỗ hổng bảo mật hiện đã được giải quyết trong bộ định tuyến Mikrotik (CVE-2018-14847) để tấn công các mục tiêu, bao gồm cả Yandex.
Klepfish cho biết: “Các loại trang web mà các tác nhân đe dọa đang theo đuổi dường như là các trang web kinh doanh tập trung vào bán hàng và truyền thông. “Các mục tiêu có xu hướng là Hoa Kỳ hoặc Châu Âu với một điểm chung là tất cả họ đều là các công ty niêm yết trên sàn giao dịch và các tác nhân đe dọa sử dụng điều này để có lợi cho họ bằng cách đề cập đến thiệt hại tiềm ẩn mà một cuộc tấn công DDoS có thể gây ra giá cổ phiếu của công ty. ”
Phát hiện được đưa ra khi các tác nhân độc hại được phát hiện đang vũ khí hóa một kỹ thuật khuếch đại mới có tên là Phản ánh hộp trung gian TCP lần đầu tiên trong tự nhiên tấn công các ngành ngân hàng, du lịch, trò chơi, truyền thông và lưu trữ web với một lượng lớn lưu lượng truy cập giả mạo.
Cuộc tấn công DDoS đòi tiền chuộc cũng là hoạt động thứ hai liên quan đến mạng botnet được Imperva ngăn chặn kể từ đầu năm, điều mà công ty đã nêu chi tiết về một cuộc tấn công quét web nhắm vào một nền tảng danh sách việc làm không xác định vào cuối tháng Giêng.
“Kẻ tấn công đã sử dụng một mạng botnet quy mô lớn, tạo ra không dưới 400 triệu yêu cầu bot từ gần 400,000 địa chỉ IP duy nhất trong bốn ngày với mục đích thu thập hồ sơ của người tìm việc”, công ty bảo mật nói.
