グローバルランサム DDoS キャンペーン
本記事は Radware ブログ記事の抄訳です
Cisco Webinar(2020/11/19)でランサム DDoS についてアップデート予定
Radware は、金融、旅行、電子商取引の各分野の組織を標的とした世界的なランサム DDoS キャンペーンを確認しています。さらに、複数のインターネットサービスプロバイダが、自社の DNS インフラを標的とした DDoS 攻撃を報告しています。
グローバルランサム DDoS キャンペーン
8月中旬以降、Radware は “Fancy Bear”、”Armada Collective”、”Lazarus Group” を装った脅威行為者からの恐喝行為を確認しています。これらは E メールで配信されており、通常、AS 番号や、要求が満たされなかった場合に標的とするサーバやサービスの IP アドレスなど、被害者固有のデータが含まれています。これは世界的なキャンペーンで、APAC、EMEA、北米の金融、旅行、E コマースの組織からの脅威が報告されています。
身代金は当初 10ビットコイン(BTC)に設定されており、これは恐喝時の 11万3000 ドルに相当します。中には 20BTC(約22万6000ドル)という高額な料金設定もあります。これらの要求は、通常 1BTCから 2BTC の間を要求するのが一般的だった 2019 年のキャンペーンに比べて、より大きなものとなっています。
恐喝メールでは、支払いが行われない場合、 2Tbps 以上のサイバー攻撃を示唆しており、手紙がデマではないことを証明するために、著者はデモ攻撃を開始するタイミングを示しています。
メールには、期限までに支払いが行われなかった場合、攻撃は継続され、期限を逃すごとに 10BTC(約 11万3000ドル)の手数料が増額されることが示されています。各メールには、支払いのためのビットコインのウォレットアドレスが記載されています。ウォレットアドレスはターゲットごとに固有のもので、恐喝者が支払いを追跡できるようになっています。
恐喝メールは、その条件や要求が以前から発生している恐喝内容と非常によく似ています。
恐喝メールのフォローアップ
Radware は、悪意のある行為者が最初の要求をフォローアップしていることを確認しています。フォローアップメッセージでは、脅威の行為者は、最初の文字にあった固有のビットコインアドレスがまだ空であることを強調し、脅威の深刻さを改めて強調しています。また、対象組織が最近の DDoS の混乱を検索できるように、キーワードと組織名を提供し、「彼らのようになりたくないだろう?と問いかけます。
脅威行為者は、攻撃よりも支払いを好むと述べ、ターゲットに支払いを再考させます。脅迫行為者は、多くの場合、期限を 1 日延長します。
多くの場合、身代金の脅威は、50Gbps から 200Gbps の範囲のサイバー攻撃に続いています。攻撃のベクターには、UDP や UDP-Flag floods、WS-Discovery Amplification、TCP SYN、TCP out-of-state、ICMP Floods などがあります。
Tags:
