Posté le mai 31, 2022 à 7:24
DES ACTEURS DE MENACES EXÉCUTENT UNE ATTAQUE DDOS ET PRETENDENT APPARTENIR AU GROUPE REVIL
Le défunt groupe de ransomware REvil aurait revendiqué la responsabilité des récentes attaques par déni de service distribué (DDoS) contre certains fournisseurs de réseaux, dont la plate-forme de mise en réseau en nuage Akamai. Selon les rapports, le groupe de ransomware lance la campagne avec une attaque de couche 7.
Bien que le groupe ait revendiqué la responsabilité de l’attaque, rien ne prouve qu’elle émane de lui, et les auteurs pourraient être des acteurs différents. Les chercheurs en cybersécurité ont noté que l’attaque pourrait être l’œuvre d’une opération copiée, et non pas exactement du groupe REvil qui aurait été dissous.
Les chercheurs d’Akamai examinent l’attaque DDoS depuis le 12 mai, après que l’un des clients de l’entreprise a informé son équipe de réponse aux incidents de sécurité (SIRT). Les clients ont informé l’équipe d’une attaque déjouée par un groupe qui prétendait être affilié au REvil.
Larry Cashdollar, chercheur en vulnérabilité SIRT chez Akami, a déclaré que les attaques ont jusqu’à présent ciblé un site en envoyant une vague de requêtes HTTP/2 FET avec certaines techniques de destruction de cache, submergeant les sites web dans le processus.
Selon Cachdollar, les requêtes comportent des demandes commerciales/politiques, un bitcoin (BTC) et une demande de paiement intégrée.
Bien que les acteurs de la menace prétendent être REvil, les attaques de cette fois-ci semblent plus petites que d’autres campagnes passées du groupe, ce qui les rend douteuses, ont noté les chercheurs.
L’attaque semblerait avoir un motif politique
Les chercheurs ont déclaré que la nature de l’attaque lui donne un caractère politique. Cela la rend incompatible avec la méthode de REvil, qui, pour sa part, était motivée par des gains financiers.
Le groupe REvil a cessé ses activités en juillet 2021, après avoir provoqué plusieurs fuites de données et attaques DDoS pendant plusieurs années. Le groupe est un groupe de hackers basé en Russie, spécialisé dans les ransomware en tant que service (RaaS), très connu pour ses attaques très médiatisées contre Apple Computer, JBS Foods et Kaseya.
Après avoir durement frappé plusieurs grandes organisations, les autorités ont décidé de s’attaquer durement au groupe, ce qui a conduit à l’arrestation de plusieurs membres du groupe par Europol. Mais en mars de cette année, la Russie a revendiqué la responsabilité du démantèlement du groupe. Avant les opérations d’Europol, la Russie n’a rien fait pour empêcher ou atténuer les actions du groupe.
L’un des membres arrêtés à l’époque a joué un rôle très important dans le succès de l’opération du groupe de ransomware DarkSide. La campagne menée en mai 2021 a touché les serveurs de Colonial Pipeline. Pour récupérer ses données et ses fichiers, l’entreprise a dû payer une rançon de 5 millions de dollars.
Dans la dernière attaque DDoS, il a été demandé à la victime d’envoyer le paiement en BTC à une adresse de portefeuille qui n’est connectée à aucun BTC connu et n’a pas d’historique.
En outre, l’attaque comporte une demande géospécifique qui demande et vise à ce que l’entreprise cesse ses activités dans tout le pays. En particulier, les auteurs de la menace ont menacé d’exécuter une attaque de suivi qui affectera les entreprises mondiales si leurs demandes ne sont pas satisfaites et si la victime ne paie pas la rançon.
Il pourrait s’agir d’une attaque copiée
REvil a utilisé le DDoS dans ses attaques précédentes comme moyen d’exécuter une triple tactique d’extorsion. Cependant, il semble que l’attaque DDoS soit le seul lien entre les attaquants actuels et le célèbre gang REvil. Cashdollar a déclaré que l’attaque ne semble pas être l’œuvre d’un groupe de ransomware, sauf qu’il s’agit du début d’une toute nouvelle opération du groupe.
En général, la méthode opérationnelle de REvil consiste à avoir accès à l’organisation ou au réseau cible et à voler les données sensibles ou à les crypter. Après avoir pris le contrôle du réseau, ils postent une demande de ransomware, informant la victime de payer ou de risquer d’exposer les données au public. Dans plusieurs cas, le groupe Revil cible des organisations critiques qui perdront beaucoup si les données volées finissent par tomber dans les mains du public.
Le groupe REvil pourrait s’essayer à un nouveau modèle économique
Le gang notoire est connu pour utiliser plusieurs sites et forums du darknet pour vendre ou exposer des données dont les propriétaires ne coopèrent pas avec eux.
Cependant, la méthode utilisée dans les dernières attaques » diffère de leurs tactiques habituelles « . Selon Cashdollar, il n’y a aucune indication de ransomware dans le dernier incident, mais le groupe REvil est connu pour utiliser l’approche RaaS. En outre, le groupe REvil n’a pas été lié à une campagne politique, mais l’attaque actuelle a une motivation politique.
Selon M. Cashdollar, ce sont là quelques-uns des aspects qui indiquent que le groupe de hackers n’est qu’un copieur du célèbre gang REvil. Cependant, un autre aspect de la situation a été envisagé. Le chercheur a déclaré que l’attaque pourrait être une résurgence du groupe REvil qui cherche à entrer dans un nouveau modèle économique.
