Posté le juin 11, 2021 à 18:42
LES CHERCHEURS AFFIRMENT QUE LE GROUPE SPECIALISÉ DANS LES ATTAQUES DDOS « FANCY LAZARUS » EST DE RETOUR
Les chercheurs ont averti que le célèbre groupe spécialiste des attaques DDoS connu sous le nom de « Fancy Lazarus » est de retour, ciblant plusieurs entreprises américaines.
Les chercheurs de Proofpoint ont également noté que le groupe lance des séries d’attaques qui peuvent être dangereuses ou inefficaces.
Le nouveau nom est une combinaison de deux groupes de menaces persistantes avancées (APT) notoires – le groupe Lazarus de la Corée du Nord et Fancy Bear de la Russie.
La dernière fois que le groupe a été vu, c’était lors d’une campagne majeure en octobre où il aurait prétendu être plusieurs APT, dont le groupe Lazarus, Fancy Bear et Armada Collective.
Le groupe demande une rançon
Proofpoint a déclaré que lors de sa dernière apparition, le groupe a envoyé des e-mails à des organisations, contenant des menaces d’attaques. Le groupe a opéré dans divers secteurs, notamment les secteurs de la vente au détail, des services publics, de la fabrication, de l’assurance, de la finance et de l’énergie.
Il demande une rançon de départ de 2 bitcoins aux entreprises ciblées si elles ne veulent pas être victimes d’une attaque DDoS dévastatrice.
Les hackers doublent le prix à 4 BTC lorsque les cibles dépassent la date limite. Après cela, il continue à augmenter d’un BTC chaque jour. La plupart des cibles sont basées aux États-Unis, selon les chercheurs.
Le groupe n’envisage aucune négociation et menace les cibles avec des exemples d’attaques pour prouver qu’il est sérieux.
Bien qu’il soit difficile d’établir un lien définitif, certaines des attaques de ransomware très médiatisées de ces derniers mois correspondent à des campagnes de Fancy Lazarus.
Le groupe est connu pour cibler des industries très critiques, ce qui s’est produit, l’attaque de Colonial Pipeline en étant un parfait exemple.
Le directeur principal de la recherche et de la détection des menaces chez Proofpoint, Sherrod DeGrippo, a également noté le timing, affirmant que le groupe de menace pourrait avoir un rôle dans la récente série d’attaques contre des entreprises basées aux États-Unis.
Les attaquants se concentrent sur les grandes institutions
Les chercheurs de Proofpoint ont également noté que les acteurs malveillants ciblent continuellement un ensemble particulier d’entreprises dans des secteurs spécifiques, les entreprises de fabrication, de gaz naturel et de services publics étant les plus visées.
Les chercheurs ont également noté qu’une autre tendance observée au cours des derniers mois est l’accent mis par les attaquants sur l’envoi de menaces aux grands fournisseurs d’assurance et aux institutions financières.
Les e-mails sont soit sous forme d’images JPG intégrées, soit en HTML, soit en texte brut, mais la plupart sont en JPG, ce qui est probablement une méthode de détection et d’évasion, selon Proofpoint.
Les chercheurs ont également noté que les e-mails sont généralement envoyés à des destinataires bien recherchés, tels que des personnes figurant comme contacts dans les informations Whois des réseaux d’entreprise ou du protocole Border Gateway Protocol (BGP). Les personnes ciblées travaillent également dans des services tels que les relations avec les investisseurs, les relations extérieures et les communications.
De plus, les e-mails d’extorsion sont livrés à des alias d’e-mail tels que la convention de prénom ou de nom de famille pour la personne qui les reçoit, en utilisant de faux noms.
Selon les chercheurs de Proofpoint, le paiement des 2 BT est la seule option donnée par les acteurs malveillants pour éviter d’être une victime. Cependant, le coût réel dépendra de la valeur de la cryptomonnaie à ce moment-là.
Les hackers ont terminé leur courriel en ajoutant que les entreprises ciblées n’ont aucune chance de négocier et d’envoyer des réponses au courriel.
Les cibles ont été invitées à signaler l’affaire aux autorités
L’acteur malveillant a également affirmé être à l’origine de l’attaque DDoS massive qui a paralysé la bourse de Nouvelle-Zélande en août 2020. Cependant, il n’y a aucun moyen de savoir s’ils sont effectivement responsables.
Pendant l’attaque, une mise en garde du FBI a noté que le groupe responsable avait des méthodes opérationnelles similaires à celles d’un groupe particulier découvert en 2017. Mais il n’y a toujours aucun moyen d’attribuer l’attaque à un acteur malveillant précis.
Les chercheurs ont conseillé à ceux qui reçoivent un message prétendant provenir de « Fancy Lazarus » de signaler le problème aux autorités et de refuser de répondre à leurs demandes de rançon. Ceux qui finissent par payer la rançon n’ont aucune garantie que les acteurs malveillants ne reviendront pas plus tard avec des demandes supplémentaires. Les autorités ont toujours déconseillé aux utilisateurs de payer la rançon car ce sont des escrocs et ils n’ont rien de digne de confiance.
