Posté le octobre 25, 2019 à 13:58
UN GROUPE DE HACKERS SE FAISANT PASSER POUR FANCY BEAR A LANCÉ UNE ATTAQUE D’EXTORSION PAR DDOS
Fancy Bear, l’un des groupes de hackers les plus connus au monde, a passé semble-t-il un moment intéressant. Un groupe de hackers, lié à une attaque qui s’est produite il y a deux ans, a fait semblant d’être Fancy Bear dans une nouvelle attaque DDoS. Ce groupe lance une attaque de type DDoS mineure en guise de démonstration de force, avant d’exiger de l’argent en échange de ne pas faire capoter le système de l’entreprise. Ils se servent de la réputation de Fancy Bear, connu pour avoir piraté le DNC et la Maison Blanche en 2016 et 2014 respectivement, pour semer la terreur.
Les attaques ont été confirmées aujourd’hui par deux sociétés de sécurité: Radware et Link11. Les deux parties disposent d’un service spécialisé d’atténuation des DDoS et ont fait état d’attaques similaires dans le passé.
Daniel Smith, chercheur de l’équipe d’intervention en cas d’urgence (ERT) de Radware, avait déclaré que les attaques ciblaient principalement le secteur financier, depuis le début de la semaine dernière. Smith a expliqué que le groupe lançait des attaques DDoS multi-vectorielles à grande échelle lorsqu’il envoyait les lettres de la rançon. C’était sans aucun doute une démonstration de force pour tenter d’intimider la société.
Smith a poursuivi en disant que ces victimes reçoivent une menace pour une attaque DDoS de suivi si elles ne leur paient pas les deux bitcoins qu’elles demandent (environ 15 000 $ sur le marché actuel) dans la semaine. Cependant, Smith a également déclaré qu’aucune attaque de suivi n’avait été observée. Reste à savoir si leur rançon a été payée ou s’ils ne peuvent pas se tenir sur leurs pieds.
Le porte-parole de Link11 a corroboré la théorie selon laquelle il s’agissait d’un premier avertissement. Il s’agissait d’une tentative d’intimidation pour tenter de convaincre les sociétés de payer la rançon plutôt que d’affronter la fausse colère de Fancy Bear.
Vous trouverez une copie de la lettre de rançon ici. D’après le contenu, on peut constater qu’ils s’appuient fortement sur la réputation de hackers de Fancy Bear pour intimider encore plus leurs victimes potentielles.
Thomas Pohle, responsable des relations publiques de Link11, a expliqué que ces attaques de démonstration reposaient sur différents protocoles. Y compris NTP, DNS, ARMS, CLDAP et WS-Discovery. De toute évidence, la stratégie consiste à marteler autant de murs que possible, en essayant de trouver une fissure.
Pohle a conclu que ces extorqueurs font plus que lancer des attaques de rançons au hasard. Ils étudient leur cible, choisissant qui extorquer à l’avance. On peut en juger par la façon dont ils attaquent les entreprises. Pohle a expliqué que ces hackers n’attaquaient pas le site Web public de la société, mais leur serveur dorsal. Ces serveurs ne sont généralement pas protégés par une quelconque atténuation des attaques DDoS, ce qui les rend plus faciles à cibler. Cette attaque causera des temps d’arrêt et intimidera probablement leurs victimes.
Pohle a ajouté que ce n’était pas uniquement le secteur financier qui était attaqué. Certains de ces DDoS de rançon (RDDoS) sont destinés à d’autres sociétés pouvant être considérées comme disposant d’un plus grand fonds. Plus précisément, les entreprises qui se concentrent sur le divertissement et la vente au détail.
Ce groupe qui copie Fancy Bear semble être capable de donner suite à leurs menaces, aussi triste que cela puisse paraître. Il semble au moins qu’ils aient leur propre réseau de zombies DDoS, mais son niveau de pouvoir fait toujours l’objet d’un débat.
Ce qui devrait être important à savoir, cependant, c’est que ce n’était pas le véritable groupe Fancy Bear. Fancy Bear est un groupe d’élites de la cybersécurité et de l’espionnage parrainé par la Russie. Ils ciblent les bases de l’OTAN, les ambassades, les agences gouvernementales et les partis politiques américains. Ce qu’ils ne font pas, c’est extorquer de l’argent aux sociétés financières, et il faut espérer que le groupe s’en prend à ces prétendants pour avoir utilisé leur réputation comme ils le font actuellement.
2017: l’année du RDDoS
M. Smith de Radware a publié un communiqué disant que la lettre de rançon de l’opération de RDDoS était presque identique à celle envoyée en 2017 par un autre groupe de RDDoS, se faisant aussi passer pour Fancy Bear. Le lien est indéniable, ce groupe étant soit le même, soit fortement inspiré par ce dernier.
Globalement, l’année 2017 a été une année très chargée en attaque DDoS. Les douzaines de groupes ont essayé la même tactique, menaçant des compagnies par des attaques à moins qu’elles crachent. Tandis que beaucoup essayaient de se cacher derrière l’ombre de groupes de hackers de taille, d’autres essayaient de se faire un nom à l’époque et là.
Des groupes tels que Lulzsec, Anonymous, New World Hackers, Armada Collective, Lizard Squad et Fancy Bear ont toujours leur nom utilisé par des petits groupes. D’autres groupes ont adopté l’approche la plus respectable: essayer de se faire un nom au lieu de voler la vedette aux autres. Des groupes comme RedDoor, Kadyrovtsy, Borya Collective, ezBTC, XMR Squad, Stealth Ravens, Meridian Collective, ZZboot, Collective Amadeus et Xball Team sont tous de cette période.
Pendant presque une année entière, c’était la panique générale. Heureusement, les attaques ont commencé à se calmer lorsque les victimes ont commencé à se rendre compte que la plupart des extorqueurs ne faisaient que tenter leur chance.
