Posté le janvier 23, 2021 à 16:27
UN GROUPE SPÉCIALISÉ DANS L’EXTORSION DDOS REFAIT SURFACE DANS LE CONTEXTE DE LA HAUSSE DES PRIX DU BITCOIN
L’essor sans précédent du bitcoin et d’autres cryptomonnaies a attiré plusieurs acteurs du secteur. Toutefois, si les investisseurs institutionnels et les particuliers ont inondé le marché, celui-ci a également attiré des acteurs malveillants.
Entre la dernière semaine de décembre et la première semaine de janvier 2021, les clients du fournisseur de cybersécurité Radware ont reçu des menaces d’un groupe d’extorsion DDoS mondialement connu.
Le groupe a d’abord lancé des attaques sur les clients en août de l’année dernière, avant de passer sous le radar. Cependant, il semble qu’elles aient refait surface comme le suggèrent les emails de menace envoyés par le groupe aux organisations.
« Nous étions occupés à travailler sur des projets plus rentables, mais maintenant nous sommes de retour », peut-on lire dans l’email de menace.
L’analyse des lettres de rançon a révélé que les mêmes acteurs malveillants responsables de l’attaque du mois d’août sont également à l’origine de ces emails de menace.
Cependant, les entreprises qui ont reçu les nouveaux messages de menace n’ont pas répondu ou ne se sont pas obligées à payer une rançon aux groupes de ransomware, selon les rapports.
Les organisations ne sont pas non plus connues des médias, de sorte que seul le groupe de ransomware les connaîtrait.
Radware a révélé que les initiateurs des messages de menace sont le même groupe qui a lancé des campagnes de logiciels de rançon sur les organisations l’année dernière.
Entre décembre et janvier, les acteurs malveillants ont envoyé des lettres d’extorsion à cinq clients de Radware. Ils ont menacé les organisations et demandé cinq Bitcoin (d’une valeur d’environ 200 000 dollars) comme rançon, sinon ils auraient à faire face à une cyber-attaque.
« Nous avons demandé que 10 bitcoin soient payés à l’adresse <bitcoin> pour éviter que tout votre réseau soit DDoSed », a menacé le groupe de ransomware.
Les acteurs malveillants affirment qu’ils sont soi-disant les représentants des groupes Armanda Collective, Lazarus Group et FancyBear.
Le groupe de ransomware est responsable d’attaques importantes
Lors de la première campagne de rançon du groupe l’année dernière, ils ont infiltré plusieurs entreprises, dont Magyar Telecom, OTP Bank, le New Zealand Exchange et de nombreuses autres organisations.
Avant l’attaque, le FBI a publié un communiqué, avertissant les organisations de l’imminence de l’attaque et leur donnant des directives sur ce qu’elles devaient faire.
À l’époque, le directeur des renseignements sur la menace chez Radware, Pascal Geenens, a indiqué que quatre des clients de l’entreprise avaient été visés par des attaques DDoS. Il a ajouté que les attaques DDoS sont très sophistiquées, les plus lourdes atteignant plus de 230 gigabits par seconde et durant environ 10 heures.
Cependant, les organisations ciblées n’ont pas été sérieusement touchées, car elles n’ont pas subi de problèmes de réseau ni de temps d’arrêt. En effet, elles ont immédiatement redirigé leur trafic vers un centre d’épuration Radware.
Le groupe a également déclaré qu’il avait reçu des fonds de l’organisation depuis longtemps et a averti que l’organisation ne pouvait pas atténuer l’attaque en cours si elle refusait de se conformer à la demande de rançon.
Le groupe de ransomware profite de la volatilité du Bitcoin
Le bitcoin a atteint des niveaux sans précédent au cours des dernières semaines. La cryptomonnaie la plus importante a un prix très attractif, et il semble que les acteurs malveillants veuillent participer à cette aubaine. La nature décentralisée de Bitcoin et des autres cryptomonnaies en fait un refuge pour les cybercriminels et les acteurs malveillants. Il est très difficile de les retrouver grâce à leur porte-feuille Bitcoin, contrairement aux comptes en monnaie fiduciaire.
Par conséquent, les groupes de ransomware continuent de menacer les organisations pour qu’elles leur envoient des fonds via leur adresse Bitcoin, car celle-ci est intraçable.
La campagne d’extorsion DDoS a débuté l’année dernière, alors qu’un seul Bitcoin était encore évalué à environ 10 000 dollars. La cryptomonnaie a atteint un niveau enviable de 40 000 dollars au début de l’année, bien qu’au moment de la rédaction, elle soit tombée à 30 000 dollars. C’est encore considérablement élevé, si l’on considère son prix il y a moins de 6 mois.
Les acteurs malveillants ont même cité ce fait dans leur email de menace, ce qui représente l’impact du prix de Bitcoin sur le niveau de menace cybernétique auquel les organisations sont actuellement confrontées.
Les organisations de sécurité ont noté que la hausse rapide du prix de Bitcoin a également pris les groupes par surprise, puisqu’ils ont maintenant réduit leurs demandes de rançon jusqu’à 50 %. Le groupe en question a exigé une rançon de 10 BTC la dernière fois, mais il a réduit la demande à 5 BTC, en raison de l’augmentation du prix de la monnaie.
Selon M. Greenens, les attaquants ne s’attaquent pas deux fois à une seule organisation. Mais l’une des raisons possibles pourrait être la forte hausse de Bitcoin. Ils pourraient profiter de la volatilité du marché de Bitcoin pour vendre leurs fonds extorqués et gagner plus d’argent alors que le prix de Bitcoin est encore élevé.
