Un groupe se fait passer pour “Fancy Bear” et demande de l’argent aux entreprises du secteur financier, menaçant de provoquer des attaques DDoS.
La semaine dernière, un groupe de criminels a lancé des attaques DDoS contre des entreprises du secteur financier et a exigé le paiement d’une rançon tout en se faisant passer pour “Fancy Bear”, le groupe de piratage associé au gouvernement russe et connu pour avoir piraté la Maison-Blanche en 2014. et la DNC en 2016.
Les attaques, portées à l’attention de ZDNet par l’un de nos lecteurs, ont été confirmées ce jour par Link11 et Radware, deux sociétés qui fournissent des services de protection DDoS et ont documenté des attaques similaires par “déni de service avec rançon” (RDOS) ces dernières années.
Dans une interview avec ZDNet, Daniel Smith, chercheur chez Radware ERT, a expliqué que les attaques avaient commencé la semaine dernière et ciblaient le secteur financier.
Smith a déclaré: “le groupe lance des attaques DdoS multi-vecteurs de démonstration à grande échelle au moment de l’envoi de la lettre de rançon aux victimes”.
Un porte-parole de Link11 a déclaré la même chose, ajoutant que l’objectif de ces attaques de démonstration était de servir d’avertissement et d’intimidation, afin de convaincre les victimes de payer la rançon demandée. Selon une copie de la lettre de rançon [PDF] envoyée par le groupe aux victimes, le pseudo groupe Fancy Bear demande le paiement de 2 bitcoins, ce qui représente environ 15 000 USD au taux de change actuel.
Thomas Pohle de Link11 a déclaré que ces attaques de démonstration étaient un mélange de différents protocoles, tels que DNS, NTP, CLDAP, ARMS et WS-Discovery.
En outre, les attaquants semblent étudier et choisir leurs cibles à l’avance. Pohle a déclaré que les attaques DDoS ne ciblent pas les sites Web publics des entreprises, mais leurs serveurs principaux, qui ne sont généralement pas protégés par des systèmes d’atténuation des attaques DdoS.
En outre, M. Pohle a déclaré qu’au-delà du secteur financier, il a également été témoin de plusieurs attaques de type DdoS avec rançon visant des entreprises du secteur du divertissement et de la vente au détail.
“Les victimes sont menacées d’une attaque DDoS si elles ne paient pas leur paiement en bitcoins dans un délai d’une semaine”, a déclaré Smith, de Radware, à ZDNet. “Pour le moment, aucune attaque n’a été observée.”
Le retour d’une tendance de 2017?
Smith a également déclaré que la lettre de rançon utilisée la semaine dernière était presque identique à celle utilisée en 2017 par un autre gang de rançons DDoS qui se faisait egalement passer pour le groupe russe Fancy Bear.
En fait, 2017 a été l’année où les demandes de rançons basées sur des attaques DDoS ont atteint leur apogée, avec des dizaines de groupes fonctionnant tous en même temps.
Certains extorsionnistes de DDoS se sont fait passer pour presque tous les groupes de piratage connus de l’époque, tels que Anonymous, LulzSec, Armada Collective, New World Hackers, Lizard Squad et Fancy Bear.
D’autres groupes n’ont pas pris la peine d’imiter des groupes de piratage plus connus et ont essayé de se faire connaître, tels que Kadyrovtsy, RedDoor, ezBTC, le collectif Borya, Stealth Ravens, l’escouade XMR, le ZZb00t, le collectif Meridian, l’équipe Xball et le collectif Amadeus.
Cette période a été particulièrement chargée, mais les attaques se sont estompées lorsque les victimes ont appris que de nombreux extorqueurs n’avaient pas la puissance de feu nécessaire pour mener à bien de véritables attaques DDoS.
Mais contrairement à ses prédécesseurs de 2017, ce nouvel imitateur de Fancy Bear apparu la semaine dernière semble posséder un véritable réseau botnet DDoS.
Cependant, il convient de mentionner qu’ils ne sont pas le véritable groupe Fancy Bear. L’unité russe de cyberespionnage et de piratage n’a jamais été vue en train de lancer des attaques DDoS. Leurs cibles incluent généralement les ambassades, les bases de l’OTAN, les partis politiques américains et les agences gouvernementales. Toute entreprise recevant de telles menaces par courrier électronique devrait signaler l’incident aux autorités.
Pour en savoir plus: