Nieuwe grootschalige DDoS aanvallen richten zich op kritieke infrastructuur
Link11: de agressieve DDoS-afpersers van ‘Fancy Bear’ zijn weer actief
24 augustus 2020 -
Link11 kondigt aan dat zijn Security Operations Center (LSOC) sinds 12 augustus een grote hoeveelheid afpersingsmails heeft waargenomen die afkomstig zijn van de hackersgroep ‘Fancy Bear’. Slachtoffers ontvangen een email met het onderwerp ‘DDoS-aanvallen op uw netwerk’, waarbij de cybercriminelen vijftien Bitcoins eisen. Dit komt overeen met een waarde van bijna 150.000 euro.
De groep lijkt zich met name te richten op exploitanten van kritieke infrastructuren. Dit bevestigen eerdere conclusies uit het Global Risk Report 2020 van het World Economic Forum (WEF), waarin werd aangegeven dat exploitanten van kritieke infrastructuren tot de top vijf risicogroepen behoren als het gaat om cyberaanvallen.
Aanvallers zijn geen onbekenden
De DDoS-afpersers, die zich voordoen onder de naam Fancy Bear, zijn geen onbekenden. In oktober 2019 verrichten de cybercriminelen soortgelijken DDoS-aanvallen om organisaties te dwingen tot het betalen van Bitcoins. De tekst van de afpersingsmails zijn grotendeels identiek als die van vorig jaar. De Bitcoin adressen zijn daarentegen altijd anders, zodat de aanvallers kunnen controleren wie er heeft betaald. Slachtoffers worden gesommeerd om binnen zeven dagen de Bitcoins over te dragen, bij de aanvallen van vorig jaar was dit vier dagen.
Daders voeren waarschuwingsaanvallen uit
Om de ernst van hun eisen te onderstrepen kondigen de afpersers waarschuwingsaanvallen aan, die ze ook daadwerkelijk uitvoeren. De aanvallen worden gekenmerkt door zeer hoge bandbreedtes die een langdurige en grote intensiteit hebben. Volgens de cybercriminelen zijn deze aanvallen slechts een voorproefje. In het geval dat er geen Bitcoins worden overgedragen, dreigen ze aanvallen uit te voeren van meer dan 2.000 Gbps per seconden. De aanval die het Link11 Security Operations Center (LSOC) afsloeg voor een exploitant van kritieke infrastructuur hield maar liefst twee uur aan en bereikte honderden Gbps. De aanval was gebaseerd op UPD Floods, TCP Floods en SYN Floods. Om het aanvalsvolume te vergroten, gebruikten de daders Reflection-Amplification-Vektoren DNS, Apple Remote Control en WS-Discovery.
Advies voor getroffen organisaties
Gezien het zeer agressieve gedrag van de daders adviseert het LSOC de afpersing serieus te nemen. Zodra organisaties een afpersingsmail ontvangen, moeten ze hun DDoS-beveiligingssystemen proactief activeren. Als de beveiligingsoplossing niet is ontworpen voor volumeaanvallen van 50 Gbps en meer, is het belangrijk om uit te zoeken hoe de bedrijfsspecifieke beveiligingsbandbreedte op korte termijn kan worden vergroot. Daarnaast adviseert het LSOC om niet te reageren op de afpersingsmail en in plaats daarvan aangifte te doen bij de politie.