Link11 IT-beveiligingsprovider kondigt vandaag aan dat het Security Operations Center (LSOC) een sterke toename ziet in de hoeveelheid ransom distributed denial of service (RDDoS of RDoS) aanvallen. Bedrijven uit allerlei verschillende sectoren ontvangen afpersingsmails van Fancy Lazarus. In mail eist de hackersgroep 2 Bitcoins (ongeveer 66.000 euro): "It's a small price for what will happen when your whole network goes down. Is it worth it? You decide!” Tot nu toe heeft LSOC meldingen ontvangen van RDoS-aanvallen uit de VS, Canada en verschillende Europese landen.
Hoe gaan de cybercrimelen te werk
De daders verzamelen vooraf informatie over de IT-infrastructuur van het bedrijf. Vervolgens sturen ze een afpersingsmail waarin duidelijk staan aangegeven op welke servers en IT-elementen ze zich zullen richten. Om druk uit te oefenen, voeren de aanvallers waarschuwingsaanvallen uit, waarvan sommige enkele uren duren. Deze aanvallen worden gekenmerkt door hoge volumes tot 200 Gbps. Om deze aanvalsbandbreedtes te bereiken, gebruiken de daders reflectie versterkingsvectoren, zoals DNS. Als niet aan de eisen wordt voldaan, wordt het gecontacteerde bedrijf bedreigd met massale grootschalige aanvallen van maximaal 2 Tbsp. De organisatie heeft 7 dagen de tijd om de Bitcoins over te zetten naar een specifieke Bitcoin wallet. In de e-mail staat ook dat als er niet is betaald voor de betalingstermijn, dat het losgeld wordt verhoogd met 4 Bitcoin. Daarbovenop zal het bedrag iedere dag met 1 Bitcoin worden verhoogd tot er is betaald. Soms mislukken de aangekondigde aanvallen na het verstrijken van het betalingstermijn. In andere gevallen veroorzaken DDoS-aanvallen aanzienlijke overlast voor de bedrijven die het doelwit zijn.
Vermoedelijke daders haalden al eerder de krantenkoppen
De daders zijn geen onbekenden. In het najaar van 2020 werden betalingsproviders, financiële dienstverleners en bankinstellingen wereldwijd gechanteerd met een identieke tactiek en getroffen door RDoS-aanvallen. Echter werden er ook hostingproviders, e-commerceproviders en logistieke getroffen, wat aantoont dat de cybercriminelen geen onderscheid maken tussen bedrijven. De daders opereerden ook onder de namen Lazarus Group en Fancy Bear of deden zich voor als het Armada Collective. De groep wordt zelfs verantwoordelijk gehouden voor de uitval van de Nieuw-Zeelandse beurs eind augustus 2020, die enkele dagen plat lag.
De nieuwe golf van afpersing treft veel bedrijven waarvan een groot deel van het personeel nog op afstand werkt en sterk afhankelijk is van de toegang tot het bedrijfsnetwerk. Marc Wilczek, Managing Director van Link11: “Bedrijven hebben vanwege de pandemie de afgelopen maanden een sterke digitalisering doorgemaakt. Echter zijn ze vaak nog niet 100% beveiligd tegen cyberaanvallen. De mogelijkheden voor cybercriminelen zijn sterk toegenomen omdat IT-systemen vaak niet voldoende beveiligd zijn. Daders weten deze kansen met perfecte precisie te exploiteren."
Wat te doen bij DDoS-afpersing
Zodra slachtoffers een afpersingsmail ontvangen, moeten bedrijven hun DDoS-beveiligingssystemen proactief activeren en onder geen beding reageren op de afpersing. Als de beveiligingsoplossing niet is ontworpen om op te schalen naar volume-aanvallen van enkele honderden Gbps en meer, is het belangrijk om uit te zoeken hoe de bedrijfsspecifieke beveiligingsbandbreedte op korte termijn kan worden vergroot en met een SLA kan worden gegarandeerd. Indien nodig kan dit ook via een noodintegratie te worden gerealiseerd.
De analyse van LSOC heeft aangetoond dat bedrijven die professionele en uitgebreide DDoS-bescherming gebruiken, het risico op downtime aanzienlijk kunnen verminderen. Zodra de aanvallers beseffen dat hun aanvallen nergens toe leiden, stoppen ze en laten ze niets meer van hen horen. LSOC adviseert getroffen bedrijven om aangifte te doen bij de politie
Servers uit de lucht na onderzoek 'WeLeakInfo'
De Nederlandse politie heeft in nauwe samenwerking met de politie in België en de FBI een onderzoek gedraaid rond de online verkoop van gestolen inloggegevens en het faciliteren van DDoS aanvallen tegen betaling. Dinsdag is in België een verdachte aangehouden en zijn er huiszoekingen gedaan waarbij gegevensdragers en communicatiemiddelen in beslag zijn genomen. Tegelijkertijd zijn de criminele websites offline gehaald en de onderliggende ICT-infrastructuur in beslag genomen en ontoegankelijk gemaakt.
Een onbereikbare website het is de nachtmerrie van elke online ondernemer
Op die angst speelde een 25-jarige verdachte uit Veenendaal op slinkse wijze in. Hij wordt ervan verdacht DDOS-aanvallen uitgevoerd te hebben op meer dan twintig websites van internetondernemingen, waarbij klanten online bijvoorbeeld bloemen, meubels of verf kunnen bestellen. Na de eerste aanval eiste de verdachte betalingen in bitcoins van de getroffen bedrijven. Daarmee zouden ze nieuwe aanvallen – en een langdurig onbereikbare website – kunnen voorkomen (RDDOS).
21 jarige deed “voor de fun” een DDoS aanval op mijnoverheid.nl
Het Openbaar Ministerie eist vier maanden voorwaardelijke celstraf en 240 uur taakstraf tegen een 21-jarige man die DDoS-aanvallen uitvoerde op overheidswebsites.
Kopers van DDoS-aanval krijgen waarschuwing van cybercrimeteam
Maandag 11 oktober verstuurde de politie een brief naar 29 mensen die in verband worden gebracht met de aankoop van een DDoS-aanval. De brief geldt als laatste waarschuwing. Eerder werden in dit onderzoek al 2 doorzoekingen gedaan. Het onderzoek gaat nog verder.
Belgie: “Conclusies over de cyberaanval zijn voorbarig. Maar het is belangrijk om die gevoelige context te signaleren. Dat ontkennen is naïef”
Het Belgische Belnet ligt momenteel onder vuur. Het netwerk werd gisteren rond het middaguur getroffen door een DDoS-aanval. Meerdere overheidsdiensten kunnen daardoor geen gebruik maken van het internet. Het is onduidelijk wie er achter de aanval zit.
Een verdubbeling in het eerste kwartaal van het aantal DDoS aanvallen
Gisteren is het DDoS rapport gepubliceerd van het afgelopen kwartaal (Q1-2021) door cyber resilience bedrijf Link11. In het eerste kwartaal van 2021 bleven cybercriminelen misbruik maken van de pandemie om bedrijven en hun IT-infrastructuren aan te vallen.