Sterke toename in hoeveelheid RDDoS aanvallen

Gepubliceerd op 17 juni 2021 om 15:00

Link11 IT-beveiligingsprovider kondigt vandaag aan dat het Security Operations Center (LSOC) een sterke toename ziet in de hoeveelheid ransom distributed denial of service (RDDoS of RDoS) aanvallen. Bedrijven uit allerlei verschillende sectoren ontvangen afpersingsmails van Fancy Lazarus. In mail eist de hackersgroep 2 Bitcoins (ongeveer 66.000 euro): "It's a small price for what will happen when your whole network goes down. Is it worth it? You decide!” Tot nu toe heeft LSOC meldingen ontvangen van RDoS-aanvallen uit de VS, Canada en verschillende Europese landen.

Hoe gaan de cybercrimelen te werk

De daders verzamelen vooraf informatie over de IT-infrastructuur van het bedrijf. Vervolgens sturen ze een afpersingsmail waarin duidelijk staan aangegeven op welke servers en IT-elementen ze zich zullen richten. Om druk uit te oefenen, voeren de aanvallers waarschuwingsaanvallen uit, waarvan sommige enkele uren duren. Deze aanvallen worden gekenmerkt door hoge volumes tot 200 Gbps. Om deze aanvalsbandbreedtes te bereiken, gebruiken de daders reflectie versterkingsvectoren, zoals DNS. Als niet aan de eisen wordt voldaan, wordt het gecontacteerde bedrijf bedreigd met massale grootschalige aanvallen van maximaal 2 Tbsp. De organisatie heeft 7 dagen de tijd om de Bitcoins over te zetten naar een specifieke Bitcoin wallet. In de e-mail staat ook dat als er niet is betaald voor de betalingstermijn, dat het losgeld wordt verhoogd met 4 Bitcoin. Daarbovenop zal het bedrag iedere dag met 1 Bitcoin worden verhoogd tot er is betaald. Soms mislukken de aangekondigde aanvallen na het verstrijken van het betalingstermijn. In andere gevallen veroorzaken DDoS-aanvallen aanzienlijke overlast voor de bedrijven die het doelwit zijn.

Vermoedelijke daders haalden al eerder de krantenkoppen

De daders zijn geen onbekenden. In het najaar van 2020 werden betalingsproviders, financiële dienstverleners en bankinstellingen wereldwijd gechanteerd met een identieke tactiek en getroffen door RDoS-aanvallen. Echter werden er ook hostingproviders, e-commerceproviders en logistieke getroffen, wat aantoont dat de cybercriminelen geen onderscheid maken tussen bedrijven. De daders opereerden ook onder de namen Lazarus Group en Fancy Bear of deden zich voor als het Armada Collective. De groep wordt zelfs verantwoordelijk gehouden voor de uitval van de Nieuw-Zeelandse beurs eind augustus 2020, die enkele dagen plat lag.

De nieuwe golf van afpersing treft veel bedrijven waarvan een groot deel van het personeel nog op afstand werkt en sterk afhankelijk is van de toegang tot het bedrijfsnetwerk. Marc Wilczek, Managing Director van Link11: “Bedrijven hebben vanwege de pandemie de afgelopen maanden een sterke digitalisering doorgemaakt. Echter zijn ze vaak nog niet 100% beveiligd tegen cyberaanvallen. De mogelijkheden voor cybercriminelen zijn sterk toegenomen omdat IT-systemen vaak niet voldoende beveiligd zijn. Daders weten deze kansen met perfecte precisie te exploiteren."

Wat te doen bij DDoS-afpersing

Zodra slachtoffers een afpersingsmail ontvangen, moeten bedrijven hun DDoS-beveiligingssystemen proactief activeren en onder geen beding reageren op de afpersing. Als de beveiligingsoplossing niet is ontworpen om op te schalen naar volume-aanvallen van enkele honderden Gbps en meer, is het belangrijk om uit te zoeken hoe de bedrijfsspecifieke beveiligingsbandbreedte op korte termijn kan worden vergroot en met een SLA kan worden gegarandeerd. Indien nodig kan dit ook via een noodintegratie te worden gerealiseerd.

De analyse van LSOC heeft aangetoond dat bedrijven die professionele en uitgebreide DDoS-bescherming gebruiken, het risico op downtime aanzienlijk kunnen verminderen. Zodra de aanvallers beseffen dat hun aanvallen nergens toe leiden, stoppen ze en laten ze niets meer van hen horen. LSOC adviseert getroffen bedrijven om aangifte te doen bij de politie

Bron: link11.com

Meer info over RDDoS of DDoS

Tips of verdachte activiteiten gezien? Meld het hier.

DDoS gerelateerde berichten

"Organisatie voorbereiden op DDoS-aanvallen is lastig"

De Zeeuwse internetprovider 'Delta' werd vrijdag getroffen door een ernstige DDoS-aanval. Daarbij werd zoveel data naar het bedrijf gestuurd, dat de servers overbelast raakten. Het had volgens experts voorkomen kunnen worden, maar dat wordt wel steeds moeilijker, zo zeggen zij tegenover Trouw. Hoe kan het dat providers zich nog steeds laten verrassen door zo’n digitale bestorming? 

Lees meer »

Doorzoekingen woningen in zaak DDoS-aanbieder

Het cybercrimeteam van de politie Midden-Nederland heeft vandaag doorzoekingen gedaan in de woningen van twee mensen die verdacht worden betrokken te zijn bij een internationale booterwebsite. De website is een bekende voor het uitvoeren van DDoS-aanvallen. Het politieonderzoek gaat nog verder.

Lees meer »

Vuist tegen DDoS aanvallen met NoMoreDDoS.org

Na zo’n twee jaar in relatieve stilte te hebben gewerkt, heeft de nationale anti-DDoS-coalitie recent de website nomoreddos.org gelanceerd. Deze website is bedoeld om geïnteresseerden op de hoogte te houden over de activiteiten van de coalitie en neutrale informatie over DDoS-aanvallen te bieden. De nationale anti-DDoS-coalitie is een publiek-privaat samenwerkingsverband van sectororganisaties, (semi)overheidsinstellingen en bedrijven die een gezamenlijke, landsbrede aanpak voor DDoS-aanvallen ontwikkelt. Het gaat daarbij niet alleen om het afslaan van DDoS-aanvallen, maar ook om het herkennen van patronen om aanvallen te voorkomen en het delen van expertise en ervaring.

Lees meer »