Sterke toename in hoeveelheid RDDoS aanvallen

Gepubliceerd op 17 juni 2021 om 15:00

Link11 IT-beveiligingsprovider kondigt vandaag aan dat het Security Operations Center (LSOC) een sterke toename ziet in de hoeveelheid ransom distributed denial of service (RDDoS of RDoS) aanvallen. Bedrijven uit allerlei verschillende sectoren ontvangen afpersingsmails van Fancy Lazarus. In mail eist de hackersgroep 2 Bitcoins (ongeveer 66.000 euro): "It's a small price for what will happen when your whole network goes down. Is it worth it? You decide!” Tot nu toe heeft LSOC meldingen ontvangen van RDoS-aanvallen uit de VS, Canada en verschillende Europese landen.

Hoe gaan de cybercrimelen te werk

De daders verzamelen vooraf informatie over de IT-infrastructuur van het bedrijf. Vervolgens sturen ze een afpersingsmail waarin duidelijk staan aangegeven op welke servers en IT-elementen ze zich zullen richten. Om druk uit te oefenen, voeren de aanvallers waarschuwingsaanvallen uit, waarvan sommige enkele uren duren. Deze aanvallen worden gekenmerkt door hoge volumes tot 200 Gbps. Om deze aanvalsbandbreedtes te bereiken, gebruiken de daders reflectie versterkingsvectoren, zoals DNS. Als niet aan de eisen wordt voldaan, wordt het gecontacteerde bedrijf bedreigd met massale grootschalige aanvallen van maximaal 2 Tbsp. De organisatie heeft 7 dagen de tijd om de Bitcoins over te zetten naar een specifieke Bitcoin wallet. In de e-mail staat ook dat als er niet is betaald voor de betalingstermijn, dat het losgeld wordt verhoogd met 4 Bitcoin. Daarbovenop zal het bedrag iedere dag met 1 Bitcoin worden verhoogd tot er is betaald. Soms mislukken de aangekondigde aanvallen na het verstrijken van het betalingstermijn. In andere gevallen veroorzaken DDoS-aanvallen aanzienlijke overlast voor de bedrijven die het doelwit zijn.

Vermoedelijke daders haalden al eerder de krantenkoppen

De daders zijn geen onbekenden. In het najaar van 2020 werden betalingsproviders, financiële dienstverleners en bankinstellingen wereldwijd gechanteerd met een identieke tactiek en getroffen door RDoS-aanvallen. Echter werden er ook hostingproviders, e-commerceproviders en logistieke getroffen, wat aantoont dat de cybercriminelen geen onderscheid maken tussen bedrijven. De daders opereerden ook onder de namen Lazarus Group en Fancy Bear of deden zich voor als het Armada Collective. De groep wordt zelfs verantwoordelijk gehouden voor de uitval van de Nieuw-Zeelandse beurs eind augustus 2020, die enkele dagen plat lag.

De nieuwe golf van afpersing treft veel bedrijven waarvan een groot deel van het personeel nog op afstand werkt en sterk afhankelijk is van de toegang tot het bedrijfsnetwerk. Marc Wilczek, Managing Director van Link11: “Bedrijven hebben vanwege de pandemie de afgelopen maanden een sterke digitalisering doorgemaakt. Echter zijn ze vaak nog niet 100% beveiligd tegen cyberaanvallen. De mogelijkheden voor cybercriminelen zijn sterk toegenomen omdat IT-systemen vaak niet voldoende beveiligd zijn. Daders weten deze kansen met perfecte precisie te exploiteren."

Wat te doen bij DDoS-afpersing

Zodra slachtoffers een afpersingsmail ontvangen, moeten bedrijven hun DDoS-beveiligingssystemen proactief activeren en onder geen beding reageren op de afpersing. Als de beveiligingsoplossing niet is ontworpen om op te schalen naar volume-aanvallen van enkele honderden Gbps en meer, is het belangrijk om uit te zoeken hoe de bedrijfsspecifieke beveiligingsbandbreedte op korte termijn kan worden vergroot en met een SLA kan worden gegarandeerd. Indien nodig kan dit ook via een noodintegratie te worden gerealiseerd.

De analyse van LSOC heeft aangetoond dat bedrijven die professionele en uitgebreide DDoS-bescherming gebruiken, het risico op downtime aanzienlijk kunnen verminderen. Zodra de aanvallers beseffen dat hun aanvallen nergens toe leiden, stoppen ze en laten ze niets meer van hen horen. LSOC adviseert getroffen bedrijven om aangifte te doen bij de politie

Bron: link11.com

Meer info over RDDoS of DDoS

Tips of verdachte activiteiten gezien? Meld het hier.

DDoS gerelateerde berichten

Aanhouding cybercrimineel voor DDoS afpersing

Ten minste negen MKB-bedrijven zijn slachtoffer geworden van een 24-jarige man die deze bedrijven de afgelopen weken afperste en hun websites platlegde met DDoS-aanvallen. Op 2 juni 2020 heeft de politie de man in zijn woonplaats Veenendaal aangehouden. Bij de aanhouding zijn onder andere een automatisch vuurwapen aangetroffen en is de auto van de verdachte in beslag genomen voor nader onderzoek. De recherche onderzoekt nog of verdachte mogelijk in verband kan worden gebracht met meer aangiften.

Lees meer »

Complexiteit en omvang DDoS-aanvallen nemen toe

De complexiteit en omvang van DDoS-aanvallen is in 2019 flink toegenomen in vergelijking met 2018. Dit blijkt uit het DDoS data rapport 2019 van de Stichting Nationale Beheersorganisatie Internet Providers (NBIP), dat de Nationale Anti-DDoS Wasstraat (NaWas) beheert. De NBIP publiceert twee keer per jaar een rapport met data over de in de NaWas waargenomen DDoS-aanvallen. Het nieuwe rapport is sinds vandaag beschikbaar.

Lees meer »

Politie houdt verdachte aan voor DDoS-aanval op MijnOverheid.nl

Breda - Op vrijdag 10 april 2020 is een 19-jarige man uit Breda opgepakt die ervan wordt verdacht de websites MijnOverheid.nl en Overheid.nl plat te hebben gelegd door het uitvoeren van DDoS-aanvallen. Deze aanvallen werden uitgevoerd op 19 maart. Voornoemde sites waren daardoor enige tijd uit de lucht. Overheid.nl werd en wordt in verband met de coronacrisis veel bezocht. Het beschikbaar zijn van deze site voor burgers is van cruciaal belang voor het land, zeker in deze tijden.

Lees meer »