Analyse Link11: een nieuwe golf van DDoS afpersingscampagnes door Fancy Lazarus

Link11 kondigt vandaag aan dat zijn Link11 Security Operations Center (LSOC) een sterke toename ziet in de hoeveelheid ransom distributed denial of service (RDDoS of RDoS) aanvallen. Bedrijven uit allerlei verschillende sectoren ontvangen afpersingsmails van Fancy Lazarus. In mail eist de hackersgroep 2 Bitcoins (ongeveer 66.000 euro): “It’s a small price for what will happen when your whole network goes down. Is it worth it? You decide!” Tot nu toe heeft LSOC meldingen ontvangen van RDoS-aanvallen uit de VS, Canada en verschillende Europese landen.

De daders verzamelen vooraf informatie over de IT-infrastructuur van het bedrijf. Vervolgens sturen ze een afpersingsmail waarin duidelijk staan aangegeven op welke servers en IT-elementen ze zich zullen richten. Om druk uit te oefenen, voeren de aanvallers waarschuwingsaanvallen uit, waarvan sommige enkele uren duren. Deze aanvallen worden gekenmerkt door hoge volumes tot 200 Gbps. Om deze aanvalsbandbreedtes te bereiken, gebruiken de daders reflectie versterkingsvectoren, zoals DNS. Als niet aan de eisen wordt voldaan, wordt het gecontacteerde bedrijf bedreigd met massale grootschalige aanvallen van maximaal 2 Tbsp. De organisatie heeft 7 dagen de tijd om de Bitcoins over te zetten naar een specifieke Bitcoin wallet. In de e-mail staat ook dat als er niet is betaald voor de betalingstermijn, dat het losgeld wordt verhoogd met 4 Bitcoin. Daarbovenop zal het bedrag iedere dag met 1 Bitcoin worden verhoogd tot er is betaald. Soms mislukken de aangekondigde aanvallen na het verstrijken van het betalingstermijn. In andere gevallen veroorzaken DDoS-aanvallen aanzienlijke overlast voor de bedrijven die het doelwit zijn.

De daders zijn geen onbekenden. In het najaar van 2020 werden betalingsproviders, financiële dienstverleners en bankinstellingen wereldwijd gechanteerd met een identieke tactiek en getroffen door RDoS-aanvallen. Echter werden er ook hostingproviders, e-commerceproviders en logistieke getroffen, wat aantoont dat de cybercriminelen geen onderscheid maken tussen bedrijven. De daders opereerden ook onder de namen Lazarus Group en Fancy Bear of deden zich voor als het Armada Collective. De groep wordt zelfs verantwoordelijk gehouden voor de uitval van de Nieuw-Zeelandse beurs eind augustus 2020, die enkele dagen plat lag.

De nieuwe golf van afpersing treft veel bedrijven waarvan een groot deel van het personeel nog op afstand werkt en sterk afhankelijk is van de toegang tot het bedrijfsnetwerk. Marc Wilczek, Managing Director van Link11: “Bedrijven hebben vanwege de pandemie de afgelopen maanden een sterke digitalisering doorgemaakt. Echter zijn ze vaak nog niet 100% beveiligd tegen cyberaanvallen. De mogelijkheden voor cybercriminelen zijn sterk toegenomen omdat IT-systemen vaak niet voldoende beveiligd zijn. Daders weten deze kansen met perfecte precisie te exploiteren.”

Zodra slachtoffers een afpersingsmail ontvangen, moeten bedrijven hun DDoS-beveiligingssystemen proactief activeren en onder geen beding reageren op de afpersing. Als de beveiligingsoplossing niet is ontworpen om op te schalen naar volume-aanvallen van enkele honderden Gbps en meer, is het belangrijk om uit te zoeken hoe de bedrijfsspecifieke beveiligingsbandbreedte op korte termijn kan worden vergroot en met een SLA kan worden gegarandeerd. Indien nodig kan dit ook via een noodintegratie te worden gerealiseerd.

De analyse van LSOC heeft aangetoond dat bedrijven die professionele en uitgebreide DDoS-bescherming gebruiken, het risico op downtime aanzienlijk kunnen verminderen. Zodra de aanvallers beseffen dat hun aanvallen nergens toe leiden, stoppen ze en laten ze niets meer van hen horen. LSOC adviseert getroffen bedrijven om aangifte te doen.