Selon Radware, le fait que les groupes de rançongiciels DoS (RDoS) deviennent de plus en plus sophistiqués et sophistiqués et lancent des attaques de plus en plus sophistiquées est particulièrement préoccupant. Il y a des premières indications que Phantom Squad et REvil sont à nouveau actifs.
Au cours des derniers mois, les chercheurs de Radware ont observé une augmentation significative de l'activité DDoS dans le monde. Les tactiques, techniques et procédures (TTP) employées par différents groupes évoluent, menaçant les entreprises cibles aux États-Unis, en Asie et en Europe.
La Phantom Squad est-elle de retour ?
Après une interruption de cinq ans, une nouvelle lettre de ransomware a été diffusée, dont l'analyse montre qu'elle présente les caractéristiques typiques du groupe RDoS Phantom Squad. Le 22 mai 2022, une lettre de ransomware presque identique à celle utilisée dans les campagnes RDoS Phantom Squad de 2017 a fait surface. La seule différence entre la lettre de 2017 et la version actuelle de 2022 est que le groupe de menaces a une section supplémentaire fournissant les adresses IP et les noms de domaine de leurs cibles. Selon Radware, une seule lettre de ce type a fait surface jusqu'à présent, sans échecs signalés ou observés ni attaques de démonstration contre les victimes ciblées.
REvil est également à nouveau actif
Dans le même temps, un groupe se faisant passer pour REvil a repris sa campagne d'attaques RDoS en utilisant des requêtes d'inondation HTTPS. Contrairement à Phantom Squad, ce groupe non seulement menace, mais cause également des dégâts. Il envoie d'abord à la victime ciblée une demande de rançon d'avertissement, puis passe à des tactiques plus avancées. Cela inclut l'intégration de la note de rançon dans la charge utile de l'attaque. Le groupe mène des attaques chiffrées à haute fréquence (plusieurs millions de requêtes par seconde) au niveau de la couche application. Ces attaques durent environ cinq minutes et contiennent des messages intégrés dans l'URL de la demande. Le groupe se faisant passer pour REvil a également été repéré en utilisant Twitter l'année dernière pour faire pression davantage sur leurs victimes.
Daniel Smith, responsable de la recherche pour le groupe Cyber Threat Intelligence de Radware, commente: «Les groupes RDoS se faisant passer pour Phantom Squad et REvil semblent cibler des organisations en Europe, aux États-Unis et en Asie. Bien que la campagne Phantom Squad de 2017 n'ait impliqué aucune attaque DDoS réelle, nous conseillons toujours aux entreprises d'être vigilantes.
Plus sur Radware.com
À propos de Radware Radware (NASDAQ : RDWR) est un leader mondial des solutions de fourniture d'applications et de cybersécurité pour les centres de données virtuels, cloud et définis par logiciel. Le portefeuille primé de l'entreprise sécurise l'infrastructure informatique et les applications critiques à l'échelle de l'entreprise et garantit leur disponibilité. Plus de 12.500 XNUMX clients entreprises et opérateurs dans le monde bénéficient des solutions Radware pour s'adapter rapidement aux évolutions du marché, maintenir la continuité des activités et maximiser la productivité à faible coût.