Sind Phantom Squad und REvil zurück?

B2B Cyber Security ShortNews

Beitrag teilen

Besonders besorgniserregend ist laut Radware die Tatsache, dass Ransom DoS (RDoS)-Gruppen immer fortschrittlicher und ausgefeilter agieren und immer komplexere Angriffe durchführen. Es gibt erste Hinweise darauf, dass Phantom Squad und REvil  wieder aktiv sind.

In den vergangenen Monaten haben Radware-Forscher eine deutliche Zunahme von DDoS-Aktivitäten auf der ganzen Welt beobachtet. Die von unterschiedlichen Gruppen eingesetzten Taktiken, Techniken und Verfahren (TTPs) entwickeln sich weiter und bringen die Zielunternehmen in den USA, Asien und Europa in Bedrängnis.

Ist Phantom Squad zurück?

Nach einer fünfjährigen Pause wurde ein neuer Ransomware-Brief in Umlauf gebracht, dessen Analyse zeigt, dass er die typischen Merkmale der RDoS-Gruppe Phantom Squad aufweist. Am 22. Mai 2022 tauchte ein Ransomware-Brief auf, der fast identisch ist mit dem, der in den RDoS Phantom Squad-Kampagnen von 2017 verwendet wurde. Der einzige Unterschied zwischen dem Schreiben aus dem Jahr 2017 und der aktuellen Version von 2022 besteht darin, dass die Bedrohungsgruppe in einem zusätzlichen Abschnitt die IP-Adressen und Domänennamen ihrer beabsichtigten Ziele angibt. Bislang ist laut Radware nur ein solcher Brief aufgetaucht, ohne dass es zu gemeldeten oder beobachteten Ausfällen oder Demonstrationsangriffen auf die anvisierten Opfer gekommen ist.

Auch REvil ist wieder aktiv

Gleichzeitig hat eine Gruppe, die sich als REvil ausgibt, ihre Kampagne von RDoS-Angriffen mit HTTPS-Flood-Anfragen wieder aufgenommen. Anders als Phantom Squad droht diese Gruppe nicht nur, sondern richtet auch Schaden an. Sie schickt dem anvisierten Opfer zunächst eine warnende Lösegeldforderung und geht dann zu fortgeschritteneren Taktiken über. Dazu gehört das Einbetten der Lösegeldforderung in die Nutzlast des Angriffs. Die Gruppe führt hochfrequente (mehrere Millionen Anfragen pro Sekunde) verschlüsselte Angriffe auf Anwendungsebene durch. Diese Angriffe dauern etwa fünf Minuten und enthalten Nachrichten, die in die Anfrage-URL eingebettet sind. Die Gruppe, die sich als REvil ausgibt, wurde letztes Jahr auch dabei beobachtet, wie sie Twitter nutzte, um ihre Opfer weiter unter Druck zu setzen.

Daniel Smith, Head of Research der Cyber Threat Intelligence-Gruppe von Radware, kommentiert: “RDoS-Gruppen, die sich als Phantom Squad und REvil ausgeben, haben es offenbar auf Organisationen in Europa, den USA und Asien abgesehen. Auch wenn die Phantom Squad-Kampagne 2017 ohne tatsächliche DDoS-Angriffe verlief, empfehlen wir Unternehmen dennoch, wachsam zu sein.”

Mehr bei Radware.com

 


Über Radware

Radware (NASDAQ: RDWR) ist ein weltweit führender Lösungsanbieter im Bereich Anwendungsbereitstellung und Cybersicherheit für virtuelle, cloudbasierte und softwaredefinierte Rechenzentren. Das preisgekrönte Portfolio des Unternehmens sichert die unternehmensweite IT-Infrastruktur sowie kritische Anwendungen und stellt deren Verfügbarkeit sicher. Mehr als 12.500 Enterprise- und Carrier-Kunden weltweit profitieren von Radware-Lösungen zur schnellen Anpassung an Marktentwicklungen, Aufrechterhaltung der Business Continuity und Maximierung der Produktivität bei geringen Kosten.


 

Passende Artikel zum Thema

Schutzlösungen für MacOS Sonoma im Test

Der große Test von Schutz-Software für Unternehmen und Einzelplatz-PCs für MacOS fand im AV-TEST-Labor erstmals unter der MacOS Version Sonoma ➡ Weiterlesen

BSI: Neue Studie zu Hardware-Trojaner 

Das BSI hat eine Studie veröffentlicht zu Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen. Dabei geht es um versteckte Chips auf ➡ Weiterlesen

Intel schließt kritische und hochgefährliche Sicherheitslücken

Fast etwas unauffällig hat Intel viele Sicherheitslücken in seinen Produkten geschlossen. Mit dabei sind eine kritische Lücke mit dem CVSS-Wert ➡ Weiterlesen

BSI und Zero Day Initiative warnt vor kritischer Azure Schwachstelle  

Die Zero Day Initiative (ZDI) sammelt und verifiziert gemeldete Schwachstellen. Nun gibt es wohl eine kritische Schwachstelle in Azure mit dem ➡ Weiterlesen

Hoffnung für Unternehmen: FBI hat 7.000 LockBit Ransomware-Keys

Bereits im Februar und im Mai startete FBI, Europol und viele andere Behörden die Operationen gegen die Ransomware-Erpresser LockBit. Dabei ➡ Weiterlesen

Google-Leak: Datenbank belegt Datenpannen

Einem Journalist wurde eine Google-Datenbank zugespielt die tausende interne Datenpannen von 2013 bis 2018 enthalten und intern bei Google gelöst ➡ Weiterlesen

Keylogger stiehlt bei Exchange Servern Login-Daten

Das Incident Response Team des PT ESC hat einen neuartigen Keylogger in der Hauptseite eines Microsoft Exchange Servers entdeckt. Jeder ➡ Weiterlesen

Fluent Bit: Angriff auf Cloud-Dienste über Protokollierungs-Endpunkte

Tenable Research hat in Fluent Bit, einer Kernkomponente der Überwachungsinfrastruktur vieler Cloud-Dienste, eine kritische Sicherheitslücke namens „Linguistic Lumberjack“ entdeckt, die ➡ Weiterlesen