За даними Radware, особливе занепокоєння викликає той факт, що групи програм-вимагачів DoS (RDoS) стають все більш витонченими та витонченими та здійснюють все більш витончені атаки. Є перші ознаки того, що Phantom Squad і REvil знову активні.
За останні кілька місяців дослідники Radware спостерігали значне зростання активності DDoS у всьому світі. Тактика, техніка та процедури (TTP), які використовують різні групи, розвиваються, загрожуючи цільовим компаніям у США, Азії та Європі.
Phantom Squad повертається?
Після п’ятирічної перерви було поширено новий лист про програму-вимагач, аналіз якого показує, що він має типові характеристики групи Phantom Squad RDoS. 22 травня 2022 року з’явився лист-вимагач, майже ідентичний тому, який використовувався в кампаніях RDoS Phantom Squad 2017 року. Єдина відмінність між листом 2017 року та поточною версією 2022 року полягає в тому, що група загроз має додатковий розділ, який містить IP-адреси та доменні імена їхніх цілей. За даними Radware, наразі з’явився лише один такий лист, і жодних повідомлень про збої чи демонстраційні атаки на цільових жертв не було.
REvil також знову активний
У той же час група під назвою REvil відновила кампанію RDoS-атак із використанням HTTPS-запитів. На відміну від Phantom Squad, ця група не тільки загрожує, але й завдає шкоди. Спочатку він надсилає цільовій жертві попередження про викуп, а потім переходить до більш складної тактики. Це включає вбудовування записки про викуп у корисне навантаження атаки. Група проводить високочастотні (кілька мільйонів запитів на секунду) зашифровані атаки на прикладному рівні. Ці атаки тривають близько п’яти хвилин і містять повідомлення, вбудовані в URL-адресу запиту. Минулого року групу, яка представлялася як REvil, також використовували Twitter, щоб посилити тиск на своїх жертв.
Деніел Сміт, керівник відділу досліджень групи Radware Cyber Threat Intelligence, коментує: «Групи RDoS, які видають себе за Phantom Squad і REvil, здається, націлені на організації в Європі, США та Азії. Хоча кампанія Phantom Squad 2017 року не передбачала жодних фактичних DDoS-атак, ми все ж радимо компаніям бути пильними».
Більше на Radware.com
Про Radware Radware (NASDAQ: RDWR) є світовим лідером у сфері доставки додатків і рішень кібербезпеки для віртуальних, хмарних і програмно-визначених центрів обробки даних. Відзначене нагородами портфоліо компанії захищає всю корпоративну ІТ-інфраструктуру та критичні програми та забезпечує їх доступність. Понад 12.500 XNUMX корпоративних і операторських клієнтів у всьому світі отримують переваги від рішень Radware, щоб швидко адаптуватися до розвитку ринку, підтримувати безперервність бізнесу та максимізувати продуктивність за низьких витрат.