El grupo felony &#39Extravagant Lazarus&#39 lanza DDoS …



El grupo ha resurgido después de una breve pausa con una nueva campaña de correo electrónico que amenaza con un ataque DDoS contra empresas que no pagan rescate.

Un grupo de ciberdelincuentes con una lista rotativa de nombres ha resurgido con una nueva campaña de ataque por correo electrónico que amenaza con lanzar un ataque distribuido de denegación de servicio (DDoS) contra organizaciones objetivo que se niegan a pagar un rescate.

Proofpoint comenzó a observar al grupo, que ahora se llama a sí mismo Extravagant Lazarus, en agosto de 2020. Sus atacantes también se han identificado como «Fancy Bear», «Lazarus», «Lazarus Group» y «Armada Collective». Los investigadores dicen que no existe una conexión conocida entre este grupo y los actores de amenazas persistentes avanzadas (APT) del mismo nombre, como Lazarus Group, vinculado a Corea del Norte, y Fancy Bear de Rusia.

«El uso de nombres conocidos o reconocibles podría dar credibilidad a sus correos electrónicos y amenazas», dice Sherrod DeGrippo, director senior de investigación y detección de amenazas en Proofpoint, señalando que los correos electrónicos de ingeniería social instruyen a los destinatarios a buscar sus nombres y encontrar otras instancias. de su trabajo.

En agosto de 2020, la empresa de seguridad Akamai y el FBI alertaron a las empresas sobre una ola de estas campañas de ataques por correo electrónico en el que los delincuentes que dicen ser Extravagant Bear exigieron un rescate de bitcoin y amenazaron con lanzar un ataque DDoS. Para demostrar que podían realizar un ataque mayor, los adversarios mencionaron que se lanzará un «pequeño ataque» contra una dirección IP identificada. Un ataque más sustancial, amenazaron, seguiría dentro de los seis días si no se recibía un pago de 20 bitcoins.

Este ataque de «demostración» varió entre las organizaciones de víctimas. Algunos apuntaron a una sola dirección IP y otros apuntaron a múltiples direcciones IP, con variaciones adicionales en los volúmenes máximos y la duración de los ataques.

La campaña más reciente del grupo sigue un patrón very similar, informa Proofpoint. Un correo electrónico inicial anuncia el nombre actual del grupo y reconoce que se dirige a una empresa específica. Amenazan con un ataque en siete días y mencionan que el ataque más pequeño tendrá como objetivo una dirección IP, subred o sistema autónomo específicos. La velocidad máxima de ataque será de «2 Tbps», indica el correo electrónico.

«Esto significa que sus sitios internet y otros servicios conectados no estarán disponibles para todos», afirma Extravagant Lazarus. «Tenga en cuenta también que esto dañará gravemente su reputación entre los clientes que utilizan los servicios en línea».

Los correos electrónicos generalmente se envían a destinatarios bien investigados, como personas que figuran como contactos en el Protocolo de puerta de enlace fronteriza (BGP) o información Whois para redes corporativas. Proofpoint encontrado. Trabajan en áreas como comunicaciones, relaciones externas y relaciones con inversionistas algunos correos electrónicos están configurados con alias enviados por correo electrónico para la mesa de ayuda, abuso, contactos administrativos o servicio al cliente.

Parece que los atacantes han ampliado sus industrias objetivo. La última campaña tiene como objetivo energía, finanzas, seguros, manufactura, servicios públicos y venta minorista, informan los investigadores, y la mayoría de los ataques tienen como objetivo empresas estadounidenses o aquellas con presencia world-wide.

Hay más diferencias entre los ataques anteriores del grupo y los que Proofpoint detectó más recientemente. Su nuevo apodo de Fancy Lazarus es el cambio principal, dice DeGrippo, y sus correos electrónicos son similares a los enviados en diciembre de 2020. La demanda de rescate se ha reducido a dos bitcoins, un cambio que los investigadores atribuyen a las fluctuaciones en el valor de las criptomonedas, un component presente en el ransomware. campañas desde 2016 o antes, señala.

«Los actores de amenazas envían sus campañas cuando los precios son más ventajosos, intentando ganar más dinero cuando las distintas monedas tienen una valoración alta», explica. «Otros actores usan otras criptomonedas como Ethereum, pero bitcoin sigue siendo la moneda de elección masiva para los actores de amenazas maliciosas».

Sigue el dinero
En un momento en que cada vez más campañas importantes de ransomware están en los titulares, es interesante ver a los adversarios exigir un rescate antes de lanzar un ataque. DeGrippo dice que este ataque demuestra cómo buscan constantemente más medios para lograr sus objetivos.

«Los ataques DDoS se han vuelto cada vez más fáciles de lanzar y tienen una recompensa potencialmente sustancial por mucho menos trabajo del que requeriría algo como un ataque de ransomware», dice. «Además, al llevar a cabo este tipo de ataque, el actor de amenazas pasa por alto las protecciones de seguridad automatizadas que marcarían y bloquearían el ransomware».

Si bien el ransomware a menudo usa menos sofisticación técnica, esos ataques requieren un enfoque y coordinación para perpetrar, agrega DeGrippo.

Las organizaciones pueden prepararse para esta amenaza asegurándose de que se implementen las mitigaciones adecuadas y teniendo listo un program de recuperación ante desastres. Las asociaciones y la tecnología adecuadas para ayudar a filtrar el tráfico DDoS pueden ayudar en la respuesta, y es clave tener un plan para cuando ocurran estos ataques, dice.

Kelly Sheridan es la editora de private de Darkish Looking through, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic