ادعای رستاخیز REvil با اجرای حملات DDoS

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir cybergang claims revil is back executes ddos attacks
عاملانی که ادعا می‌کنند گروه منحل‌شده باج‌افزاری هستند، یکی از مشتریان Akami را با حمله لایه ۷ هدف قرار می‌دهند و خواستار پرداخت اخاذیشان به بیت‌کوین هستند.

باند باج‌افزار منحل‌شده REvil مسئولیت کمپین Distributed Denial of Service اخیر (DDoS) علیه مشتری ارائه‌دهنده شبکه ابری Akamai را بر عهده گرفته است. به گفته محققان، با این حال، این احتمال وجود دارد که این حمله تجدید حیات گروه جنایتکار سایبری بدنام نباشد، بلکه یک عملیات کپی‌برداری شده از آن‌ها باشد.

آکامای در یک پست وبلاگی در روز چهارشنبه فاش کرد که محققان Akamai حمله DDoS را از ۱۲ ماه می و زمانی که یک مشتری به تیم پاسخگویی به حوادث امنیتی شرکت (SIRT) درباره تلاش برای حمله توسط گروهی که ادعا می‌کرد با REvil مرتبط است، هشدار داد، آن‌ها را زیر نظر داشته‌اند.

لری کشدالر، محقق آسیب‌پذیری Akamai SIRT در این پست نوشت: «حملات تا کنون یک سایت را با ارسال موجی از درخواست‌های HTTP/2 GET با برخی تکنیک‌های پنهان‌سازی حافظه پنهان برای غلبه بر وب‌سایت هدف قرار می‌دهند. درخواست‌ها شامل درخواست‌های تعبیه‌شده برای پرداخت، والت بیت‌کوین (BTC) و درخواست‌های تجاری/سیاسی است».

با این حال، در حالی که مهاجمان ادعا می‌کنند REvil هستند، در حال حاضر مشخص نیست که آیا گروه باج‌افزار منحل شده واقعاً مسئول است یا خیر، زیرا به نظر محققان، این تلاش‌ها نسبت به کمپین‌های مشابه قبلی که این گروه مسئولیت آن را بر عهده گرفت، کوچکتر به نظر می‌رسد.

همچنین به نظر می‌رسد که یک انگیزه سیاسی در پشت کمپین DDoS وجود دارد که با تاکتیک‌های قبلی REvil که در آن گروه ادعا می‌کرد صرفاً با انگیزه مالی انجام می‌شد، ناسازگار است.

بازگشت REvil؟
گروه REvil که در ژوئیه ۲۰۲۱ شناسایی و حذف شد، یک گروه Ransomware-as-a-service (RaaS) روسی بود که به‌خاطر حملات پرمخاطبش علیه Kaseya، JBS Foods و Apple Computer و سایرین شهرت داشت. ماهیت مخرب حملات آن، مقامات بین‌المللی را برانگیخت تا به شدت علیه این گروه وارد عمل شوند و یوروپل تعدادی از وابستگان این باند را در نوامبر ۲۰۲۱ دستگیر کرد.

سرانجام، در مارس ۲۰۲۲، روسیه (که تا آن زمان برای خنثی کردن عملیات REvil اقدامی انجام نداده بود)، به درخواست دولت ایالات متحده مسئولیت انحلال کامل این گروه را بر عهده گرفت و اعضای آن را دستگیر کرد. یکی از افرادی که در آن زمان دستگیر شد در کمک به گروه باج‌افزار DarkSide در حمله فلج‌کننده‌ای در ماه مه ۲۰۲۱ علیه Colonial Pipeline که منجر به پرداخت ۵ میلیون دلار باج توسط شرکت شد، نقش داشت.

به گفته محققان، حمله DDoS اخیر (که محوری برای REvil است) از یک درخواست ساده HTTP GET تشکیل شده است که در آن مسیر درخواست حاوی پیامی به هدف حاوی یک پیام ۵۵۴ بایتی است که خواستار پرداخت باج است. ترافیک در حمله به لایه ۷ شبکه (لایه تعامل انسان و رایانه که در آن برنامه‌ها به خدمات شبکه دسترسی دارند) به حداکثر ۱۵ کیلورویت در ثانیه می‌رسد.

کش‌دالر نوشت که به قربانی دستور داده شد که پرداخت بیت کوین را به آدرس کیف پولی ارسال کند که «در حال حاضر هیچ سابقه‌ای ندارد و به هیچ بیت کوین شناخته شده قبلی مرتبط نیست».

او گفت که این حمله همچنین یک درخواست جغرافیایی خاص داشت که از شرکت مورد نظر خواسته شد تا فعالیت‌های تجاری در کل کشور را متوقف کند. به طور خاص، مهاجمان تهدید کردند که در صورت عدم برآورده شدن این تقاضا و پرداخت نشدن باج در یک بازه زمانی خاص، حملات بعدی را انجام خواهند داد که بر عملیات تجاری جهانی تأثیر می‌گذارد.

پتانسیل حمله کپی شده
سابقه‌ای برای REvil وجود دارد که از DDoS در تاکتیک‌های قبلی خود به عنوان وسیله‌ای برای اخاذی سه‌گانه استفاده می‌کند. کش‌دالر خاطرنشان کرد: با این حال، جدای از آن، به نظر نمی‌رسد این حمله کار گروه باج‌افزار REvil باشد، مگر اینکه شروع یک عملیات کاملاً جدید توسط آن‌ها باشد.

او گفت که روش معمول REvil دسترسی به یک شبکه یا سازمان هدف و رمزگذاری یا سرقت داده‌های حساس، درخواست پرداخت برای رمزگشایی یا جلوگیری از نشت اطلاعات به بالاترین قیمت‌ها یا تهدید به افشای عمومی اطلاعات حساس یا مخرب بوده است.

کش‌دالر نوشت، تکنیکی که در حمله DDoS مشاهده می‌شود «از تاکتیک‌های معمولی آن‌ها دور شده است». او در ادامه نوشت: «باند REvil یک ارائه دهنده RaaS است و اما هیچ باج‌افزاری در این حادثه وجود ندارد».

انگیزه سیاسی مرتبط با این حمله (که با یک حکم قانونی در مورد مدل تجاری شرکت مورد نظر مرتبط است) همچنین در تضاد با ادعایی است که رهبران REvil در گذشته مبنی بر اینکه آن‌ها صرفاً سود محور هستند، مطرح کرده‌اند. کش‌دالر مشاهده کرد: «ما در هیچ حمله دیگری که قبلاً گزارش شده بود، REvil را مرتبط با کمپین‌های سیاسی ندیده‌ایم».

او گفت، با این حال، ممکن است REvil با اقدام به حمله در مدل تجاری جدید اخاذی DDoS به دنبال تجدید حیات باشد. کش‌دالر گفت: «آنچه محتمل‌تر می‌باشد، این است که مهاجمان در کمپین فقط از نام یک گروه جنایتکار سایبری بدنام برای ترساندن سازمان مورد نظر برای برآورده کردن خواسته‌های آن‌ها استفاده می‌کنند».

او نوشت: «چه راهی بهتر از ترساندن قربانی خود به پرداخت پول با استفاده از نام یک گروه برجسته که ترس را در دل مدیران سازمان‌ها و تیم‌های امنیتی در بخش‌های وسیعی از صنعت ایجاد می‌کند».

برچسب ها: کیف پول, HTTP GET, Apple Computer, JBS Foods, HTTP/2 GET, SIRT, Cloud Network, شبکه ابری, Layer 7, Akami, والت, باج‌افزار, Ransomware-as-a-Service, حملات DDoS, RaaS, Kaseya, Distributed Denial of Service, Colonial Pipeline, REvil, DarkSide, Wallet, cybersecurity, رمزارز, BTC, بیت‌کوین , malware, ransomware , DDoS, cryptocurrency, بدافزار, امنیت سایبری, Cyber Attacks, Bitcoin, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ