REvil resuscita ed effettua un attacco ransomware DDoS. Possibile emulazione.

La società di sicurezza Imperva ha riferito di essere recentemente riuscita a gestire un attacco ransomware DDoS mirato a un sito Web non divulgato che ha raggiunto il picco di 2,5 milioni di richieste al secondo.

“Anche se gli attacchi ransomware DDoS non sono nuovi, questi si evolvono e diventano più interessanti nel tempo, ad ogni fase successiva della loro evoluzione”

hanno scritto gli analisti dell’azienda.

“Ad esempio, abbiamo visto casi in cui la richiesta di riscatto è stata incorporata direttamente nella richiesta dell’URL”.

I ricercatori affermano che un’organizzazione anonima colpita dal suddetto attacco ha ricevuto diverse richieste di riscatto, comprese quelle integrate nell’attacco stesso. Gli aggressori volevano che l’azienda effettuasse un pagamento in bitcoin, altrimenti hanno minacciato di portarlo offline, cosa che avrebbe fatto perdere alla vittima “centinaia di milioni di capitalizzazione di mercato”.

Allo stesso tempo, gli aggressori si chiamavano REvil, cioè il nome del famigerato gruppo di estorsioni, le cui attività sono state interrotte dalle forze dell’ordine all’inizio di quest’anno.

“Non è chiaro se le minacce provenissero effettivamente dal gruppo di hacker originale REvil o da un impostore”

osserva con attenzione Imperva.

Secondo quanto riferito, l’attacco da 2,5 milioni di richieste al secondo è durato meno di un minuto, con uno dei siti secondari gestiti dalla stessa società vittima che ha subito un attacco simile che è durato circa 10 minuti con vettori costantemente modificati per prevenire possibili mitigazioni.

Imperva ritiene che l’attacco provenga dalla botnet Mēris, precedentemente di alto profilo, che continua a utilizzare la vulnerabilità già patchata nei router Mikrotik (CVE-2018-14847) per le sue operazioni.

La principale fonte di attacco è stata l’Indonesia, seguita da Stati Uniti, Cina, Brasile, India, Colombia, Russia, Thailandia, Messico e Argentina.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore