“嘿,webop极客们,你们就要死了。”一个声称是REvil勒索软件团伙留下的纸条以字符串的形式嵌入攻击本身URL满足勒索要求。
Imperva周五报告了这一有趣的变化——到目前为止,分布式拒绝服务(DDoS)攻击演变中看到的几个变化之一。
Imperva的Nelli Klepfish本文详细介绍了最近一次攻击的缓解措施,在一个网站上实现了攻击2.5 Mrps(每秒数百万个请求),公司Nelli Klepfish分享目标客户在攻击开始前收到的几张勒索通知,其中一张屏幕截图如下。
Klepfish我们正在观察更多这样的案例,其中赎金通知已经作为攻击本身的一部分,可能是为了提醒目标发送比特币付款。当然,一旦目标收到这张纸条,攻击就开始了,这增加了威胁的紧迫感。
这只是目标2.5 Mrps DDoS攻击开始前收到的几份威胁性赎金通知之一是同一网站随机页面上的1200多万嵌入式请求之一。
2.5 Mbps攻击速度是Imperva历史上攻击速度最高,但远非历史上最高。2017年9月攻击Google的2.5 Tbps DDoS大概是这个最高纪录的保持者,暴露在1.8万台CLDAP、DNS和SNMP服务器发送167 Mps,这些服务器返回并发回大阻塞数据包。
“虽然勒索DDoS攻击并不新鲜,但随着时间的推移和每个新阶段的发展,它们似乎正在演变并变得越来越有趣,Imperva观察到。
下面显示的另一条威胁信息告诉webops极客告诉他们的老板,如果他们想保持在线,他们需要开始每天交出一枚比特币——截至周五,价值约4万美元。它和其他嵌入式新闻被签名为revil_this_is_our_dominion”。
这些攻击是否与REvil勒索软件即服务(RaaS)这个团伙有任何关系,或者只是冒名顶替者,目前还没有得到证实。俄罗斯在1月份展示了打击REvil,联邦安全局(FSB)声称袭击了帮派藏身处,扣押了货币、汽车和人员,并按照美国的要求压制了他们REvil基础设施。但而,随着这些事情的发展,网络犯罪团伙就像一团果冻:当成员加入其他网络犯罪团伙时,行动会突然出现在其他地方。
不过,REvil确实有DDoS勒索软件的历史。2021年10月,英国IP语音(VoIP)公司Voice Unlimited经历了一系列明显的原因REvil引发的持续DDoS攻击后,仍在恢复。
威胁要囤积受害者的股票
第二天,攻击者向同一网站发出了超过1500万个请求,这次是一条新消息,警告CEO,攻击者将从亿元俱乐部中剔除公司股价。
攻击持续了几天,每天持续了几个小时,在20%的情况下,每秒达到9万到75万个请求(Krps)。
强大的诞生Meris僵尸网络
有证据表明,Meris从数千个物联网(IoT)这些设备吸收能量是因为MicroTik多年来路由器中的一个漏洞(被追踪为CVE-2018-14847)而被劫持。
“尽管CVE-2018-14847它是在不久前发布的,但攻击者仍然可以使用它,Imperva指出。
Meris僵尸网络是2021年9月针对俄罗斯版Google-Yandex的创纪录DDoS幕后黑手攻击。Meris2021年的其他目标包括网络安全媒体网站Krebs on Security and Infosecurity,以及新西兰银行及其邮箱服务和国家MetService气象服务。
这些都是DDoS打破第三季度记录的例子。
虽然对Imperva客户的最大攻击已经达到2.5 Mrps,但该公司在一分钟内阻止了6400多万个请求,如下图所示:
印尼和美国是最大的来源,如下面的饼图所示。Imperva说:我们已经看到不同攻击的来源几乎相同,这表明同一僵尸网络已经被多次使用。
这些攻击只需几秒钟就可以缓解,因为已知模拟了合法浏览器或谷歌机器人的恶意来源。
。
威胁行为者专注于主要位于美国或欧洲的商业销售和通信站点,这些站点具有在交易所上市的共同点。现在用股价形成威胁是一个很好的办法。Imperva指出:威胁行为者提到DDoS利用可能对公司股价造成的潜在损害。
现在是时候准备攻击了,Imperva警告说,特别是考虑到威胁行为者的承诺——无论是REvil还是REvil效仿者-将继续猛烈打击。
本文翻译自:https://threatpost.com/massive-meris-botnet-embeds-ransomware-notes-revil/178769/如果转载,请注明原始地址。