DDoS-afperser Fancy Lazarus terug van weggeweest
- Nieuwe naam: de groep, die zich eerder onder meer identificeerde als Fancy Bear, Lazarus, Lazarus Group en Armada Collective gaat nu verder als Fancy Lazarus. Er is geen verband tussen deze groep en de APT-groep met dezelfde naam.
- Nieuwe prijs: de afpersingsmails hebben de losgeldprijs verlaagd van tien naar twee Bitcoin (BTC). Deze wijziging is waarschijnlijk bedoeld om rekening te houden met de fluctuerende waarde van de Bitcoin.
- Variatie in emailinhoud: wat de inhoud van de email betreft, doet het denken aan de oorspronkelijke varianten van augustus 2020 met enkele kleine wijzigingen. Het is interessant dat de groep telkens terugkeert naar de oorspronkelijke email en deze aanpast. Tussen augustus 2020 en nu heeft ze echter compleet andere teksten in de emails geprobeerd.
Achtergrond
Campagnedetails
- Vervolgens dreigen de aanvallers met een DDoS-aanval binnen zeven dagen, en om te bewijzen dat het geen oplichterij is, verwijzen zij naar een ‘kleine aanval’ die zal worden uitgevoerd op een specifiek IP, subnet, of Autonomous System.
- De emails beweren dat de maximale aanvalssnelheid ‘2 Tbps’ zal zijn.
- Verder waarschuwen ze voor mogelijke schade aan de reputatie van het bedrijf en verlies van internettoegang op hun kantoren, om het slachtoffer te dwingen om aan hun eisen te voldoen.
- Ontvangers: De emails worden meestal gestuurd naar geselecteerde personen die bijvoorbeeld voorkomen in het ‘Border Gateway Protocol’ (BGP) of de ‘Whois’-informatie voor bedrijfsnetwerken. De ontvangers zijn soms ook werkzaam in gebieden zoals communicatie, externe betrekkingen en investeerdersrelaties. Bovendien worden afpersingsmails vaak naar emailaliassen verstuurd, zoals helpdesk, administratieve contacten of de klantenservice.
- Email: Er zijn drie emailvarianten die naar dezelfde ontvangers worden verstuurd deze bevatten dezelfde informatie, maar met verschillende formaten zoals platte tekst, HTML of als JPG-afbeelding in de bijlage. Dit is waarschijnlijk een poging om detectie te omzeilen.
- Afzender: Elke mail is specifiek gericht aan het doelwit. Voorheen vermeldde de afzender vaak Fancy Bear, F.B., Armada Collective, A.C., Lazarus of Lazarus Group. Soms zelfs de belangrijkste persoon in het bedrijf, bijvoorbeeld de CEO. In de meest recente campagne worden er willekeurige voor- en achternamen gebruikt die fictief lijken.
- Email provider: Elke email wordt aangemaakt bij een gratis emaildienst.
- Betaling: Proofpoint heeft losgeldeisen gezien van twee BTC, wat op 26 mei 2021 ruwweg neerkwam op $76.000 USD. De prijs verdubbelt tot vier BTC na de deadline en stijgt vervolgens elke dag met één BTC. De Bitcoin-adressen zijn uniek voor elk potentieel doelwit.
Lees ook
Nerbian RAT gebruikt COVID-19 als dekmantel
Sinds eind april 2022 hebben onderzoekers van Proofpoint een malwarecampagne waargenomen via e-mail, genaamd Nerbian RAT. Een klein aantal e-mails (minder dan 100 berichten) werden naar meerdere sectoren gestuurd, waarbij vooral organisaties in Italië, Spanje en het VK werden getroffen.
NFT’s – een walhalla voor cybercriminelen
Mensen zoeken op het internet inmiddels vaker naar NFT's dan naar cryptocurrencies, zo gaf Google in december 2021 aan. Uit een rapport van DappRadar blijkt dat NFT's in oktober van afgelopen jaar 133 miljoen euro meer hebben opgebracht dan een maand daarvoor. Het is lastig om niet hebzuchtig te worden als je dit soort bedragen ziet. Het was een kwestie...
Proofpoint ziet mobiele malware met 500% toenemen in Europa
Vanaf begin februari dit jaar hebben onderzoekers van Proofpoint het aantal pogingen om mobiele malware te verspreiden met 500% zien stijgen in Europa. Dit is in overeenstemming met de trend van de afgelopen jaren, waarbij aanvallers steeds vaker smishing (SMS-phishing)-aanvallen uitvoeren en malware verspreiden naar mobiele apparaten. Alleen al in...