DDoS-afperser Fancy Lazarus terug van weggeweest

proofpoint

Proofpoint-onderzoekers volgen sinds 12 mei 2021 een hernieuwde DDoS (Distributed Denial of Service)-campagne die gericht is op een groeiend aantal industrieën. Onder meer de energie-, financiële, verzekerings-, productie-, publieke- en detailhandelsector worden onder vuur genomen door de groep Fancy Lazarus.
 
De onderzoekers van Proofpoint hebben waargenomen dat de campagne zich voornamelijk richt op Amerikaanse bedrijven of bedrijven die wereldwijd actief zijn. De groep nam een maand pauze van april tot mei 2021 voordat hij terugkeerde met nieuwe campagnes. Deze campagnes hebben enkele wijzigingen in de tactieken, technieken en procedures van de groep: 
  • Nieuwe naam: de groep, die zich eerder onder meer identificeerde als Fancy Bear, Lazarus, Lazarus Group en Armada Collective gaat nu verder als Fancy Lazarus. Er is geen verband tussen deze groep en de APT-groep met dezelfde naam. 
  • Nieuwe prijs: de afpersingsmails hebben de losgeldprijs verlaagd van tien naar twee Bitcoin (BTC). Deze wijziging is waarschijnlijk bedoeld om rekening te houden met de fluctuerende waarde van de Bitcoin. 
  • Variatie in emailinhoud: wat de inhoud van de email betreft, doet het denken aan de oorspronkelijke varianten van augustus 2020 met enkele kleine wijzigingen. Het is interessant dat de groep telkens terugkeert naar de oorspronkelijke email en deze aanpast. Tussen augustus 2020 en nu heeft ze echter compleet andere teksten in de emails geprobeerd. 

Achtergrond

Eind augustus 2020 waarschuwden de FBI en Akamai verschillende organisaties over een aankomende golf van DDoS-afpersingsmails afkomstig van deze groep. De afpersers eisten betaling in Bitcoin of anders zou een kleinschalige DDoS-aanval worden gelanceerd. Die zou slechts enkele dagen later gevolgd worden door een grootschaligere aanval. 
 

Campagnedetails 

De campagnes beginnen altijd met een sensationele email. De huidige versie, zoals geïllustreerd in figuur 1, begint met een aankondiging van de naam die de groep momenteel gebruikt en een erkenning dat zij zich op een specifiek bedrijf richt. 
  • Vervolgens dreigen de aanvallers met een DDoS-aanval binnen zeven dagen, en om te bewijzen dat het geen oplichterij is, verwijzen zij naar een ‘kleine aanval’ die zal worden uitgevoerd op een specifiek IP, subnet, of Autonomous System. 
  • De emails beweren dat de maximale aanvalssnelheid ‘2 Tbps’ zal zijn.  
  • Verder waarschuwen ze voor mogelijke schade aan de reputatie van het bedrijf en verlies van internettoegang op hun kantoren, om het slachtoffer te dwingen om aan hun eisen te voldoen. 
 
Elke campagne wordt gekenmerkt door de volgende elementen: 
  • Ontvangers: De emails worden meestal gestuurd naar geselecteerde personen die bijvoorbeeld voorkomen in het ‘Border Gateway Protocol’ (BGP) of de ‘Whois’-informatie voor bedrijfsnetwerken. De ontvangers zijn soms ook werkzaam in gebieden zoals communicatie, externe betrekkingen en investeerdersrelaties. Bovendien worden afpersingsmails vaak naar emailaliassen verstuurd, zoals helpdesk, administratieve contacten of de klantenservice. 
  • Email: Er zijn drie emailvarianten die naar dezelfde ontvangers worden verstuurd deze bevatten dezelfde informatie, maar met verschillende formaten zoals platte tekst, HTML of als JPG-afbeelding in de bijlage. Dit is waarschijnlijk een poging om detectie te omzeilen. 
  • Afzender: Elke mail is specifiek gericht aan het doelwit. Voorheen vermeldde de afzender vaak Fancy Bear, F.B., Armada Collective, A.C., Lazarus of Lazarus Group. Soms zelfs de belangrijkste persoon in het bedrijf, bijvoorbeeld de CEO. In de meest recente campagne worden er willekeurige voor- en achternamen gebruikt die fictief lijken. 
  • Email provider: Elke email wordt aangemaakt bij een gratis emaildienst. 
  • Betaling: Proofpoint heeft losgeldeisen gezien van twee BTC, wat op 26 mei 2021 ruwweg neerkwam op $76.000 USD. De prijs verdubbelt tot vier BTC na de deadline en stijgt vervolgens elke dag met één BTC. De Bitcoin-adressen zijn uniek voor elk potentieel doelwit. 
Proofpoint heeft er geen zicht op of de Fancy Lazarus-DDoS aanvallen daadwerkelijke worden uitgevoerd. Uit rapportage van de FBI blijkt dat veel getroffen bedrijven die de deadline overschrijden geen extra activiteit zien of dat de activiteit met succes wordt afgezwakt. 
 
Er zijn verschillende prominente organisaties die aanvallen hebben ontvangen of een effect op hun dienstverlening hebben gemeld. Het is belangrijk dat bedrijven en organisaties de nodige voorbereidingen treffen, zoals het gebruik van een DoS-beschermingsdienst en noodherstelplannen klaar hebben liggen. 
Lees ook
Vijf vragen aan Tesorion naar aanleiding van vijf jaar No More Ransom Project

Vijf vragen aan Tesorion naar aanleiding van vijf jaar No More Ransom Project

Deze week bestaat het No More Ransom Project vijf jaar en Tesorion is daar als een van de associate partners nauw bij betrokken. De security specialist uit Leusden kreeg hierover vijf vragen.

Bitdefender heeft een nieuwe malware ontdekt: Mosaicloader

Bitdefender heeft een nieuwe malware ontdekt: Mosaicloader

Bitdefender heeft een nieuwe malware ontdekt die zich richt op gebruikers van illegale software. De malware is Mosaicloader gedoopt vanwege de ingewikkelde interne structuur die bedoeld is om malware-analisten in verwarring te brengen, om zo reverse-engineering te voorkomen.

Hackers maken veelvuldig gebruik van Nederlandse servers

Hackers maken veelvuldig gebruik van Nederlandse servers

Nederlandse servers staan wereldwijd in de top vijf voor het veroorzaken van incidenten als ransomware of social engineering, waarbij een gebruiker een geïnfecteerd bestand downloadt. Dit blijkt uit data van Kaspersky.