DDoS-afperser Fancy Lazarus terug van weggeweest

proofpoint

Proofpoint-onderzoekers volgen sinds 12 mei 2021 een hernieuwde DDoS (Distributed Denial of Service)-campagne die gericht is op een groeiend aantal industrieën. Onder meer de energie-, financiële, verzekerings-, productie-, publieke- en detailhandelsector worden onder vuur genomen door de groep Fancy Lazarus.
 
De onderzoekers van Proofpoint hebben waargenomen dat de campagne zich voornamelijk richt op Amerikaanse bedrijven of bedrijven die wereldwijd actief zijn. De groep nam een maand pauze van april tot mei 2021 voordat hij terugkeerde met nieuwe campagnes. Deze campagnes hebben enkele wijzigingen in de tactieken, technieken en procedures van de groep: 
  • Nieuwe naam: de groep, die zich eerder onder meer identificeerde als Fancy Bear, Lazarus, Lazarus Group en Armada Collective gaat nu verder als Fancy Lazarus. Er is geen verband tussen deze groep en de APT-groep met dezelfde naam. 
  • Nieuwe prijs: de afpersingsmails hebben de losgeldprijs verlaagd van tien naar twee Bitcoin (BTC). Deze wijziging is waarschijnlijk bedoeld om rekening te houden met de fluctuerende waarde van de Bitcoin. 
  • Variatie in emailinhoud: wat de inhoud van de email betreft, doet het denken aan de oorspronkelijke varianten van augustus 2020 met enkele kleine wijzigingen. Het is interessant dat de groep telkens terugkeert naar de oorspronkelijke email en deze aanpast. Tussen augustus 2020 en nu heeft ze echter compleet andere teksten in de emails geprobeerd. 

Achtergrond

Eind augustus 2020 waarschuwden de FBI en Akamai verschillende organisaties over een aankomende golf van DDoS-afpersingsmails afkomstig van deze groep. De afpersers eisten betaling in Bitcoin of anders zou een kleinschalige DDoS-aanval worden gelanceerd. Die zou slechts enkele dagen later gevolgd worden door een grootschaligere aanval. 
 

Campagnedetails 

De campagnes beginnen altijd met een sensationele email. De huidige versie, zoals geïllustreerd in figuur 1, begint met een aankondiging van de naam die de groep momenteel gebruikt en een erkenning dat zij zich op een specifiek bedrijf richt. 
  • Vervolgens dreigen de aanvallers met een DDoS-aanval binnen zeven dagen, en om te bewijzen dat het geen oplichterij is, verwijzen zij naar een ‘kleine aanval’ die zal worden uitgevoerd op een specifiek IP, subnet, of Autonomous System. 
  • De emails beweren dat de maximale aanvalssnelheid ‘2 Tbps’ zal zijn.  
  • Verder waarschuwen ze voor mogelijke schade aan de reputatie van het bedrijf en verlies van internettoegang op hun kantoren, om het slachtoffer te dwingen om aan hun eisen te voldoen. 
 
Elke campagne wordt gekenmerkt door de volgende elementen: 
  • Ontvangers: De emails worden meestal gestuurd naar geselecteerde personen die bijvoorbeeld voorkomen in het ‘Border Gateway Protocol’ (BGP) of de ‘Whois’-informatie voor bedrijfsnetwerken. De ontvangers zijn soms ook werkzaam in gebieden zoals communicatie, externe betrekkingen en investeerdersrelaties. Bovendien worden afpersingsmails vaak naar emailaliassen verstuurd, zoals helpdesk, administratieve contacten of de klantenservice. 
  • Email: Er zijn drie emailvarianten die naar dezelfde ontvangers worden verstuurd deze bevatten dezelfde informatie, maar met verschillende formaten zoals platte tekst, HTML of als JPG-afbeelding in de bijlage. Dit is waarschijnlijk een poging om detectie te omzeilen. 
  • Afzender: Elke mail is specifiek gericht aan het doelwit. Voorheen vermeldde de afzender vaak Fancy Bear, F.B., Armada Collective, A.C., Lazarus of Lazarus Group. Soms zelfs de belangrijkste persoon in het bedrijf, bijvoorbeeld de CEO. In de meest recente campagne worden er willekeurige voor- en achternamen gebruikt die fictief lijken. 
  • Email provider: Elke email wordt aangemaakt bij een gratis emaildienst. 
  • Betaling: Proofpoint heeft losgeldeisen gezien van twee BTC, wat op 26 mei 2021 ruwweg neerkwam op $76.000 USD. De prijs verdubbelt tot vier BTC na de deadline en stijgt vervolgens elke dag met één BTC. De Bitcoin-adressen zijn uniek voor elk potentieel doelwit. 
Proofpoint heeft er geen zicht op of de Fancy Lazarus-DDoS aanvallen daadwerkelijke worden uitgevoerd. Uit rapportage van de FBI blijkt dat veel getroffen bedrijven die de deadline overschrijden geen extra activiteit zien of dat de activiteit met succes wordt afgezwakt. 
 
Er zijn verschillende prominente organisaties die aanvallen hebben ontvangen of een effect op hun dienstverlening hebben gemeld. Het is belangrijk dat bedrijven en organisaties de nodige voorbereidingen treffen, zoals het gebruik van een DoS-beschermingsdienst en noodherstelplannen klaar hebben liggen. 
Lees ook
WatchGuard: Remote Access Software steeds vaker misbruikt

WatchGuard: Remote Access Software steeds vaker misbruikt

Hackers hebben hun pijlen steeds vaker gericht op Remote Access Software. Daarnaast zijn er nieuwe technieken in omloop voor het stelen van wachtwoorden en informatie. Ook maken cybercriminelen de overstap van het gebruik van scripts naar het toepassen van andere ‘living-off-the-land’-technieken om een aanval op eindpoints te starten. Dat conclude1

De speciale exploitatiecyclus van TA422: week na week hetzelfde

De speciale exploitatiecyclus van TA422: week na week hetzelfde

Proofpoint onderzoekers zagen vanaf eind maart 2023 dat de Russische Advanced Persistent Threat (APT) TA422 gemakkelijk gepatchte kwetsbaarheden gebruikte om verschillende organisaties in Europe en Noord-Amerika aan te vallen. TA422 overlapt met de aliassen APT28, Forest Blizzard, Pawn Storm, Fancy Bear en Blue Delta. De Amerikaanse inlichtingsdie1

Fortinet waarschuwt voor online feestdagen-criminaliteit: vier veelgebruikte scams

Fortinet waarschuwt voor online feestdagen-criminaliteit: vier veelgebruikte scams

Security leverancier Fortinet waarschuwt voor feestdagen-cyberscams en geeft een top 4 van veel gebruikte online-oplichtpraktijken. Sinterklaas en kerst komen eraan, en cybercriminelen zijn al druk bezig met het bedenken van slimme trucs waarmee ze dit winkelseizoen zelfs de meest beveiligingsbewuste consumenten om de tuin kunnen leiden. De feestd1