已解散的REvil勒索软件团伙声称对最近针对云网络提供商Akamai的酒店客户的分布式拒绝服务(DDoS)活动负责。然而,研究人员表示,这次攻击很可能不是臭名昭著的网络犯罪集团的死灰复燃,而是一些爱好者的模仿行动。在周三的一篇博文中,Akamai透露,Akamai的研究人员自5月12日以来一直在监控DDoS攻击,当时一位客户通知该公司的安全事件响应小组(SIRT)——一个声称与REvil相关的小组的攻击未遂。AkamaiSIRT漏洞研究员LarryCashdollar在帖子中写道:“到目前为止,这些攻击通过使用一些缓存破坏技术发送一波HTTP/2GET请求来淹没网站。这些请求包括嵌入式支付要求、比特币(BTC)钱包和商业/政治需要。”然而,研究人员表示,虽然攻击者自称是REvil,但尚不清楚已解散的勒索软件组织是否对此负责,因为这些尝试似乎比该组织的更复杂。声称负责的类似活动规模较小。似乎也有政治因素DDoS活动背后的动机,这与REvil之前的策略不一致,该组织声称其动机纯粹是为了经济利益。ReturnofEvil?REvil于2021年7月进入公众视野,是一种基于俄罗斯的勒索软件-作为-a-service(RaaS)组织以其对Kaseya、JBSFoods和AppleComputer等公司的高调攻击而闻名。其攻击的破坏性促使国际当局对该组织进行打击,欧洲刑警组织逮捕并关闭了该组织该团伙的一些分支机构于2021年11月被捕。最后,在2022年3月,俄罗斯声称应美国政府的要求完全解散该团伙,并逮捕了其成员,在此之前几乎没有阻止REvil的操作。当时被捕的其中一名人员在帮助勒索软件组织DarkSide在2021年5月对ColonialPipeline实施破坏性攻击方面发挥了重要作用,导致该公司支付了500万美元的赎金。研究人员表示,最近的DDoS攻击——这将是REvil的中心——由一个简单的HTTPGET请求组成,其中请求路径包含一条发送到目标的消息,其中包含一条需要支付的554字节消息。对第7层网络(应用程序访问网络服务的人机交互层)的攻击流量峰值为15kRps。Cashdollar写道,受害者被指示将BTC付款发送到“目前没有历史记录且与任何先前已知的BTC无关”的钱包地址。他说,这次攻击还产生了额外的、特定的地理要求,要求目标公司停止在全国范围内的业务运营。具体来说,攻击者威胁说,如果不满足这一要求并且在一定时间内不支付赎金,将发起后续攻击,这将影响全球业务运营。潜在的模仿攻击REvil在其狡猾的策略中使用DDoS作为三重勒索策略是有先例的。然而,Cashdollar指出,尽管有此功能,但网络攻击似乎并不是勒索软件组织所为,除非它是一项全新行动的开始。他说,REvil通常通过获取对目标网络或组织的访问权限、加密或窃取敏感数据、要求付款以解密或防止信息泄露给最高出价者,或威胁公开披露敏感或破坏性信息来发挥作用。Cashdollar写道,在DDoS攻击中看到的技术“与其正常策略背道而驰”。“REvil团伙是RaaS的提供者,这次事件中没有勒索软件,”他写道。与攻击相关的政治动机——与对目标公司商业模式的法律裁决有关——也与REvil的领导者过去所说的他们纯粹是利益驱动的背道而驰。“在之前报道的任何其他攻击中,我们都没有看到REvil与政治运动有关,”Cashdollar观察到。然而,他说,REvil可能正在通过应用一种沉浸在DDoS勒索中的新商业模式来寻求复苏。Cashdollar表示,该活动的攻击者更有可能只是使用臭名昭著的网络犯罪集团的名义来恐吓目标组织以满足他们的要求。“有什么比使用知名团体的名字更能吓唬整个行业组织的高管和安全团队的方法了,”他写道。revil-is-back-executes-ddos-attacks/179734/转载请注明出处。
