www.marcommit.nlHerken zakelijke websitebezoekerswww.lubbersdejong.nlwww.LVTPR.com
2504 volgen @ICTberichten
Deel dit nu
Datum: (44 dagen geleden)
Bedrijf:
PR: AxiCom

DDoS-afperser Fancy Lazarus terug van weggeweest

Proofpoint-onderzoekers volgen sinds 12 mei 2021 een hernieuwde DDoS (Distributed Denial of Service)-campagne die gericht is op een groeiend aantal industrieën. Onder meer de energie-, financiële, verzekerings-, productie-, publieke- en detailhandelsector worden onder vuur genomen door de groep Fancy Lazarus.

De onderzoekers van Proofpoint hebben waargenomen dat de campagne zich voornamelijk richt op Amerikaanse bedrijven of bedrijven die wereldwijd actief zijn. De groep nam een maand pauze van april tot mei 2021 voordat hij terugkeerde met nieuwe campagnes. Deze campagnes hebben enkele wijzigingen in de tactieken, technieken en procedures van de groep:
  • Nieuwe naam: de groep, die zich eerder onder meer identificeerde als Fancy Bear, Lazarus, Lazarus Group en Armada Collective gaat nu verder als Fancy Lazarus. Er is geen verband tussen deze groep en de APT-groep met dezelfde naam.
  • Nieuwe prijs: de afpersingsmails hebben de losgeldprijs verlaagd van tien naar twee Bitcoin (BTC). Deze wijziging is waarschijnlijk bedoeld om rekening te houden met de fluctuerende waarde van de Bitcoin.
  • Variatie in emailinhoud: wat de inhoud van de email betreft, doet het denken aan de oorspronkelijke varianten van augustus 2020 met enkele kleine wijzigingen. Het is interessant dat de groep telkens terugkeert naar de oorspronkelijke email en deze aanpast. Tussen augustus 2020 en nu heeft ze echter compleet andere teksten in de emails geprobeerd.
Achtergrond: Eind augustus 2020 waarschuwden de FBI en Akamai verschillende organisaties over een aankomende golf van DDoS-afpersingsmails afkomstig van deze groep. De afpersers eisten betaling in Bitcoin of anders zou een kleinschalige DDoS-aanval worden gelanceerd. Die zou slechts enkele dagen later gevolgd worden door een grootschaligere aanval.

Campagnedetails
De campagnes beginnen altijd met een sensationele email. De huidige versie, zoals geïllustreerd in figuur 1, begint met een aankondiging van de naam die de groep momenteel gebruikt en een erkenning dat zij zich op een specifiek bedrijf richt.
  • Vervolgens dreigen de aanvallers met een DDoS-aanval binnen zeven dagen, en om te bewijzen dat het geen oplichterij is, verwijzen zij naar een ‘kleine aanval’ die zal worden uitgevoerd op een specifiek IP, subnet, of Autonomous System.
  • De emails beweren dat de maximale aanvalssnelheid ‘2 Tbps’ zal zijn.
  • Verder waarschuwen ze voor mogelijke schade aan de reputatie van het bedrijf en verlies van internettoegang op hun kantoren, om het slachtoffer te dwingen om aan hun eisen te voldoen.
image
Figuur 1. Voorbeeld van de huidige emails die door Fancy Lazarus worden verstuurd.

Elke campagne wordt gekenmerkt door de volgende elementen:
  • Ontvangers: De emails worden meestal gestuurd naar geselecteerde personen die bijvoorbeeld voorkomen in het ‘Border Gateway Protocol’ (BGP) of de ‘Whois’-informatie voor bedrijfsnetwerken. De ontvangers zijn soms ook werkzaam in gebieden zoals communicatie, externe betrekkingen en investeerdersrelaties. Bovendien worden afpersingsmails vaak naar emailaliassen verstuurd, zoals helpdesk, administratieve contacten of de klantenservice.
  • Email: Er zijn drie emailvarianten die naar dezelfde ontvangers worden verstuurd deze bevatten dezelfde informatie, maar met verschillende formaten zoals platte tekst, HTML of als JPG-afbeelding in de bijlage. Dit is waarschijnlijk een poging om detectie te omzeilen.
  • Afzender: Elke mail is specifiek gericht aan het doelwit. Voorheen vermeldde de afzender vaak Fancy Bear, F.B., Armada Collective, A.C., Lazarus of Lazarus Group. Soms zelfs de belangrijkste persoon in het bedrijf, bijvoorbeeld de CEO. In de meest recente campagne worden er willekeurige voor- en achternamen gebruikt die fictief lijken.
  • Email provider: Elke email wordt aangemaakt bij een gratis emaildienst.
  • Betaling: Proofpoint heeft losgeldeisen gezien van twee BTC, wat op 26 mei 2021 ruwweg neerkwam op $76.000 USD. De prijs verdubbelt tot vier BTC na de deadline en stijgt vervolgens elke dag met één BTC. De Bitcoin-adressen zijn uniek voor elk potentieel doelwit.
Proofpoint heeft er geen zicht op of de Fancy Lazarus-DDoS aanvallen daadwerkelijke worden uitgevoerd. Uit rapportage van de FBI blijkt dat veel getroffen bedrijven die de deadline overschrijden geen extra activiteit zien of dat de activiteit met succes wordt afgezwakt.

Er zijn verschillende prominente organisaties die aanvallen hebben ontvangen of een effect op hun dienstverlening hebben gemeld. Het is belangrijk dat bedrijven en organisaties de nodige voorbereidingen treffen, zoals het gebruik van een DoS-beschermingsdienst en noodherstelplannen klaar hebben liggen.
Laatste van Proofpoint  
Operation SpoofedScholars - in gesprek met TA453

Cobalt Strike steeds populairder onder cybercriminelen

Cybercriminelen gebruiken eerste toegang om ransomware te verspreiden
Geplaatst:
Verstreken tijd: 44 dagen
Proofpoint contact  

Logo Proofpoint

  +44 (0)118 402 5900
  info-bnl@proofpoint.com
  www.proofpoint.com
Proofpoint sociaal  


Proofpoint tweets  

Marcommit is hét full service B2B marketing bureau van Nederland! Wij helpen jouw bedrijf met offline en online marketing campagnes die écht werken. Herken zakelijke websitebezoekers
 Spotlight  
Logo Priemo
Logo NPRM NV
Logo OPEN.satisfaction
Logo NEG-ITSolutions
Logo Login Consultants
Logo Giarte
Logo Tulinx
Logo Renewd
Logo Fullstaq B.V.
Logo Sortlist
Logo Data Matters BV
Logo XIXO
Logo L
Logo NPRM NV
Logo Banking Circle
Logo Unisys
Logo People First Group
Logo Arrow Electronics
Logo Schneider Electric
Logo Momentive (voorheen SurveyMonkey)
Logo Zoom
Logo Ivanti
Logo ChargePoint
Logo Pure Storage
Logo Schneider Electric
Logo SHARP Electronics Benelux
Logo ITvisors
Logo TJIP
Tarieven
Publicatie eenmalig €49

Publicatiebundels
- 6 publicaties €199
- 12 publicaties €349
- Onbeperkt €499

Direct doen
- Persbericht aanleveren
- Publicatieabonnement
Contact
Persberichten.com
JMInternet
Kuyperstraat 48
7942 BR Meppel
Nederland
info@persberichten.com
KvK 54178096

Volg @ICTberichten
- Twitter

Zoek
- IT bedrijf
- IT PR-bureau
Over ons
Persberichten.com, hét platform voor IT persberichten

In de database
- 91719 persberichten
- 6030 bedrijfsprofielen
- 60 PR-bureauprofielen
- 10574 tags

Publicatiekenmerken
- Rijke tekstopmaak
- Responsieve weergave
- Met foto/illustratie/logo
- Met downloadbare bijlages
- Met bedrijfsprofiel
 
www.marcommit.nlHerken zakelijke websitebezoekerswww.lubbersdejong.nlwww.LVTPR.com