已解散的REvil勒索軟件團(tuán)伙聲稱對(duì)最近針對(duì)云網(wǎng)絡(luò)提供商Akamai的一位酒店客戶的分布式拒絕服務(wù)(DDoS)活動(dòng)負(fù)責(zé)。然而，研究人員表示，這次襲擊很有可能不是臭名昭著的網(wǎng)絡(luò)犯罪集團(tuán)的死灰復(fù)燃，而是一些愛好者的模仿行動(dòng)。

Akamai在周三的一篇博客文章中透露，自5月12日以來，Akamai研究人員一直在監(jiān)控DDoS攻擊，當(dāng)時(shí)一名客戶告知該公司的安全事件響應(yīng)團(tuán)隊(duì)(SIRT)——一個(gè)聲稱與REvil有關(guān)聯(lián)的團(tuán)體的襲擊未遂。

Akamai SIRT漏洞研究員Larry Cashdollar在帖子中寫道：“到目前為止，這些攻擊通過發(fā)送一波帶有一些緩存破壞技術(shù)的HTTP/2 GET請(qǐng)求來淹沒網(wǎng)站。這些請(qǐng)求中包含嵌入式付款需求、比特幣(BTC)錢包和商業(yè)/政治需求。”

然而，研究人員表示，盡管襲擊者聲稱自己是REvil，但目前還不清楚已解散的勒索軟件集團(tuán)是否對(duì)此負(fù)有責(zé)任，因?yàn)檫@些嘗試似乎比該組織聲稱負(fù)有責(zé)任的類似活動(dòng)要小。

DDoS運(yùn)動(dòng)背后似乎也有政治動(dòng)機(jī)，這與REvil之前的策略不一致，在這些策略中，該組織聲稱其動(dòng)機(jī)完全是經(jīng)濟(jì)利益。

邪惡歸來?

REvil于2021年7月進(jìn)入公眾視野，是一個(gè)總部位于俄羅斯的勒索軟件即服務(wù)(RaaS)組織，以其對(duì)Kaseya、JBS Foods和Apple Computer等的引人注目的攻擊而聞名。其襲擊的破壞性促使國際當(dāng)局嚴(yán)厲打擊該組織，歐洲刑警組織于2021年11月逮捕關(guān)閉了該團(tuán)伙的一些關(guān)聯(lián)公司。

最后，在2022年3月，俄羅斯聲稱有責(zé)任應(yīng)美國政府的要求完全解散該組織，逮捕其中的組織成員，而他們?cè)诖酥皫缀鯖]有阻止REvil的行動(dòng)。當(dāng)時(shí)被捕的人之一在幫助勒索軟件集團(tuán)DarkSide于2021年5月對(duì)Colonial Pipeline的致殘攻擊方面發(fā)揮了重要作用，導(dǎo)致該公司支付了500萬美元的贖金。

研究人員表示，最近的DDoS攻擊——這將是REvil的樞紐——由一個(gè)簡單的HTTP GET請(qǐng)求組成，其中請(qǐng)求路徑包含一條發(fā)送到目標(biāo)的消息，其中包含一條554字節(jié)的需要付款的消息。對(duì)網(wǎng)絡(luò)第7層(應(yīng)用程序訪問網(wǎng)絡(luò)服務(wù)的人機(jī)交互層)攻擊的流量峰值為15 kRps。

Cashdollar寫道，受害者被指示將BTC付款發(fā)送到“目前沒有歷史記錄，也沒有與任何以前已知的BTC綁定”的錢包地址。

他說，這次襲擊還提出了額外的特定地理需求，要求目標(biāo)公司停止在全國范圍內(nèi)的業(yè)務(wù)運(yùn)營。具體而言，攻擊者威脅說，如果不滿足這一需求，并且不在特定時(shí)間范圍內(nèi)支付贖金，將發(fā)起后續(xù)攻擊，這將影響全球業(yè)務(wù)運(yùn)營。

潛在的模仿攻擊

REvil在其狡猾的戰(zhàn)術(shù)中使用DDoS作為三重敲詐勒索的手段是有先例的。然而，Cashdollar指出，除此特點(diǎn)之外，除非是全新行動(dòng)的開始，否則此次的網(wǎng)絡(luò)攻擊似乎不是勒索軟件集團(tuán)的工作。

他說，REvil的典型工作方式是訪問目標(biāo)網(wǎng)絡(luò)或組織，加密或竊取敏感數(shù)據(jù)，要求付費(fèi)解密或防止信息泄露給出價(jià)最高者，或威脅公開披露敏感或破壞性信息。

Cashdollar寫道，在DDoS攻擊中看到的技術(shù)“與他們的正常戰(zhàn)術(shù)相違背”。他寫道：“REvil幫派是RaaS的供應(yīng)商，在這次事件中沒有勒索軟件。”

與這次襲擊相關(guān)的政治動(dòng)機(jī)——這與對(duì)目標(biāo)公司商業(yè)模式的法律裁決有關(guān)——也違背了REvil領(lǐng)導(dǎo)人過去的說法，即他們純粹是利潤驅(qū)動(dòng)的。Cashdollar觀察到：“在之前報(bào)告的任何其他襲擊中，我們沒有看到REvil與政治競(jìng)選活動(dòng)有關(guān)。”

然而，他說，REvil可能正在通過應(yīng)用浸入DDoS敲詐勒索的新商業(yè)模式來尋求復(fù)蘇。Cashdollar說，更有可能的是，競(jìng)選活動(dòng)中的攻擊者只是使用臭名昭著的網(wǎng)絡(luò)犯罪集團(tuán)的名字來恐嚇目標(biāo)組織滿足他們的要求。

他寫道：“還有什么比利用一個(gè)著名團(tuán)體的名字來嚇唬整個(gè)行業(yè)組織高管和安全團(tuán)隊(duì)心中的更好的方法了。”

本文翻譯自：https://threatpost.com/cybergang-claims-revil-is-back-executes-ddos-attacks/179734/如若轉(zhuǎn)載，請(qǐng)注明原文地址。