已解散的REvil勒索軟件團伙聲稱對最近針對云網(wǎng)絡(luò)提供商Akamai的一位酒店客戶的分布式拒絕服務(wù)(DDoS)活動負責(zé)。然而，研究人員表示，這次襲擊很有可能不是臭名昭著的網(wǎng)絡(luò)犯罪集團的死灰復(fù)燃，而是一些愛好者的模仿行動。

Akamai在周三的一篇博客文章中透露，自5月12日以來，Akamai研究人員一直在監(jiān)控DDoS攻擊，當(dāng)時一名客戶告知該公司的安全事件響應(yīng)團隊(SIRT)——一個聲稱與REvil有關(guān)聯(lián)的團體的襲擊未遂。

Akamai SIRT漏洞研究員Larry Cashdollar在帖子中寫道：“到目前為止，這些攻擊通過發(fā)送一波帶有一些緩存破壞技術(shù)的HTTP/2 GET請求來淹沒網(wǎng)站。這些請求中包含嵌入式付款需求、比特幣(BTC)錢包和商業(yè)/政治需求?！?/p>

然而，研究人員表示，盡管襲擊者聲稱自己是REvil，但目前還不清楚已解散的勒索軟件集團是否對此負有責(zé)任，因為這些嘗試似乎比該組織聲稱負有責(zé)任的類似活動要小。

DDoS運動背后似乎也有政治動機，這與REvil之前的策略不一致，在這些策略中，該組織聲稱其動機完全是經(jīng)濟利益。

邪惡歸來?

REvil于2021年7月進入公眾視野，是一個總部位于俄羅斯的勒索軟件即服務(wù)(RaaS)組織，以其對Kaseya、JBS Foods和Apple Computer等的引人注目的攻擊而聞名。其襲擊的破壞性促使國際當(dāng)局嚴(yán)厲打擊該組織，歐洲刑警組織于2021年11月逮捕關(guān)閉了該團伙的一些關(guān)聯(lián)公司。

最后，在2022年3月，俄羅斯聲稱有責(zé)任應(yīng)美國政府的要求完全解散該組織，逮捕其中的組織成員，而他們在此之前幾乎沒有阻止REvil的行動。當(dāng)時被捕的人之一在幫助勒索軟件集團DarkSide于2021年5月對Colonial Pipeline的致殘攻擊方面發(fā)揮了重要作用，導(dǎo)致該公司支付了500萬美元的贖金。

研究人員表示，最近的DDoS攻擊——這將是REvil的樞紐——由一個簡單的HTTP GET請求組成，其中請求路徑包含一條發(fā)送到目標(biāo)的消息，其中包含一條554字節(jié)的需要付款的消息。對網(wǎng)絡(luò)第7層(應(yīng)用程序訪問網(wǎng)絡(luò)服務(wù)的人機交互層)攻擊的流量峰值為15 kRps。

Cashdollar寫道，受害者被指示將BTC付款發(fā)送到“目前沒有歷史記錄，也沒有與任何以前已知的BTC綁定”的錢包地址。

他說，這次襲擊還提出了額外的特定地理需求，要求目標(biāo)公司停止在全國范圍內(nèi)的業(yè)務(wù)運營。具體而言，攻擊者威脅說，如果不滿足這一需求，并且不在特定時間范圍內(nèi)支付贖金，將發(fā)起后續(xù)攻擊，這將影響全球業(yè)務(wù)運營。

潛在的模仿攻擊

REvil在其狡猾的戰(zhàn)術(shù)中使用DDoS作為三重敲詐勒索的手段是有先例的。然而，Cashdollar指出，除此特點之外，除非是全新行動的開始，否則此次的網(wǎng)絡(luò)攻擊似乎不是勒索軟件集團的工作。

他說，REvil的典型工作方式是訪問目標(biāo)網(wǎng)絡(luò)或組織，加密或竊取敏感數(shù)據(jù)，要求付費解密或防止信息泄露給出價最高者，或威脅公開披露敏感或破壞性信息。

Cashdollar寫道，在DDoS攻擊中看到的技術(shù)“與他們的正常戰(zhàn)術(shù)相違背”。他寫道：“REvil幫派是RaaS的供應(yīng)商，在這次事件中沒有勒索軟件。”

與這次襲擊相關(guān)的政治動機——這與對目標(biāo)公司商業(yè)模式的法律裁決有關(guān)——也違背了REvil領(lǐng)導(dǎo)人過去的說法，即他們純粹是利潤驅(qū)動的。Cashdollar觀察到：“在之前報告的任何其他襲擊中，我們沒有看到REvil與政治競選活動有關(guān)?！?/p>

然而，他說，REvil可能正在通過應(yīng)用浸入DDoS敲詐勒索的新商業(yè)模式來尋求復(fù)蘇。Cashdollar說，更有可能的是，競選活動中的攻擊者只是使用臭名昭著的網(wǎng)絡(luò)犯罪集團的名字來恐嚇目標(biāo)組織滿足他們的要求。

他寫道：“還有什么比利用一個著名團體的名字來嚇唬整個行業(yè)組織高管和安全團隊心中的更好的方法了?！?/p>

本文翻譯自：https://threatpost.com/cybergang-claims-revil-is-back-executes-ddos-attacks/179734/如若轉(zhuǎn)載，請注明原文地址。