Des cybercriminels ont lancé des attaques de type DDoS contre des entreprises du domaine de la finance afin de leur demander une rançon. Pour intimider leurs cibles, ils se font passer pour le célèbre groupe russe « Fancy Bear », connu notamment pour avoir piraté la Maison Blanche.

La tactique consistant à menacer des entreprises d’attaques par déni de service (DDoS) si elles ne versent pas une rançon (RDOS pour Ransom Denial of Service) est pratiquée depuis des années.

Lors d’une nouvelle vague d’attaques de ce type, les cybercriminels ont lancé des attaques DDoS en utilisant tout un panel de techniques différentes (DNS, CLDAP, ARMS, NTP, WS-Discovery, etc.) au moment de l’envoi de la demande de rançon. Dans ce cas ces attaques visaient des sociétés actives dans le domaine de la finance et du commerce de détail. Les victimes ont pu ainsi constater que la menace était bien réelle et elles ont pu mesurer les conséquences qu’auraient pu entraîner le non-paiement de la rançon exigée. La demande de rançon consistait à devoir verser deux Bitcoins (l’équivalent de 15’000 USD à cette période) dans un délai de 7 jours.

Usurpation de l’identité du fameux groupe APT russe « Fancy bear »

Mais ces attaquant ont aussi la particularité de revendiquer l’appartenance au fameux groupe de cybercriminels APT russe nommé Fancy bear, qui s’est notamment fait connaître en réussissant à pirater la Maison Blanche. Fancy bear est surtout réputée pour être une unité russe de cyberattaque. Leurs cibles sont plutôt des agences gouvernementales, des ambassades ou encore des partis politiques, mais aucune attaque de type cyberextorsion ou DDoS n’a jamais été constatée.

Un type d’attaque connu de longue date

La tactique consistant à usurper l’identité du groupe Fancy bear avait déjà été utilisée précédemment. En 2017 une lettre de demande de rançon identique à celle des attaques récentes avait déjà été utilisée. A cette époque ce type de demande de rançon avec la menace d’une attaque DDoS en se faisant passer pour un groupe de cybercriminels réputé était très courante.

Il s’est avéré que les attaquants n’avaient pas réellement les ressources nécessaires pour mettre leurs menaces à exécution. Quand les cibles ont fini par s’en rendre compte les versements de rançon ont beaucoup diminué et ce type d’attaque avait presque disparu.

Une menace devenue réelle

Contrairement aux attaquants des années 2017, les cybercriminels liés aux attaques récentes semblent désormais disposer d’une véritable puissance de feu pour lancer des attaques DDoS ayant un impact très important, en utilisant l’effet multiplicateur d’un large Botnet spécialement dédié à cet effet.

Ces menaces doivent ainsi être prises au sérieux. Elles doivent être dénoncées immédiatement aux autorités et des mesures d’atténuation permettant de se protéger des attaques DDoS peuvent être mise en place.

Source Zdnet : A DDoS gang is extorting businesses posing as Russian government hackers