Intensificazione Minacce R-DoS

Proto: N041019.

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una recente intensificazione di attività di attacco ai danni di Organizzazioni e Aziende operanti nei settori Finanziari, Intrattenimento e Retail. Nella fattispecie legate a richieste di riscatto a fronte della minaccia di attacchi Denial Of Service (R-DoS).

Ricercatori di terze parti hanno riportato attività emergenti operate da un gruppo criminale che, spacciandosi per il noto APT “Fancy Bear”, minaccia di isolare le reti delle vittime tramite attacchi DoS, richiedendo il pagamento di un riscatto in bitcoin. 

Figura. Esempio Richiesta di Riscatto.

Le informazioni reperite indicano che i cyber-criminali sono in realtà in possesso di strumenti e botnet atti a portare attacchi Distributed Denial of Service nell’ordine delle decine di Gbps. In particolare, risultano utilizzate tecniche di amplificazione su protocolli UDP quali:

  • DNS, udp/53
  • NTP, udp/123
  • CLDAP, udp/389
  • ARMS, udp/3283
  • WS-Discovery, udp/3702

Tipicamente, il gruppo criminale lancia i suoi attacchi contro gli indirizzi internet possieduti dell’Organizzazione, non limitatamente ai suoi servizi web esposti. Per questo Yoroi suggerisce di verificare se le eventuali protezioni DDoS in uso coprono opportunamente i sotto-domini e le infrastrutture IT in uso.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index