“嘿，webop極客們，你們就要死了?！币粋€(gè)聲稱是REvil勒索軟件團(tuán)伙留下的便條，這張紙條以字符串的形式嵌入到攻擊本身的URL中，以滿足勒索要求。

Imperva周五報(bào)告了這一有趣的變化——這是今年迄今為止在分布式拒絕服務(wù)(DDoS)攻擊的演變中看到的幾個(gè)變化之一。

Imperva的Nelli Klepfish在一篇文章中詳細(xì)介紹了最近一次攻擊的緩解措施，該攻擊在一個(gè)網(wǎng)站上達(dá)到了2.5 Mrps(每秒數(shù)百萬(wàn)個(gè)請(qǐng)求)，該公司的Nelli Klepfish分享了其目標(biāo)客戶在攻擊開始前收到的幾張勒索通知，其中一張的屏幕截圖如下。

Klepfish寫道：“我們正在觀察更多這樣的案例，其中贖金通知已作為攻擊本身的一部分包含在內(nèi)，也許是為了提醒目標(biāo)發(fā)送他們的比特幣付款。”“當(dāng)然，一旦目標(biāo)收到這張紙條，攻擊就已經(jīng)開始了，給威脅增加了緊迫感?！?/p>

這只是目標(biāo)在2.5 Mrps DDoS攻擊開始之前收到的幾份威脅性贖金通知之一，上面顯示的具體信息是針對(duì)同一站點(diǎn)上隨機(jī)頁(yè)面的超過1200萬(wàn)個(gè)嵌入式請(qǐng)求之一。

2.5 Mbps的攻擊速度是Imperva有史以來(lái)最高的攻擊速度，但遠(yuǎn)非有史以來(lái)最高。2017年9月襲擊Google的2.5 Tbps DDoS大概是這個(gè)最高紀(jì)錄的保持者，向180,000臺(tái)暴露的CLDAP、DNS和SNMP服務(wù)器發(fā)送了167 Mps，這些服務(wù)器返回并發(fā)回了大的阻塞數(shù)據(jù)包。

“雖然勒索DDoS攻擊并不新鮮，但隨著時(shí)間的推移和每個(gè)新階段的發(fā)展，它們似乎正在演變并變得越來(lái)越有趣，”Imperva觀察到。

下面顯示的另一條威脅信息告訴“webops極客們”，通知他們的老板，如果他們想保持在線，他們需要開始每天交出1個(gè)比特幣——截至周五，價(jià)值約為4萬(wàn)美元。它和其他嵌入的消息都被署名為“revil_this_is_our_dominion”。

這些攻擊是否與REvil勒索軟件即服務(wù)(RaaS)團(tuán)伙有任何關(guān)系，或者只是來(lái)自冒名頂替者，這一點(diǎn)暫時(shí)還未查證清楚。俄羅斯在1月份展示了打擊REvil，其聯(lián)邦安全局(FSB)聲稱突襲了幫派藏身處，扣押了貨幣、汽車和人員，并應(yīng)美國(guó)的要求壓制了REvil的基礎(chǔ)設(shè)施。但是隨著這些事情的發(fā)展，網(wǎng)絡(luò)犯罪團(tuán)伙就像一團(tuán)果凍：你擠壓一個(gè)末端，當(dāng)成員加入其他網(wǎng)絡(luò)犯罪團(tuán)伙時(shí)，行動(dòng)就會(huì)在其他地方突然出現(xiàn)。

不過，REvil確實(shí)有DDoS勒索軟件的歷史。2021年10月，一家英國(guó)IP語(yǔ)音(VoIP)公司Voice Unlimited在經(jīng)歷了一系列明顯由REvil引發(fā)的持續(xù)DDoS攻擊后，仍在恢復(fù)中。

威脅要囤積受害者的股票

第二天，攻擊者向同一個(gè)站點(diǎn)發(fā)送了超過1500萬(wàn)個(gè)請(qǐng)求，這一次帶有一條新消息，警告CEO，攻擊者將把公司的股價(jià)從“億元俱樂部”中剔除。

攻擊持續(xù)了好幾天，每天持續(xù)了幾個(gè)小時(shí)，并且在20%的情況下，每秒達(dá)到9萬(wàn)到75萬(wàn)個(gè)請(qǐng)求(Krps)。

誕生于強(qiáng)大的Meris僵尸網(wǎng)絡(luò)

有證據(jù)表明，Meris從數(shù)千臺(tái)物聯(lián)網(wǎng)(IoT)設(shè)備中吸取能量，這些設(shè)備由于MicroTik路由器中一個(gè)多年的漏洞(被追蹤為CVE-2018-14847)而被劫持。

“盡管CVE-2018-14847是在不久前發(fā)布的，但攻擊者仍然可以利用它，”Imperva指出。

Meris僵尸網(wǎng)絡(luò)是2021年9月針對(duì)俄羅斯版Google-Yandex的創(chuàng)紀(jì)錄DDoS攻擊的幕后黑手。Meris在2021年的其他目標(biāo)包括網(wǎng)絡(luò)安全媒體網(wǎng)站Krebs on Security and Infosecurity，以及新西蘭銀行及其郵政信箱服務(wù)和該國(guó)的MetService氣象服務(wù)。

這些都是DDoS攻擊打破第三季度記錄的例子。

雖然對(duì)Imperva客戶的最大攻擊達(dá)到了2.5 Mrps，但該公司在一分鐘內(nèi)阻止了超過6400萬(wàn)個(gè)請(qǐng)求，如下圖所示：

最大的來(lái)源國(guó)是印度尼西亞和美國(guó)，如下面的餅圖所示。Imperva說(shuō)：“我們已經(jīng)看到，不同攻擊的源位置幾乎相同，這表明同一個(gè)僵尸網(wǎng)絡(luò)被多次使用。”

這些攻擊只花了幾秒鐘就緩解了，因?yàn)檫@些模擬了合法瀏覽器或谷歌機(jī)器人的惡意源是都是已知的。

。

威脅行為者專注于主要位于美國(guó)或歐洲的商業(yè)銷售和通信站點(diǎn)，這些站點(diǎn)具有在交易所上市的共同點(diǎn)?，F(xiàn)在用股價(jià)形成威脅是一個(gè)很好的辦法。Imperva指出：“威脅行為者通過提及DDoS攻擊可能對(duì)公司股價(jià)造成的潛在損害來(lái)利用這一點(diǎn)?！?/p>

現(xiàn)在是為攻擊做準(zhǔn)備的時(shí)候了，Imperva警告說(shuō)，特別是考慮到威脅行為者的承諾——無(wú)論是REvil還是REvil效仿者——將繼續(xù)猛烈打擊。

本文翻譯自：https://threatpost.com/massive-meris-botnet-embeds-ransomware-notes-revil/178769/如若轉(zhuǎn)載，請(qǐng)注明原文地址。