Neue Lebenszeichen von Phantom Squad und REvil

PM-Ersteller

In den vergangenen Monaten haben Radware-Forscher eine deutliche Zunahme von DDoS-Aktivitäten auf der ganzen Welt beobachtet.

BildDie von unterschiedlichen Gruppen eingesetzten Taktiken, Techniken und Verfahren (TTPs) entwickeln sich weiter und bringen die Zielunternehmen in den USA, Asien und Europa in Bedrängnis. Besonders besorgniserregend ist laut Radware die Tatsache, dass Ransom DoS (RDoS)-Gruppen immer fortschrittlicher und ausgefeilter agieren und immer komplexere Angriffe durchführen.

Ist Phantom Squad zurück?

Nach einer fünfjährigen Pause wurde ein neuer Ransomware-Brief in Umlauf gebracht, dessen Analyse zeigt, dass er die typischen Merkmale der RDoS-Gruppe Phantom Squad aufweist. Am 22. Mai 2022 tauchte ein Ransomware-Brief auf, der fast identisch ist mit dem, der in den RDoS Phantom Squad-Kampagnen von 2017 verwendet wurde. Der einzige Unterschied zwischen dem Schreiben aus dem Jahr 2017 und der aktuellen Version von 2022 besteht darin, dass die Bedrohungsgruppe in einem zusätzlichen Abschnitt die IP-Adressen und Domänennamen ihrer beabsichtigten Ziele angibt. Bislang ist laut Radware nur ein solcher Brief aufgetaucht, ohne dass es zu gemeldeten oder beobachteten Ausfällen oder Demonstrationsangriffen auf die anvisierten Opfer gekommen ist.

Auch REvil ist wieder aktiv

Gleichzeitig hat eine Gruppe, die sich als REvil ausgibt, ihre Kampagne von RDoS-Angriffen mit HTTPS-Flood-Anfragen wieder aufgenommen. Anders als Phantom Squad droht diese Gruppe nicht nur, sondern richtet auch Schaden an. Sie schickt dem anvisierten Opfer zunächst eine warnende Lösegeldforderung und geht dann zu fortgeschritteneren Taktiken über. Dazu gehört das Einbetten der Lösegeldforderung in die Nutzlast des Angriffs. Die Gruppe führt hochfrequente (mehrere Millionen Anfragen pro Sekunde) verschlüsselte Angriffe auf Anwendungsebene durch. Diese Angriffe dauern etwa fünf Minuten und enthalten Nachrichten, die in die Anfrage-URL eingebettet sind. Die Gruppe, die sich als REvil ausgibt, wurde letztes Jahr auch dabei beobachtet, wie sie Twitter nutzte, um ihre Opfer weiter unter Druck zu setzen.

Daniel Smith, Head of Research der Cyber Threat Intelligence-Gruppe von Radware, kommentiert: „RDoS-Gruppen, die sich als Phantom Squad und REvil ausgeben, haben es offenbar auf Organisationen in Europa, den USA und Asien abgesehen. Auch wenn die Phantom Squad-Kampagne 2017 ohne tatsächliche DDoS-Angriffe verlief, empfehlen wir Unternehmen dennoch, wachsam zu sein.“

Verantwortlicher für diese Pressemitteilung:

Radware GmbH
Herr Michael Gießelbach
Robert-Bosch-Str. 11a
63225 Langen
Deutschland

fon ..: +49 6103 70657-0
web ..: https://www.radware.com
email : radware@prolog-pr.com

Pressekontakt:

Prolog Communications GmbH
Herr Achim Heinze
Sendlinger Str. 24
80331 München

fon ..: +49 89 800 77-0
web ..: https://www.prolog-pr.com
email : achim.heinze@prolog-pr.com

Disclaimer: Diese Pressemitteilung wird für den darin namentlich genannten Verantwortlichen gespeichert. Sie gibt seine Meinung und Tatsachenbehauptungen und nicht unbedingt die des Diensteanbieters wieder. Der Anbieter distanziert sich daher ausdrücklich von den fremden Inhalten und macht sich diese nicht zu eigen.