Upozorňujeme na další vlnu vyděračské kampaně, která cílí na veřejný i privátní sektor. Útočník se vydává za kyberkriminální skupinu s názvem Fancy Lazarus (také známá pod názvem Lazarus Group, Armada Collective), která pod výhružkou silného DDoS útoku požaduje zaplacení výkupného v bitcoinech. Po nezaplacení výkupného v daném termínu útok začne a požadovaná částka se každý další den postupně zvyšuje. DDoS útoky využívají mnoho technik, mj. UDP flood, SYN flood, GRE & ESP packet flood, CLDAP amplification a HTTPS request flood.
Navzdory názvům využívající jména sofistikovaných stejnojmenných APT skupin (Fancy Bear, Lazarus), nemají s nimi tyto vyděračské útoky velmi pravděpodobně nic společného. Útočník komunikuje přes e-mail - nejčastěji ze schránek z domény protonmail.com. E-maily jsou cílené na vrcholné představitele dané instituce a obsahují pokyny k zaplacení výkupného.
V případě obdržení obdobného vyděračského e-mailu doporučujeme výkupné neplatit a kontaktovat Policii ČR a dle pravidel hlášení kybernetických bezpečnostních incidentů v zákoně o kybernetické bezpečnosti případně též NÚKIB či provozovatele Národního CERT (CSIRT.CZ).
https://www.csoonline.com/article/3621669/new-ddos-extortion-attacks-detected-as-fancy-lazarus-group-returns.html
https://www.globenewswire.com/news-release/2021/06/14/2246333/8980/en/Radware-Alert-Fancy-Lazarus-DDoS-Extortion-Group-is-Back-with-New-Campaign-Focused-on-Unprotected-Assets-Across-All-Industries.html
https://www.securitymagazine.com/articles/95406-fancy-lazarus-ddos-extortion-group-is-back-with-new-campaign-focused-on-unprotected-assets
https://threatpost.com/fancy-lazarus-cyberattackers-ransom-ddos/166811/