[2020.08.19] DDoS 공격 협박 메일 캠페인(by. Fancy Bear, Armada Collective 주장그룹)

요약

- Akamai는 지난 주부터 발생하고 있는 DDoS 공격에 대해 조사 중이며, Fancy Bear(APT28) 와 Armada Collective 해킹 그룹이라 주장하는 

  단체가 DDoS 협박 캠페인을 벌이고 있다고 밝힘.

- 이러한 공격은 과거 DDoS 협박 그룹이 사용했던 수법과 매우 유사. Akamai SIRT팀은 잘 알려진 해킹 그룹을 사칭한 카피캣의 

  소행으로 추정

- 공격 타겟 분야 : 소매, 금융, 은행 등을 포함한 다양한 분야

- 협박 메일 :

① 내용 : Bitcoin 을 지불하지 않을 시, 협박 사실을 외부(미디어) 등에 공개 할 시, 즉시 DDoS 공격

공격으로 인해 타겟 그룹의 평판에 아주 큰 영향을 미칠 것이라고 강조

2Tbps 상당의 DDoS 공격이 가능하다고 주장

② 요구금액:

Armada Collective 주장 그룹 : 5 BTC ~ 10 BTC (지불 기한 후 1일당 5 BTC 증액)

Fancy Bear 주장 그룹: 20 BTC ~ 30 BTC (지불 기한 후 1일당 10 BTC 증액)

금액은 매우 유동적임.

 

※     메일 내용은 2019년 11월에 성행했던 DDoS 협박 캠페인 내용과 유사함.

(Cozy Bear(ATP29) 그룹 사칭 DDoS 협박 캠페인으로 최소 2 BTC 요구.

Cozy Bear 그룹은 DDoS 공격활동이 잘 알려지지 않은 그룹으로 당시에도 사칭 단체는 여론이 우세했음)

 

③ 공격 히스토리 : Akamai 고객 중 50 Gb/sec, UDP 기반, ARMS 프로토콜 리플렉션 공격 발생.

 

영향성

협박메일을 받을 시 절대 요구사항에 응하지 말 것

(비트코인 지불로 공격이 중단 될지 미지수이며 1차 요구에 응함으로써 재 협박 위험에 노출 될 수 있음)

 

참고자료

출처 : hxxps://malware.news/t/ransom-demands-return-new-ddos-extortion-threats-from-old-actors-targeting-finance-and-retail/42492

2019년 11월 캠페인

: hxxps://blogs.akamai.com/sitr/2019/11/fake-cozy-bear-group-making-ddos-extortion-demands.html