Доктор Веб обнаружил ботнет, атакующий российские банки

Александр Панасенко 14 Ноября 2016 - 16:47

...

Доктор Веб обнаружил ботнет, атакующий российские банки

Специалисты компании «Доктор Веб» зафиксировали серию DDoS-атак на сайты российских банков «Росбанк» и «Росэксимбанк». Для этого злоумышленники используют троянца BackDoor.IRC.Medusa.1.

BackDoor.IRC.Medusa.1 — вредоносная программа, относящаяся к категории IRC-ботов. Так называют троянцев, которые способны объединяться в ботнеты и получать команды с помощью протокола обмена текстовыми сообщениями IRC (Internet Relay Chat). Подключаясь к определенному чат-каналу, IRC-боты ожидают от злоумышленников специальных директив. Основное предназначение BackDoor.IRC.Medusa.1 заключается в выполнении атак на отказ в обслуживании (DDoS-атак). Вирусные аналитики компании «Доктор Веб» предполагают, что именно эта вредоносная программа использовались в ходе массированных атак на Сбербанк России, о которых различные СМИ сообщали в последнее время, пишет news.drweb.ru.

BackDoor.IRC.Medusa.1 может выполнять несколько типов DDoS-атак, а также по команде злоумышленников загружать и запускать на зараженной машине исполняемые файлы. На иллюстрации ниже представлено опубликованное вирусописателями руководство оператора бот-сети, созданной с использованием троянца BackDoor.IRC.Medusa.1, которое содержит перечень поддерживаемых троянцем команд:

В настоящее время киберпреступники активно продвигают BackDoor.IRC.Medusa.1 на подпольных форумах. Создатели троянца утверждают, что ботнет из 100 зараженных компьютеров способен генерировать до 20 000-25 000 запросов в секунду с пиковым значением в 30 000. В качестве доказательства они приводят график тестовой атаки на http-сервер NGNIX:

На данный момент на одном из IRC-каналов, контролирующих ботнет BackDoor.IRC.Medusa.1, зарегистрировано 314 активных подключений. Анализ журнала переданных бот-сети команд показывает, что с 11 по 14 ноября 2016 года злоумышленники неоднократно атаковали веб-сайты rosbank.ru («Росбанк»), eximbank.ru («Росэксимбанк»), а также fr.livraison.lu и en.livraison.lu (сеть ресторанов Livraison) и korytov-photographer.ru (частный веб-сайт).

Следующая главная новость »

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »

Яков Шпунт 16 Декабря 2025 - 12:58

Мошенничество Онлайн-мошенничество Домашние пользователи

УБК МВД предупреждает о риске демонстрации экрана

Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России (УБК МВД) предупредило о мошеннической схеме, связанной с включением демонстрации экрана. Под этим предлогом злоумышленники похищают различные данные, включая персональную и платёжную информацию.

Как сообщил телеграм-канал УБК МВД, чаще всего такую схему разыгрывают под видом проверки кандидатов при трудоустройстве.

Просьба включить демонстрацию экрана обычно исходит от якобы представителя отдела кадров или службы безопасности. В качестве предлога используются формулировки вроде «проверка лояльности» или «отсутствие связей с конкурентами».

В рамках подобной «проверки» злоумышленники требуют продемонстрировать:

личные чаты в мессенджерах;
настройки конфиденциальности и активные сеансы;
местоположение через картографические сервисы.

Таким образом, как отмечают в профильном управлении МВД, мошенники получают доступ к переписке, данным аккаунтов, геолокации, а также кодам для авторизации в учётных записях. В дальнейшем эта информация используется для новых атак или перепродаётся третьим лицам.

Ранее, в ноябре, МВД предупреждало о многоступенчатой схеме вымогательства. Злоумышленники, представляясь сотрудниками силовых структур или военнослужащими Украины, запугивали граждан и вынуждали передавать деньги через курьеров либо переводить средства на подконтрольные счета. Одним из основных источников геоданных в этой схеме становились сервисы знакомств.

Геоданные также были одной из ключевых целей кибератаки, получившей название «Операция Триангуляция», жертвой которой стала «Лаборатория Касперского».