Неизвестный ботнет атаковал цели на Западном побережье США

Неизвестный ботнет атаковал цели на Западном побережье США

Специалисты компании CloudFlare сообщают, что неизвестный ботнет с завидным постоянством атакует неназванные цели на Западном побережье США. На момент публикации отчета, DDoS-атаки продолжались уже более десяти дней подряд, начавшись еще 23 ноября 2016 года, за день до празднования Дня благодарения в США.

Исследователи пишут, что операторы бонета работают по такому же графику, что и обычный законный бизнес. Каждый день атаки длятся по восемь часов, начинаясь примерно в 18:00 UTC и заканчиваясь в районе 02:00 UTC. «Будто атакующие закончили рабочий день и отправились домой», — говорят аналитики.  В первый же день пиковая мощность атак достигла 172 миллионов пакетов в секунду, то есть 400 Гбит/с. На третий день пик уже составил 480 Гбит/с.

«Атакующие просто продолжали [атаки] день за днем. Во время Дня благодарения, Черной пятницы, Киберпонеделька и далее на неделе. Вечер за вечером атаки достигали мощности 400 Гбит/с, и держались на уровне 320 Гбит/с в последние часы», — рассказывают в CloudFlare и отмечают, что потом злоумышленники сменили тактику, и со вторника, 29 ноября, атаки уже не прерывались и длились 24 часа в сутки.

При этом исследователи убеждены, что за атаками стоит не Mirai-ботнет, что в свете последних месяцев уже кажется редкостью. Специалисты CloudFlare сообщили, что злоумышленники использовали Layer 3 и Layer 4 флуд посредством TCP, а это совсем не похоже на «почерк» Mirai, пишет xakep.ru.

Данный инцидент лишний раз доказывает, насколько тривиальными стали атаки, чья мощность превышает 400 Гбит/с. Даже без зараженных IoT-устройств злоумышленники легко добиваются таких значений, о чем недавно писали и аналитики компании Akamai. Согласно отчету за третий квартал 2016 года (PDF), число атак превышающих 100 Гбит/с возросло на 138% по сравнению с третьим кварталом 2015 года.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

PT Expert Security Center может предсказывать атаки группы RTM

RTM вместе с Cobalt и Silence является самой активной киберпреступной группой, атакующей российские финансовые компании и промышленный сектор. Специалисты Positive Technologies (PT Expert Security Center) «ведут» эту группу с 2018 года, что позволило им разработать механизм, предсказывающий дальнейшие действия RTM.

Основная цель злоумышленников — проникнуть в корпоративную сеть, для чего они используют фишинговые рассылки. В PT Expert Security Center заявили, что за 2018 год было зафиксировано 59 атак RTM.

Уже в 2019 году киберпреступники успели провести 45 атак. Углубившись в анализ рассылок группировки, специалисты PT Expert Security Center смогли вычислить, что функции командных центров C&C выполняют домены в зоне .bit.

Поскольку эта доменная зона создана на базе блокчейна Namecoin, эксперты PT Expert Security Center смогли изучить особенности архитектуры блокчейна, что позволило создать схему отслеживания регистрации новых доменов, принадлежащих RTM. Более того, исследователи могут даже отследить смену IP-адресов злоумышленников.

Благодаря новому алгоритму специалисты PT Expert Security Center теперь могут уведомлять финансовые организации о появлении новых командных серверов, которые киберпреступники будут использовать для атак.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru