DDoS-атаки начали превращаться в одну из шумовых помех интернета

DDoS-атаки начали превращаться в одну из шумовых помех интернета

DDoS-атаки начали превращаться в одну из шумовых помех интернета

Политический саботаж, попытки злоумышленников нажиться на криптовалюте и непреднамеренные атаки — главные тренды, которые «Лаборатория Касперского» выделила в области развития DDoS в четвертом квартале 2017 года. Отчет основан на данных Kaspersky DDoS Intelligence — системы аналитики DDoS-атак, производимых через ботнеты.

Тенденция, которую аналитики отметили в конце 2017 года — DDoS-атаки начали превращаться в одну из постоянных «шумовых помех» интернета. Количество мусорного трафика увеличилось настолько, что вывод из строя серверов в результате переизбытка запросов может быть не только целевым, но и случайным результатом побочной деятельности ботнетов. Например, в декабре «Лаборатория Касперского» зафиксировала огромное количество запросов к несуществующим доменам второго и третьего уровней — это создало аномальную нагрузку на DNS-серверы зоны RU. Как выяснилось, за это несла ответственность одна из модификаций троянца Lethic. Такое поведение зловреда было попыткой замаскировать адреса командных серверов за большим количеством мусорных запросов, а избыточная нагрузка на DNS-серверы стала лишь результатом неудачного проектирования вредоносного ПО.

С октября по декабрь 2017 года DDoS-атаки затронули 82 страны. Для сравнения, в предыдущем квартале их было 98. При этом, как и раньше, подавляющее большинство атак совершалось в странах первой десятки (94,48%). Ее состав почти не изменился, кроме того, что в число лидеров вошел Вьетнам, вытеснив из списка Гонконг. Больше всего атак пришлось на долю Китая (59%), США (16%) и Южной Кореи (10%). В первую тройку стран по количеству командных серверов на этот раз попала Россия (7%), которая расположилась следом за Южной Кореей (46%) и США (17%).

Значительно сократилась продолжительность самой длинной атаки: с 215 часов в третьем квартале (около 9 дней) до 146 часов (около 6 дней). Жертвой стал сайт китайской компании, посвященный приготовлению блюд традиционной азиатской кухни.

DDoS остается популярным средством политической борьбы. В конце октября во время парламентских выборов в Чешской республике атаке подверглось бюро статистики. Нападение доставило ряд неудобств, но серьезной помехой не стало, и результаты выборов были объявлены вовремя. Другим политическим протестом стала DDoS-атака на правительство Испании в связи с каталонским вопросом. Хактивисты из группы Anonymous вывели из строя сайт Конституционного суда Испании и повесили на сайт Министерства общественных работ и транспорта сообщение «Свободу Каталонии».

Как и во многих других областях киберпреступности, организаторы DDoS не обошли вниманием криптовалюты. Сразу после того, как от Bitcoin отделился Bitcoin Gold (BTG), сайты BTG подверглись DDoS-атакам. А после взлета стоимости криптовалюты в ноябре интенсивные DDoS-атаки посыпались на обменную биржу Bitfinex — видимо, с целью нажиться на колебаниях курса биткойнов.

«Не обязательно быть прямой целью злоумышленников, чтобы стать жертвой DDoS-атаки. Помимо того, что они остаются инструментом давления или незаконного заработка, DDoS может быть просто побочным эффектом другой активности преступников, а жертвой могут стать не только крупные организации, но и небольшие компании. Сегодня ни один бизнес, хотя бы частично зависящий от доступа к интернету, не стоит оставлять без защиты. Поэтому в 2017 году мы запустили новую линейку тарифов Kaspersky DDoS Protection для малых предприятий», — отметил Алексей Киселев, руководитель проекта Kaspersky DDoS Protection в России.

Троян-комбайн атакует разработчиков: ворует пароли, майнит и заражает файлы

Специалисты «Доктор Веб» исследовали новый троян, который работает не как один вредонос, а как целый набор инструментов. Он нацелен на supply chain attack — атаки на цепочки поставок — и особенно интересуется проектами на C++ и C#. Главная озабоченность в том, что троян не ограничивается одной функцией.

Он одновременно ведёт себя как стилер, клиппер, бэкдор, майнер и источник заражения файлов.

Зловред может красть данные, подменять информацию, давать злоумышленникам удалённый доступ, майнить криптовалюту и распространяться дальше через заражённые файлы.

Первые случаи распространения вредоноса зафиксировали в последнем квартале 2025 года. С тех пор его постоянно дорабатывают. В основном троян расползается по интернету через заражённые .exe- и Python-файлы, а сам процесс заражения устроен в несколько этапов.

В зоне риска токены Discord, которые позволяют заходить в аккаунты без логина и пароля, пароли и cookie из популярных браузеров, включая Chrome, Edge, Opera, Brave и «Яндекс Браузер», папки Telegram Desktop и данные криптокошелька Exodus.

С браузерами троян работает не только стандартными методами. Он может использовать файл CCCWF.tmp, который встраивается в браузер, считывает пароли и сохраняет их в текстовые файлы. То есть пароль даже не нужно взламывать, его просто аккуратно достают изнутри.

С Exodus история ещё опаснее. Вредонос не просто крадёт папки кошелька, а модифицирует само приложение: находит файл app.asar и заменяет его на поддельную версию, скачанную с сервера злоумышленников. В ней спрятана функция, которая при запуске отправляет мнемонические фразы кошелька атакующим.

RSS: Новости на портале Anti-Malware.ru