Qrator Labs нейтрализовала волну высокоскоростных DDoS-атак на QIWI

Qrator Labs нейтрализовала волну высокоскоростных DDoS-атак на QIWI

Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, зафиксировала факт высокоскоростных DDoS-атак на веб-ресурсы группы QIWI с использованием техники LDAP-амплификации и SYN-флуда.

В четверг, 24 января, платежный сервис QIWI подвергся DDoS-атаке скоростью 200 Гбит/сек (~10 миллионов пакетов в секунду) в пике с комбинацией векторов LDAP-амплификации и SYN-флуда.

Техника атаки типа Amplification (усиление) заключается в том, что на сервер, содержащий сервис-усилитель, отправляется запрос, который этим сервером многократно тиражируется и направляется на веб-ресурс жертвы. В данном случае для усиления атаки использовался протокол LDAP. При осуществлении SYN-флуда происходила отправка большого количества SYN-запросов (запросов на подключение по протоколу TCP) в достаточно короткий срок.

Qrator Labs зафиксировала три волны атаки: первые две – LDAP amplification flood, третья – SYN флуд. Весь трафик данной атаки был пойман сетью фильтрации Qrator в основном в Западной Европе и США. Атака длилась всего 8 минут, и в дальнейшем никаких попыток ее возобновить не возникало.

«Несмотря на то что техника LDAP amplification была описана в 2016 году и атаки с использованием данного вектора были зафиксированы в течение двух прошлых лет, тенденция к росту частоты и полосы атак с задействованием незащищенных LDAP-сервисов впечатляет. По масштабу источников и полосе это была рекордная атака с задействованием протокола LDAP», – комментирует Артем Гавриченков, технический директор Qrator Labs. – «За последние 12 месяцев это уже 6-й замеченный нами случай атаки с использованием LDAP – еще одного полезного протокола, оказавшегося некорректно настроенным и, как следствие, уязвимым. Предыдущая атака типа LDAP amplification длилась менее 3 минут на полосе порядка 120 Гб/сек. В следующий раз злоумышленники могут найти столько уязвимых ресурсов, что хватит на очередной рекорд».

«Это не первая крупная атака, которую мы успешно отразили вместе с Qrator Labs», – подчеркивает технический директор QIWI Кирилл Ермаков. – «Но данный случай привлек наше внимание комбинацией большого объема трафика и LDAP Amplification, что является весьма необычным сочетанием. Я полагаю, что те компании, кто не озаботился геораспределенной защитой от DDoS, могут серьезно пострадать, если на их оборудование придет 200 гигабит в секунду вредоносного трафика. Это уже не малозначительные атаки в 2-3 гигабита, на которые сегодня даже не стоит обращать внимание, а полноценная попытка повлиять на работу компании».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Аффилиат Darkside заразил сайт вендора охранных систем видеонаблюдения

Группа хакеров, состоявшая в партнерских отношениях с владельцами шифровальщика Darkside, взломала сайт поставщика IP-камер и внесла вредоносный код в два программных пакета, предлагаемых для скачивания. Атаку на цепочку поставок удалось обнаружить и пресечь благодаря оперативности одной из жертв заражения, призвавшей на помощь сторонних специалистов.

Как оказалось, хакеры проникли в ее сеть с помощью вредоносной версии Windows-приложения SmartPSS (предназначено для работы с камерами Dahua). Зловреда 18 мая загрузил с легитимного сайта один из сотрудников пострадавшей компании. Выявив источник, исследователи из Mandiant уведомили вендора о взломе, и сайт уже очистили от инфекции.

Троянизированный инсталлятор установил в систему бэкдор, который эксперты идентифицировали как SMOKEDHAM. Наличие этого выполняемого в памяти зловреда позволило определить авторов атаки: SMOKEDHAM использует единственная ОПГ — в Mandiant ей присвоили кодовое имя UNC2465.

Обеспечив себе точку входа в сеть, злоумышленники закрепились в системе, загрузив с помощью бэкдора легитимную утилиту NGROK. (Эта программа позволяет создавать туннели для интернет-доступа к локальным серверам, размещенным за NAT.).

Через пять дней они пустили в ход дополнительные инструменты: кейлоггер, Cobalt Strike, а также собрали логины и пароли локальных пользователей, сделав дампы памяти lsass.exe. Добыв нужную информацию, взломщики начали продвигаться вширь по сети, используя RDP.

 

Группировка UNC2465 — один из нескольких постоянных клиентов Darkside-сервиса, которых в Mandiant различают по номерам. Такие партнеры обычно взламывают сеть, а затем запускают в нее арендованного шифровальщика, делясь выручкой от его работы с владельцами зловреда.

После закрытия этого одиозного предприятия его клиентура осталась без основного орудия выколачивания денег и начала искать альтернативы. Не исключено, что в ближайшем будущем UNC2465 найдет замену Darkside и возобновит сбор дани с жертв взлома.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru