Рост рынка криптовалюты снизил число DDoS-атак

Рост рынка криптовалюты снизил число DDoS-атак

По данным «Лаборатории Касперского», в четвёртом квартале 2020 года число DDoS-атак выросло на 10% по сравнению с аналогичным периодом 2019 года, при этом — снизилось на 31% по сравнению с третьим кварталом 2020 года. Таким образом, продолжился спад рынка, наметившийся ещё весной.

На снижение числа DDoS-атак в конце 2020 года мог повлиять бурный рост рынка криптовалюты. Эксперты компании объясняют это тем, что операторы ботнетов перенаправили часть мощностей на майнинг. Они перепрофилировали некоторые ботнеты, чтобы контрольно-командные серверы, которые обычно используются для проведения DDoS-атак, могли использовать вычислительные ресурсы заражённых устройств для майнинга криптовалют. Это предположение подтверждается статистикой Kaspersky Security Network. На протяжении 2019 года и в начале 2020-го число криптомайнеров падало, а с августа 2020 года начало резко расти и в четвёртом квартале вышло на плато.

 

Спад произошёл в основном за счёт лёгких в организации атак, доля же умных DDoS снизилась незначительно. Причина этого, вероятно, заключается в том, что при росте цен на подобные услуги первыми отсекаются дилетанты — школьники, мелкие хулиганы и просто горячие головы, у которых нет серьёзных причин для заказа DDoS. Интересы же профессионалов не теряют актуальности, особенно в богатый на праздники и распродажи четвёртый квартал, поэтому они продолжают заказывать и организовывать атаки.

Кроме того, с октября по декабрь по-прежнему фиксировались инциденты с ресурсами образовательных организаций. Об этом, в частности, сообщили несколько школ в Массачусетсе и Лаврентийский университет в Канаде. Также от мусорного трафика в заключительном квартале года страдали популярные игровые платформы.

«На развитие рынка DDoS-атак сегодня влияют два противоположных тренда. С одной стороны, этот инструмент остаётся востребованным у злоумышленников: от того, насколько стабильно работают онлайн-ресурсы, зависят многие важные процессы, в том числе деловые и учебные. В то же время рост стоимости криптовалют делает более выгодными атаки майнеров. Поскольку текущие колебания связаны в основном с динамикой цен на криптовалюты, мы не ожидаем взрывного роста или падения рынка DDoS в ближайшем будущем», — комментирует Алексей Киселёв, менеджер проекта Kaspersky DDoS Protection.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

За месяц NullMixer поразил 8000 Windows-устройств, включая IoT

Известный ИБ-эксперт из Болоньи Лука Мелла (Luca Mella) рассказал о текущей вредоносной кампании с участием дроппера NullMixer. За последний месяц злоумышленникам удалось с его помощью внедрить инфостилеров, шпионов и зловредных загрузчиков более чем в 8 тыс. компьютеров, серверов и даже IoT-устройств под управлением Windows, расположенных в различных регионах.

Новая NullMixer–кампания, как и в прошлом году, использует вредоносную рекламу, черный SEO и социальную инженерию. Первичная полезная нагрузка выдается за кряки популярного софта техобслуживания (EaseUS Partition Master, Driver Easy Pro и т. п.), продвигаемые с помощью видеороликов на Youtube.

Чтобы уберечь от обнаружения хост с вредоносным кодом (в облаке Mega.nz), злоумышленники используют короткие ссылки Bit.ly и страницу-редирект, созданную на BlogSpot. Формат отдаваемого файла с NullMixer остался прежним — WinRAR.exe.

В архиве содержится также множество бинарников, автоматически запускаемых по клику:

  • Crack.exe — загрузчик PseudoManuscrypt;
  • Brg.exe — инфостилер Raccon, командный сервер которого поднят в сетях российского хостинг-провайдера VDSina;
  • Lower.exe — шпион GCleaner с функциями загрузчика;
  • Sqlcmd.exe — загрузчик интересного бота-стилера, использующего криптографию на основе эллиптических кривых (ECC) для защиты C2-коммуникаций;
  • KiffAppE2.exe— загрузчик с кодовым именем Crashtech/CrashedTech, появившийся в поле зрения ИБ-экспертов в ноябре прошлого года;
  • ss29.exe — дроппер потрошителя криптокошельков Fabookie (спрятан в .jpeg), использующий PAC-файлы с Google Cloud для настройки перехвата трафика через внешний HTTP-прокси.

Анализ KiffAppE2.exe (Crashtech) показал, что это .NET-бинарник, запускающий код загрузчика. Вредонос ищет в системном реестре ключ KiffAppApi: по всей видимости, его используют в рамках схемы PPI (Pay Per Install, оплата за каждую установку), и проверка помогает исключить повторное заражение.

Код Crashtech незамысловат; он отсылает системные данные (юзернейм, версия ОС, внешний IP) на C2-сервер, парсит ответ, чтобы извлечь информацию о месте сохранения целевой, а затем загружает пейлоад и запускает его на исполнение (с помощью API Process.Start). В этом месяце данный загрузчик использовался в основном для доставки инфостилера RedLine с C2-сервером в сетях украинского провайдера Timehost.

Исполняемый файл Sqlcmd.exe представляет собой 32-битный бинарник среды выполнения Microsoft C и C++ (MSVC). Зловред упорно пытается загрузить с заданного адреса множество файлов, имена которых отвечают шаблонам ab[число].php и ab[число].exe. Он также запускает выполнение встроенной PowerShell-команды на загрузку дополнительного кода.

Имена скриптов, загружаемых с взломанного пакистанского WordPress-сайта, схожи: debug2.ps1, debug20.ps1, debug4.ps1 и т. п. После расшифровки (XOR) итоговые байты включаются в состав .NET-сборки. Примечательно, что ключ для расшифровки вредонос получает с внешнего C2-сервиса, реализующего многоступенчатую схему полиморфной защиты. Оттуда же отдаются дополнительные конфигурационные данные: ID участника партнерки и адреса C2.

В этом месяце финальный .NET-файл защищен с помощью ConfuseEx v1.0.0. После распаковки высвобождается модуль с именем koi, реализующий функции инфостилера:

  • кража паролей из FileZilla, Chrome, Discord;
  • кража данных из криптокошельков, проверка наличия аппаратного кошелька Trezor;
  • кража данных из папки Telegram;
  • кража конфигурационных данных VPN;
  • кража 2FA-кодов из локального хранилища Twilio Authy.

Прежде чем приступить к сбору данных, koi выполняет функцию checkVal, чтобы избежать повторной инфекции, а также выявить наличие песочницы или эмулятора антивируса. Стилер также откатывает заражение, если местоположение жертвы — одна из стран бывшего СНГ (определяется по дефолтному языку ОС).

Центр управления koi расположен в Латвии; связь осуществляется нестандартным образом: зловред перенаправляет конкретные потоки в памяти непосредственно на удаленный сервер, чтобы не оставлять следов на диске. При этом используется HTTP, но сообщения отследить трудно, так как они шифруются с использованием кастомного протокола на основе ECC-криптографии. Последнее отправленное сообщение содержит произвольно сгенерированный публичный ключ, что открывает возможность для детектирования.

Заражения в рамках запущенной в январе NullMixer-кампании зафиксированы в 87 странах. В этом месяце злоумышленники значительно расширили свою географию, выйдя за пределы Северной Америки.

 

Большинство атакуемых хостов используют клиентскую ОС Microsoft — Windows 10 Pro или Windows 10 Home. Заражений на предприятиях крупного и среднего бизнеса заметно меньше (версия Enterprise — 5,3% хостов, Windows Server — 71 хост). Пять инфицированных устройств используют Windows Embedded, то есть относятся к классу IoT.

 

Большая часть данных, по мнению исследователя, вскоре появится на рынках даркнета. Доступ к серверам тоже будет выставлен на продажу.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru