Imperva отразила вымогательскую DDoS-атаку в 2,5 млн запросов в секунду

Татьяна Никитина 05 Марта 2022 - 16:56

...

Imperva отразила вымогательскую DDoS-атаку в 2,5 млн запросов в секунду

Калифорнийская ИБ-компания Imperva сообщила о новом успехе: ее прокси-фильтры в рекордные сроки погасили DDoS-поток прикладного уровня, на пике достигший 2,5 млн запросов в секунду (rps). Нападавшие использовали ботнет и требовали плату за прекращение атаки.

Этот инцидент также примечателен тем, что требование выкупа было озвучено не только перед началом атаки, но и многократно — в составе URL вредоносных запросов, подаваемых на сервер жертвы (клиента Imperva).

За два дня эксперты насчитали более 27 млн мусорных запросов с подобными вставками. Иногда URL содержали ссылку на файл с аналогичным текстом, загруженный на notepad.com. Избранная тактика преследовала единственную цель — заставить жертву платить под угрозой потери репутации и в итоге позиций на фондовом рынке.

Имя REvil вымогатели, видимо, упоминали, чтобы придать больше веса свои словам, хотя эксперты не исключают, что автором DDoS могла быть и сама печально известная группировка.

Наблюдаемые залпы дидосеров были очень короткими. Самый сильный из них (до 2,5 Mrps) длился меньше минуты; за это время защитные решения Imperva суммарно заблокировали более 64 млн вредоносных запросов.

Под удар попал не только основной сайт мишени, но и множество второстепенных. Атаки, создававшие дополнительную нагрузку на TCP-каналы до 1,5 Гбит/с, продолжались несколько дней. Вымогатели меняли векторы для обхода защиты, увеличивали сумму выкупа, поторапливая жертву, но ничего так и не добились.

Согласно наблюдениям, мусорный трафик создавали 34 815 источников, выдававших себя за браузер пользователя или Google-бот. Наибольшую активность проявляли участники DDoS из США, Китая, Бразилии, Индии, Колумбии и России; засветившиеся IP-адреса в этих странах в среднем отослали по 2 млн вредоносных запросов.

В Imperva с большой долей уверенности предположили, что вымогатели использовали ботнет Mēris, способный создавать и более внушительные DDoS-потоки. Позднее были зафиксированы еще несколько похожих атак — на ритейлеров и операторов связи в США и Европе. Для уплаты выкупа каждой жертве назначался свой биткоин-кошелек.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

В России вновь заработал Speedtest

Яков Шпунт 26 Ноября 2025 - 09:03

Информационные войны Общее

В России, по крайней мере в ряде регионов, вновь заработал сервис Speedtest от американской компании Ookla, который был заблокирован в конце июля. Роскомнадзор официально о разблокировке не сообщал. При этом мобильное приложение для iOS и Android стабильно функционирует в нескольких регионах страны.

На возобновление работы Speedtest первым обратил внимание «Код Дурова».

С доступностью официального сайта и веб-версии ситуация неоднозначная: в одних регионах они по-прежнему недоступны, в других — открываются без проблем. Корреспонденты «Кода Дурова» также отметили, что у одних провайдеров сервис работает, тогда как у других — нет.

У автора этих строк открывались и веб-версия на стационарном компьютере, и мобильное приложение у двух мобильных операторов. Результаты измерений выглядели достоверно, однако подключение к серверам, задействованным в тестировании скорости, устанавливалось заметно медленнее обычного.

Speedtest был заблокирован Роскомнадзором 30 июля. Ведомство объяснило решение угрозами, которые могли повлиять на безопасность функционирования сетей связи и устойчивость национального сегмента интернета.

О возможной разблокировке сервиса официальных комментариев пока не поступало.