Najnowsze zagrożenie Crypto Ransom na pobliskim serwerze

Doszło do szeroko zakrojonych ataków wykorzystujących złośliwe oprogramowanie i szyfrowanie plików w celu wyłudzenia okupu pieniężnego. Hakerzy zablokują ważne pliki na komputerach ofiar i zażądają zapłaty w kryptowalucie.

Teraz wygląda na to, że hakerzy przywracają inny wektor ataku, aby wyodrębnić swój okup. Wykorzystują ataki Memcached DDoS (Dedicated Denial of Service) na serwery.

W przeciwieństwie do standardowego ataku DDoS, który po prostu zalałby serwer losowymi pakietami danych, pakiety te zawierały interesującą wiadomość. Poinstruowali każdego, kto to czyta, aby zapłacił 50 Monero w celu powstrzymania ataku.

Przy obecnych cenach rynkowych to około 17 000 dolarów, które firma musiałaby kaszleć w nadziei, że atakujący odpuszczą.

Ale czym dokładnie jest memchached atak DDoS i czy ataki Ransom DDoS są powszechne?

Co to jest atak DDoS Memcached?

Ataki DDoS Memcached dopiero niedawno zaczęły pojawiać się na scenie i umożliwiły hakerom przeprowadzenie jednych z największych ataków DDoS, jakie zaobserwowano. Robią to, wykorzystując słabo skonfigurowane serwery memcached.

Jak wyjaśniono w poście na blogu autorstwa Akamai, ta kiepska konfiguracja oznacza, że ​​serwer odpowie na ruch UDP pakietami, które są znacznie większe niż wysyłane. Czasami są to wielokrotności większe.

Ponadto biorąc pod uwagę, że jest to protokół UDP, można łatwo sfałszować pierwotny adres IP pakietu. W związku z tym atakujący sfałszują adres IP i sprawią, że będzie wyglądać, jakby inny serwer wysyłał żądanie. Serwery memcached odpowiedzą na ten adres IP.

Wysyłane pakiety są czasami tak duże, że ataki mogą w rzeczywistości generować DDoS z maksymalną prędkością 1,35 terabajta na sekundę. W rzeczywistości był to właśnie ten rodzaj ataku Github niektórzy eksperci ds. bezpieczeństwa cybernetycznego nazywają to największym atakiem w historii.

Nazywa się to odblaskowym atakiem DDoS, który ma „współczynnik wzmocnienia”. W tym przypadku zwielokrotniony rozmiar pakietu był czynnikiem wzmocnienia, który spowodował wyłączenie serwerów.

Nie jest od razu jasne, kto stoi za atakiem, ale jest wielu badaczy bezpieczeństwa, którzy uważają, że może to być kolejna grupa hakerska z Korei Północnej, która próbuje wyłudzić firmy i webmasterów na całym świecie.


Zapłać albo atakujemy

Ataki Ransom DoS (RDoS) nie są całkowicie nowe. Byli już praktykowani jako ofiary w niektórych organizacjach. Początkowo obejmowałyby grupę napastników wysyłających e-maile do wielu osób w organizacji grożących atakiem.

Żądaliby zapłaty Bitcoinem, aby powstrzymać potencjalny atak. Nazywano je również DDoS-for-Bitcoin (DD4BTC) i choć zastraszały, były tylko groźbami.

Chociaż grozili atakiem DDoS, najczęściej nie mieli wystarczającej siły ognia, aby faktycznie wyłączyć serwery. Dlatego ludzie w organizacji byli bardziej niż szczęśliwi, mogąc zignorować większość tych próśb.

Ponieważ luki w serwerach Memcached są już znane, są one aktywnie wykorzystywane. Atakujący mają siłę ognia, której szukali i nie boją się jej użyć.

W rzeczywistości nawet nie grożą.

Zapłać albo nie przestaniemy

W przypadku tego RDoS napastnicy w pierwszej kolejności nie zagrozili firmie swoimi żądaniami. Natychmiast rozpoczęli atak na Memecache, który musiał rzucić na kolana wiele serwerów.

Jednak w przypadku tego ataku, zamiast wysyłać losowe dane, wysyłali małą wiadomość z pakietami. Poniżej znajduje się zrzut ekranu wiadomości okupu, która została przesłana przez napastników.

zero

Okup ukryty w danych. Źródło: Akamai.com

Jak widać, napastnicy proszą ofiary o zapłacenie 50 XMR na określony adres portfela. Bez wątpienia zdecydowali się na otrzymanie płatności w Monero, biorąc pod uwagę, że jest to jedna z najbardziej świadomych prywatności kryptowalut w okolicy.

Wydaje się, że nie dotyczy to tylko jednej ofiary. Francuski badacz ds. Bezpieczeństwa otrzymał ten sam atak z tym samym zagrożeniem okupu w pakiecie danych.

To pokazuje, że atakujący mogą wysyłać swoje zdeformowane pakiety danych do wielu różnych celów i mieć nadzieję, że ktoś jest na tyle wystraszony, by zapłacić. Biorąc pod uwagę, jak bezpieczne jest Monero, nie można dowiedzieć się, ile zostało wysłane na ten adres.

Płacenie nie pomoże

Na nieszczęście dla atakowanych, zapłacenie okupu prawie na pewno nie powstrzyma tego. Dzieje się tak, ponieważ atakujący nie będzie mógł zidentyfikować, kto faktycznie zapłacił 50 XMR, ponieważ użyty adres płatności jest taki sam dla wszystkich ataków.

Jest to coś, co najprawdopodobniej wiedzieliby napastnicy, a ich celem jest przestraszenie odbiorcy na tyle, aby wysłał Monero. Może to mieć niekorzystny wpływ, ponieważ osoba atakująca zobaczy wtedy zwrot z inwestycji i może ją jeszcze bardziej zwiększyć.

Atak ten demonstruje, że cyberprzestępcy potrafią przystosować się szybciej, niż są w stanie zareagować władze i badacze. Pokazuje również, że ataki cybernetyczne zostały przeprojektowane tak, aby obejmowały kryptowaluty.

Od złośliwego oprogramowania działającego na serwerach po górników witryn internetowych, którzy przejmują przeglądarki, aby wydobywać Monero, prawdopodobnie zobaczymy o wiele więcej wektorów, które otworzą się w ciągu najbliższych kilku miesięcy.

Wyróżniony obraz za pośrednictwem Fotolia

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map