Naujausia kripto išpirkos grėsmė, atėjusi į šalia esantį serverį

Buvo daugybė išpuolių, kurių metu išpirkos išgaunamos naudojant kenkėjiškas programas ir failų šifravimą. Piratai užrakins svarbius failus aukų mašinose ir pareikalaus sumokėti kriptovaliuta.

Dabar atrodo, kad įsilaužėliai grįžta į kitą atakos vektorių, kad išgautų savo išpirkos mokėjimus. Jie naudojasi „Memcached DDoS“ (Dedicated Denial of Service) išpuoliais prieš serverius.

Skirtingai nuo standartinės DDos atakos, kuri tiesiog užtvindytų serverį atsitiktiniais duomenų paketais, šiuose paketuose buvo įdomus pranešimas. Jie nurodė, kas jį skaitė, sumokėti 50 „Monero“, kad sustabdytų ataką.

Esant dabartinėms rinkos kainoms, tai yra apie 17 000 USD, kuriuos įmonei teks atsikosėti, tikintis, kad užpuolikai apleis.

Bet kas iš tikrųjų yra įstrigusi DDos ataka ir ar „Ransom DDoS“ atakos yra dažnos?

Kas yra „Memcached DDoS Attack“?

„Memcached“ DDoS atakos tik neseniai pradėjo pasirodyti scenoje ir leido įsilaužėliams pradėti keletą didžiausių matytų DDoS atakų. Jie tai daro naudodamiesi prastai sukonfigūruotais atminties talpyklų serveriais.

Kaip paaiškino tinklaraščio įraše Akamai, ši prasta konfigūracija reiškia, kad serveris į UDP srautą atsakys paketais, kurie yra daug didesni nei siunčiami. Kartais tai yra daug kartų didesni.

Be to, atsižvelgiant į tai, kad tai yra UDP protokolas, paketo kilmės IP galima lengvai suklastoti. Taigi užpuolikai suklaidins IP ir atrodys, kad kitas serveris siunčia užklausą. Memcached serveriai atsakys į tą IP.

Siunčiami paketai kartais būna tokie dideli, kad atakos iš tikrųjų gali sukelti DDoS, kurio maksimalus maksimumas yra 1,35 terabaitai per sekundę. Tiesą sakant, būtent tokio tipo atakos visai neseniai įvyko Gitubas kai kurie kibernetinio saugumo ekspertai tai vadino didžiausia visų laikų ataka.

Tai vadinama atspindinčia DDoS ataka, kurios „stiprinimo koeficientas“. Šiuo atveju dauginamasis paketo dydis buvo stiprinimo koeficientas, kuris nuvertė serverius.

Ne iš karto aišku, kas yra užpuolimo priežastis, tačiau yra daug saugumo tyrinėtojų, kurie mano, kad tai gali būti kita įsilaužėlių grupė iš Šiaurės Korėjos, bandanti išvilioti kompanijas ir interneto svetainių valdytojus visame pasaulyje.

Susimokėk, arba mes puolame

„Ransom DoS“ (RDoS) atakos nėra visiškai naujos. Jie buvo praktikuojami anksčiau su kai kuriomis organizacijomis kaip aukomis. Iš pradžių jie įtraukė grupę užpuolikų elektroniniu paštu daugeliui žmonių į organizaciją, grasinančią išpuoliu.

Jie reikalautų „Bitcoin“ mokėjimo, kad atbaidytų galimą ataką. Jie taip pat buvo vadinami „DDoS-for-Bitcoin“ (DD4BTC) ir, nors jie baugino, jie buvo tik grasinimai.

Nors jie grasino DDoS, jie dažniausiai neturėjo ugnies galios, kad iš tikrųjų nuvestų serverius. Taigi organizacijos žmonės mieliau ignoravo daugumą šių prašymų.

Dabar žinant „Memcached“ serverių pažeidžiamumą, jie aktyviai naudojami. Užpuolikai turi ugnies jėgą, kurios ieškojo, ir nebijo ja pasinaudoti.

Tiesą sakant, jie net negresia.

Susimokėk, arba mes nesustojame

Šio RDoS atveju užpuolikai pirmiausia negrasino kompanijos savo reikalavimais. Jie nedelsdami pradėjo „Memecache“ ataką, kuri turėjo daugelį serverių parklupdyti.

Tačiau šios atakos atveju, užuot siuntę atsitiktinius duomenis, jie išsiuntė nedidelį pranešimą su paketais. Žemiau yra išpirkos pranešimo, gauto užpuolikų, ekrano kopija.

niekinis

Išpirkos paslėpimas duomenyse. Šaltinis: Akamai.com

Kaip matote, užpuolikai prašo aukų sumokėti 50 XMR konkrečiu piniginės adresu. Jie, be abejo, nusprendė gauti mokėjimą Moneroje, nes tai yra viena iš labiausiai privatumą suvokiančių kriptovaliutų.

Panašu, kad tai nėra skirta tik vienai aukai. Prancūzijos saugumo tyrinėtojas sulaukė tokios pat atakos su duomenų pakete esančia grėsme dėl panašios išpirkos.

Tai rodo, kad užpuolikai gali siųsti savo deformuotus duomenų paketus į įvairius taikinius ir tikėtis, kad kažkas yra pakankamai spokuotas, kad sumokėtų. Atsižvelgiant į tai, koks saugus yra Monero, niekas negali žinoti, kiek buvo atsiųsta tuo adresu.

Mokėjimas nepadės

Deja, užpuolusiems, išpirkos sumokėjimas greičiausiai nesustabdys. Taip yra dėl to, kad užpuolikui bus neįmanoma nustatyti, kas iš tikrųjų sumokėjo 50 XMR, nes visų atakų metu naudojamas mokėjimo adresas yra tas pats.

Tai, ko užpuolikai greičiausiai žinotų, turėdami tikslą pakankamai išgąsdinti gavėją, kad jis galėtų persiųsti „Monero“. Tai gali turėti neigiamą poveikį, nes užpuolikas matys savo investicijų grąžą ir galės ją padidinti.

Šis išpuolis rodo kibernetinių nusikaltėlių gebėjimą prisitaikyti greičiau, nei valdžios institucijos ir tyrėjai sugeba reaguoti. Tai taip pat rodo, kad malūno kibernetinės atakos dabar pertvarkytos įtraukiant kriptovaliutas.

Pradedant kenkėjiškomis programomis, veikiančiomis serveriuose, iki interneto kalnakasių, kurie užgrobia naršykles, iki „Monero“ – mes tikėtina, kad per ateinančius kelis mėnesius matysime daug daugiau vektorių.

Paveikslėlis per „Fotolia“

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me