Най-новата заплаха за крипто откуп, идваща до сървър близо до вас

Имаше обширни атаки, които използват злонамерен софтуер и криптиране на файлове за извличане на парични откупи. Хакерите ще заключат важни файлове на машините на жертвите и ще поискат плащане в криптовалута.

Сега изглежда, сякаш хакерите се възстановяват до друг вектор на атака, за да извлекат плащанията си за откуп. Те използват Memcached DDoS (Dedicated Denial of Service) атаки срещу сървъри.

За разлика от стандартната DDos атака, която просто би заляла сървър с произволни пакети данни, тези пакети съдържаха интересно съобщение. Те наредиха на всеки, който го чете, да плати 50 Monero, за да спре атаката.

При текущите пазарни цени това е около 17 000 долара, които една компания ще трябва да изкашля с надеждата, че нападателите ще се откажат.

Но какво точно представлява memchached DDos атака и често ли са Ransom DDoS атаките?

Какво е Memcached DDoS атака?

Memcached DDoS атаките едва наскоро започнаха да излизат на сцената и дадоха възможност на хакерите да стартират някои от най-големите DDoS атаки, които са били наблюдавани. Те правят това, като използват лошо конфигурирани memcached сървъри.

Както е обяснено в публикация в блог от Акамаи, тази лоша конфигурация означава, че сървърът ще реагира на UDP трафик с пакети, които са много по-големи от изпращаните. Понякога това са многократно по-големи.

Освен това, като се има предвид, че това е UDP протоколът, IP произходът на пакета може лесно да бъде измамен. Следователно, нападателите ще подправят IP адреса и ще изглеждат така, сякаш друг сървър изпраща заявката. Memcached сървърите ще отговорят на този IP.

Изпращаните пакети понякога са толкова големи, че атаките всъщност могат да произведат DDoS с пик от 1,35 терабайта в секунда. Всъщност точно този тип атака наскоро удари Github с някои експерти по киберсигурност, които го наричат ​​най-голямата атака досега.

Това се нарича отразяваща DDoS атака, която има „коефициент на усилване“. В този случай умноженият размер на пакета беше коефициентът на усилване, който свали сървърите.

Не е ясно кой стои зад атаката, но има много изследователи по сигурността, които вярват, че това може да бъде друга хакерска група от Северна Корея, която се опитва да изнудва компании и уебмайстори по целия свят.

Платете, или ние атакуваме

Ransom DoS (RDoS) атаките не са съвсем нови. Те са били практикувани и преди с някои организации като жертви. Първоначално те ще включват група нападатели, изпращащи имейли на много хора в организация, заплашваща нападение.

Те биха поискали плащане с биткойн, за да избегнат потенциална атака. Те също бяха наричани DDoS-за-биткойн (DD4BTC) и въпреки че те плашеха, те бяха просто заплахи.


Въпреки че заплашваха DDoS, те най-често не разполагаха с огнева мощ, за да свалят сървърите. Следователно хората в организацията бяха повече от щастливи да игнорират по-голямата част от тези искания.

Тъй като уязвимостите в сървърите Memcached вече са известни, те се експлоатират активно. Нападателите притежават огневата мощ, която са търсили, и не се страхуват да я използват.

Всъщност те дори не заплашват.

Платете, или ние не спираме

В случая с този RDoS нападателите първо не заплашиха компанията с исканията си. Те веднага започнаха да започват атака Memecache, която трябва да е поставила много сървъри на колене.

Въпреки това, в случай на тази атака, вместо да изпращат случайни данни, те изпратиха малко съобщение с пакетите. По-долу е екранна снимка на съобщението за откуп, дошло от нападателите.

нула

Скриването на откупа в данните. Източник: Akamai.com

Както можете да видите, нападателите искат от жертвите да платят 50 XMR на определен адрес на портфейла. Те несъмнено са избрали да получат плащането си в Monero, тъй като това е една от най-съобразените с поверителността криптовалути около.

Изглежда това също не е насочено само към една жертва. Френски изследовател по сигурността получи същата атака с едноличната заплаха за откуп в пакета данни.

Това показва, че нападателите може да изпращат деформираните си пакети с данни до множество различни цели и да се надяват, че някой е достатъчно изплашен, за да плати. Като се има предвид колко сигурен е Monero, човек няма как да разбере колко са изпратени на този адрес.

Плащането няма да помогне

За съжаление на нападнатите, плащането на откупа е почти сигурно, че ще го спре. Това е така, защото за нападателя ще бъде невъзможно да идентифицира кой всъщност е платил 50 XMR, тъй като използваният адрес за плащане е един и същ за всички атаки.

Това е нещо, което нападателите най-вероятно биха знаели с целта си да изплашат получателя достатъчно, за да изпратят Monero. Това може да има неблагоприятен ефект, тъй като нападателят ще види възвръщаемост на инвестицията си и ще може да я увеличи допълнително.

Това, което демонстрира тази атака, е способността на кибер престъпниците да се адаптират по-бързо от властите и изследователите могат да реагират. Това също така показва, че кибер атаките на мелницата вече са преработени, за да включват криптовалути.

От злонамерен софтуер, който се изпълнява на сървъри, до майнери на уебсайтове, които отвличат браузъри, за да копаят Monero, вероятно ще видим много повече вектори да се отварят през следващите няколко месеца.

Представено изображение чрез Fotolia

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me