С середины октября эксперты наблюдают нелегитимные рассылки, авторы которых информируют получателя о грядущей DDoS-атаке на его сеть и предлагают заплатить отступные. Для пущей убедительности вымогатели проводят показательную DDoS, за которой в случае неуплаты может последовать новая атака.

Адресные сообщения написаны от имени APT-группы Fancy Bear, получившей широкую известность из-за целевых атак на правительственные организации стран НАТО и их союзников. В ИБ-сообществе эту группировку также идентифицируют как Sofacy, Tsar Team или APT28; на ее счету не числится ни одной DDoS-атаки.

Мишенями текущей вымогательской кампании в основном являются представители финансового сектора, индустрии развлечений и сферы розничной торговли. Сумма выкупа во всех случаях одинакова — 2 биткойна (около $15 тыс. по текущему курсу); криптовалюту жертва должна перевести на указанный кошелек в течение двух — четырех дней.

В комментарии для блога ZDNet эксперт Дэниел Смит (Daniel Smith) из компании Radware отметил, что свои угрозы злоумышленники подкрепляют «мощными, многовекторными демонстрационными DDoS-атаками».

Представитель Link11, в свою очередь, уточнил, что эти атаки проводятся как DDoS с отражением и усилением мусорного потока. Собеседник ZDNet также перечислил используемые с этой целью протоколы: DNS, NTP, CLDAP, ARMS и WS-Discovery. Мощность пробных атак, по его словам, достигает 60 Гбит/с.

Примечательно, что дидосеры атакуют не официальные сайты компаний, а бэкенд-серверы, которые, как правило, хуже защищены от таких нападений.

Несколько лет назад вымогательство под угрозой DDoS было очень популярно у злоумышленников. Чтобы заставить намеченную жертву платить, они зачастую  заимствовали громкие имена. Авторы вымогательских кампаний далеко не всегда имели возможность провести обещанную атаку, но все равно исправно собирали дань.

В данном случае DDoS-расправа — отнюдь не пустая угроза, однако эксперты не советуют уступать требованиям вымогателей. О подобных инцидентах следует сразу сообщать в правоохранительные органы, чтобы те приняли соответствующие меры.

Категории: DoS-атаки, Мошенничество, Спам