В некоторых UDP-пакетах, составляющих часть DDoS-потока, создаваемого с помощью неправильно сконфигурированных серверов memcached, эксперты Akamai Technologies обнаружили вымогательское послание. Злоумышленники предлагают перевести 50 XMR (около 17 тыс. в долларовом эквиваленте) на указанный кошелек в надежде на то, что жертва последует этой инструкции, чтобы сохранить работоспособность своего сайта.

DDoS с отражением трафика (DrDoS), использующие уязвимые memcached-серверы, объявились в Интернете неделю назад и уже успели побить все рекорды по мощности. Как оказалось, новый вектор позволяет дидосерам увеличить поток мусорных UDP-пакетов в 51 000 раз.

Подобная угроза не могла не привлечь внимание всего интернет-сообщества, и злоумышленники, видимо, решили поживиться за счет встревоженных пользователей. По данным Akamai, в настоящее время эту “бизнес-возможность” пытается использовать только один автор memcached-атак. Он (или группа) посылает своим жертвам одно и то же сообщение с требованием выкупа, однако никак не отслеживает реакцию.

Послание вымогателей не содержит контактной информации, в нем также нет подробных инструкций по оплате, обычно предполагающих ту или иную форму уведомления получателя о совершении платежа. Более того, указанный адрес Monero-кошелька одинаков для всех жертв. По всей видимости, шантажистам все равно, кто им платит, а значит, они не могут остановить атаку по получении выкупа.

Вымогательство под угрозой DDoS применялось и ранее, а впервые этой возможностью воспользовалась группа дидосеров DD4BC, угрожавшая более ощутимой расправой и увеличением суммы выкупа в случае неуплаты. Со временем у DD4BC появились последователи, которые порой даже были не в состоянии провести мощную DDoS-атаку, но все равно умудрялись получить выкуп, играя на чувстве страха.

Тем временем новые DrDoS набирают обороты, а количество memcached-серверов, пригодных для нужд дидосеров, уже перевалило за 105,5 тысяч. Новейшая из этих атак, только что отраженная Arbor Networks, на пике показала 1,7 Тбит/с.

В минувшую субботу данными по текущим атакам с memcached-плечом поделился еще один крупный специалист по защите от DDoS — Incapsula. Первая подобная атака против клиентов кампании произошла 21 февраля, повторную попытку эксперты зафиксировали через пять дней. На этот раз мощность вредоносного потока достигла 190 Гбит/с и 18 млн пакетов в секунду (Mpps); через час, не добившись успеха, дидосеры отступили. Еще одну такую же атаку Incapsula отразила 28 февраля; это был более мощный удар — свыше 350 Гбит/с и 30 Mpps на пике.

Категории: DoS-атаки, Аналитика, Главное