Аналитики Fortinet обнаружили новый сервис для аренды DDoS-мощностей. Создатели платформы 0x-booter, объединяющей в себе код сразу нескольких известных вредоносов, просят $20 за 15-минутную атаку и утверждают, что под их контролем находятся десятки тысяч ботов.

По словам экспертов, сервис использует ресурсы одного из наследников Mirai — Bushido. Среди своих конкурентов Bushido выделяется потенциалом — он сканирует почти три десятка портов и использует широкий набор эксплойтов.

Так, зловред способен обходить системы аутентификации, проводить инъекции стороннего кода и брать под контроль значительную часть современных роутеров. Кроме того, Bushido имеет большую по сравнению с Mirai базу логинов и паролей для брутфорса, а также умеет находить на зараженных устройствах конкурирующие программы и завершать их работу.

Помимо прочего 0x-booter позаимствовал у Bushido три новых метода атаки, которых не было у Mirai. Функция attack_method_std позволяет ему отправлять жертве пакеты со случайной полезной нагрузкой размером в 1024 байт. Опция attack_method_tcpxmas («рождественская елка TCP») посылает TCP-пакеты с максимальным количеством проставленных флагов, быстро перегружая канал передачи. Эксперты отмечают, что такие же возможности были у Owari — еще одного ботнета, исходный код которого недавно появился на хакерских сайтах.

Доступ к 0x-booter организован через веб-интерфейс, где клиенты могут выбрать тип атаки, настроить ее мощность и длительность. Это позволяет заказчику и оператору ботнета избежать прямого контакта. Специалисты определили, что код сайта основан на онлайн-сервисе Ninjaboot — его исходники также можно найти на подпольных форумах.

Операторы платформы заявляют, что под их контролем находятся 20 тыс. ботов, которые обеспечивают мощность DDoS свыше 500 Гбит/с. Для сравнения, в конце 2017 года эксперты оценили силу средней DDoS-атаки в 675 Мбит/с.

Впрочем, ИБ-специалисты не нашли подтверждения предоставленных злоумышленниками сведений. По данным экспертов, ботнет объединяет около 17 тыс. хостов с потоком трафика менее 425 Гбит/с. Журналисты Bleeping Computer сообщили о еще более скромных цифрах — 8 тыс. ботов и 396 Гбит/с.

По информации аналитиков, на счету 0x-booter уже более 300 кампаний, причем в пиковые дни платформа обеспечивала по 50 атак. В последнее время эти цифры снизились до 11–35 инцидентов в день. Журналисты подсчитали, что по минимальным расценкам такая активность могла принести операторам $6000 — при том, что на рынок они вышли только в середине октября.

Появление 0x-booter соответствует общей тенденции развития DDoS-сетей в 2018 году — по информации «Лаборатории Касперского», преступники все чаще создают платформы на основе нескольких ботнетов. Эксперты объясняют это эффективными действиями правоохранительных органов, которые научились быстро останавливать вредоносные кампании.

Категории: DoS-атаки