Первая серия атак была нацелена на российского вендора Dr.Web. Компания признала на прошлой неделе, что атака была нацелена на российский и украинский домены (drweb.ru и drweb.ua).
Согласно данным компании, DDoS-атака продолжалась два дня и обладала мощностью от 200 000 до 500 000 запросов в секунду. Спустя двое суток инженеры компании смогли взять ситуацию под свой контроль и восстановили работоспособность сервисов.
DDoS-атака была обрушена на Dr.Web 25 января, спустя день после того, как компания опубликовала исследование, разоблачающее крупную ботнет-сеть на базе тысячи инфицированных компьютеров и устройств Linux, которые использовались злоумышленниками для передачи вредоносного трафика и скрытия IP-адресов.
Emsisoft подвергся DDoS-атаке в минувшие выходные
Спустя всего три дня, 28 января, такая же участь постигла компанию Emsisoft. DDoS-атака была нацелена не определенные разделы Интернет-портала вендора, в частности на страницы про инструменты дешифрования файлов после действия троянов-шифровальщиков.
Технический директор Emsisoft Фабиан Восар (Fabian Wosar) отметил, что атака генерировала DDOS-трафик на уровне 80 Гбит/с, но собственные системы защиты сработали хорошо, перебоев в работе основного сайта не наблюдалось.
Восар сообщил: “Киберпреступникам все же удалось нарушить работу сайта. Согласно данным нашего провайдера это была небольшая атака - примерно 80 Гбит/с. Некоторые разделы сайта какое-то время работали медленно”.
Кто стоит за атакой? Разработчик шифровальщика MRCR?
Директор Emsisoft также сказал: “Последняя DDoS-атака, скорее всего, связана с угрозой MRCR, потому что она совпала с появлением автора вредоносной программе на нашем форуме”.
MRCR - это альтернативное название трояна-вымогателя Merry Christmas (или Merry X-Mas), который появился в начале года. Компания Emsisoft разработала инструмент дешифрования файлов, зашифрованных данным шифровальщиком.
В субботу компания выпустила обновление для данного инструмента, которая позволяла восстанавливать файлы, зашифрованные новейшей версией трояна.
Спустя несколько мгновений, на сайт компании обрушилась DDoS-атака. Восар утверждает: “Сама атака стартовала в субботу около 10 часов утра (UTC+1) и была нацелена на сайт утилиты дешифрования, сайт помощи и на сервисы обработки электронной почты. Атака продолжалась около 8 часов”.
Восар подозревает автора MRCR в организации DDoS-атаки. Дело в том, что спустя несколько часов на форуме Emsisoft зарегистрировался пользователем с ником COMODO Security и сделал нелепые обвинения, что использование декриптора Emsisoft приводит к установке шифровальщиков и повреждению компьютеров пользователей.
В своем сообщении пользователь использовал один из электронных адресов, который используется MRCR для контакта с автором зловреда и обсуждения деталей оплаты.
Восар сообщает, что разделы портала с инструментами расшифровки не первый раз подвергаются DDoS-атаке: “Несколько недель назад мы столкнулись с очень крупной атакой объемом 640 Гбит/с. Вернее, это было несколько одновременных атак”.
Как раз тогда, за короткий промежуток времени, было выпущено сразу три новых инструмента дешифрования. Если быть точным, то одна из атак наблюдалась 2 декабря, почти сразу после выхода инструмента расшифровки для трояна-вымогателя NMoreira.
Прошлые атаки
Генеральный директор сервиса симуляции DDoS и тестирования NimbusDDoS Энди Шумейкер (Andy Shoemaker) говорит, что это далеко не первый раз, когда на антивирусные компании нацелены DDoS-атаки.
Также, как и в случае с Dr.Web и Emsisoft, Kaspersky Lab сталкивалась с DDoS-атаками в прошлом после раскрытия вредоносных кампаний.
Также известен случай с журналистом Infosec Брайном Кребс. Он стал целью нескольких DDoS-атак осенью 2016 года после публикации о сервисе vDos, предназначенном для заказа DDoS-атак.
По материалам Bleeping Computer
Угрозы безопасности
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО
• D-Link не будет исправлять уязвимость, которая затрагивает 60 тысяч устаревших модемов
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах