Siber güvenlik şirketi Imperva Cuma günü yaptığı açıklamada, son zamanlarda saniyede 2,5 milyon istek (RPS) ile zirveye ulaşan isimsiz bir web sitesini hedef alan bir fidye dağıtılmış hizmet reddi (DDoS) saldırısını azalttığını söyledi.
Imperva güvenlik analisti Nelli Klepfish, “Fidye DDoS saldırıları yeni olmasa da, zamanla ve her yeni aşamada gelişiyor ve daha ilginç hale geliyor gibi görünüyor,” dedi. dedim. “Örneğin, fidye notunun bir URL isteğine yerleştirilmiş saldırının kendisine dahil edildiği durumlar gördük.”
Saldırıların en büyük kaynakları Endonezya’dan gelirken, onu ABD, Çin, Brezilya, Hindistan, Kolombiya, Rusya, Tayland, Meksika ve Arjantin izliyor.
Dağıtılmış hizmet reddi (DDoS) saldırıları, botnet olarak bilinen bağlı çevrimiçi cihazlardan oluşan bir ordunun, bir hedef web sitesini sahte trafikle boğmak için kullanıldığı hizmet reddi (DoS) saldırılarının bir alt kategorisidir. meşru kullanıcılar tarafından kullanılamaz hale getirmek için.
Kaliforniya merkezli şirket, etkilenen varlığın DDoS saldırılarının bir parçası olarak dahil olmak üzere birden fazla fidye notu aldığını ve şirketin çevrimiçi kalmak ve “yüz milyonlarca piyasa değeri” kaybetmemek için bir bitcoin ödemesi yapmasını talep ettiğini söyledi.
İlginç bir şekilde, saldırganlar kendilerine, bu Ocak ayının başlarında bir dizi operatörünün Rus kolluk kuvvetleri tarafından tutuklanmasının ardından büyük bir gerileme yaşayan kötü şöhretli bir hizmet olarak fidye yazılımı karteli REvil diyorlar.
Klepfish, “Ancak tehditlerin gerçekten orijinal REvil grubu tarafından mı yoksa bir sahtekar tarafından mı yapıldığı belli değil,” dedi.
Saldırı kökenleri |
2.5 milyon RPS saldırısının bir dakikadan az sürdüğü ve aynı şirket tarafından işletilen kardeş sitelerden birinin, olası hafifletmeyi önlemek için kullanılan taktikler sürekli olarak değiştirilmesine rağmen yaklaşık 10 dakika süren benzer bir saldırıyı sürdürdüğü söyleniyor.
Imperva tarafından toplanan kanıtlar, Mikrotik yönlendiricilerde şu anda adreslenen bir güvenlik açığından yararlanmaya devam eden Mēris botnet’ten kaynaklanan DDoS saldırılarına işaret ediyor (CVE-2018-14847) Yandex dahil hedefleri vurmak için.
Klepfish, “Tehdit aktörlerinin peşinde olduğu site türleri, satış ve iletişime odaklanan iş siteleri gibi görünüyor.” Dedi. “Hedefler ABD veya Avrupa merkezli olma eğilimindedir ve hepsinin ortak noktası, hepsinin borsada işlem gören şirketler olması ve tehdit aktörlerinin, bir DDoS saldırısının yapabileceği potansiyel zarara atıfta bulunarak bunu kendi avantajlarına kullanmasıdır. şirket hisse senedi fiyatı.”
Bulgular, kötü niyetli aktörlerin, bankacılık, seyahat, oyun, medya ve web barındırma sektörlerini sahte trafik seliyle vurmak için vahşi doğada ilk kez TCP Middlebox Reflection adlı yeni bir amplifikasyon tekniğini silahlandırdığı tespit edildiğinde ortaya çıktı.
Fidye DDoS saldırısı aynı zamanda Imperva’nın yılın başından bu yana engellediği ikinci botnet ile ilgili aktivite.
Güvenlik firması, “Saldırgan, iş arayanların profillerini toplamak amacıyla dört gün boyunca yaklaşık 400.000 benzersiz IP adresinden en az 400 milyon bot isteği üreten büyük ölçekli bir botnet kullandı” dedi. dedim.