Специалисты компании Recorded Future сообщают: у хакерской группы Armada Collective, зарабатывающей на жизнь вымогательством, появились последователи. Точно известно, что группа DD4BC (DDoS «4» Bitcoin) тоже наживается на DDoS-атаках и требует выкуп за их прекращение. Однако DD4BC не единственные, кто понял всю перспективность данной тактики.
Эксперты Recorded Future пишут, что за последний год жертвами хакерской группы DD4BC стал ряд компаний, преимущественно в финансовом секторе. Злоумышленники действуют точно так же, как ранее делали Armada Collective: инициируют DDoS-атаку на предприятие и требуют от жертвы выкуп за прекращение атаки. В качестве предупреждения DD4BC, как правило, используют слабую атаку, мощностью порядка 10-15 Гбит/с. Она длится всего несколько минут.
Ранее группа DD4BC уже попадала на радары компании Akamai. Исследование, датированное сентябрем текущего года, гласит, что за период с сентября 2014 года по август 2015 года хакеры осуществили 141 атаку против компаний в Северной Америке, Европе, Азии и Австралии. По данным Akamai, самая серьезная атака DD4BC достигла мощности 56 Гбит/с, тогда против цели использовали NTP (22%), SSDP (15%), UDP (15%) и SYN (13%) флуд.
Средняя мощность DDoS-атаки DD4BC составляет 13,34 Гбит/с, хотя хакеры заявляют, что им доступны мощности до 400-500 Гбит/с. Также специалисты Akami подсчитали, что в среднем злоумышленники требуют у своих жертв от 25 ($6000) до 100 ($24000) биткоинов. Если компания не хочет платить, хакеры угрожают атакой на страницы в социальных сетях и угрожают скомпрометировать бренд вообще.
Тогда как из отчета Akamai было ясно, что киберспреступники активно наращивают обороты, то отчет Recorded Future свидетельствует о том, что DD4BC испугались быть пойманными. Более того, эксперты считают, что после недавней кампании против почтового сервиса ProtonMail, родоначальник такого рода атак — группа Armada Collective опасается того же.
Атака на ProtonMail произошла в начале ноября 2015 года и значительно превосходила по мощности все предыдущие DDoS-атаки, исполненные группами Armada Collective и DD4BC. Хотя хакеры действовали от имени Armada Collective, позже с сотрудниками ProtonMail связался неизвестный, заявивший о непричастности группы к данному инциденту. Аноним уверял, что он представляет настоящих хакеров Armada Collective. Сами сотрудники ProtonMail тоже подозревают, что стали жертвой какой-то серьезной хакерской команды, спонсируемой правительством. Компания даже попыталась заплатить выкуп, но хакеры из настоящей Armada Collective вернули почтовому сервису деньги и продолжили отрицать свою причастность к происходящему.
Исходя из этих данных, специалисты Recorded Future предполагают, что другие группы уже взяли тактику на вооружение и активно копируют «стиль» Armada Collective и DD4BC. Яркий пример — недавняя атака на греческие банки, якобы тоже произведенная группой Armada Collective. В Recorded Future уверены, что за этим инцидентом стояли совсем другие люди. В частности, хакеры потребовали огромный выкуп (7,2 млн долларов с каждого из трех банков), что совсем непохоже на поведение известных экспертам группировок.
Специалисты Recorded Future также отмечают явный рост интереса к механизмам проведения DDoS-атак в даркнете. Скрипт кидди со всего мира осознали, что кибервымогательство посредством DDoS-атак, это очень перспективное и, главное, простое в освоении направление. Исследователи Recorded Future полагают, что в ближайшем будущем стоит ожидать появления еще большего числа подражателей.