Издание ZDNet сообщает, что на прошлой неделе более десятка европейских интернет-провайдеров подверглись вымогательским DDoS-атаками, нацеленным на их DNS-инфраструктуру. Среди пострадавших числятся: бельгийский EDP, французские Bouygues Télécom, FDN, K-net, SFR и нидерландские Caiway, Delta, FreedomNet, Online.nl, Signet и Tweak.nl.
Все атаки длились не более суток, и в итоге с ними удалось справиться, хотя у многих провайдеров были зафиксированы перебои в работе, пока DDoS был активен.
Представители некоммерческой организации NBIP, основанной голландскими интернет-провайдерами для борьбы с DDoS-атаками и попытками перехвата телефонных переговоров, предоставили журналистам издания дополнительную информацию об инцидентах.
«Множественные атаки были нацелены на маршрутизаторы и DNS-инфраструктуру провайдеров стран Бенилюкса. Большинство [атак] использовали DNS амплификацию и относились к типу LDAP-атак, — рассказали в NBIP. — Некоторые атаки длились более 4 часов и достигали мощности около 300 Гбит/сек».
Голландское агентство кибербезопасности (NCSC) так же подтвердило, что интернет-провайдеры страны подверглись вымогательским атакам. За прекращение DDoS злоумышленники требовали большие суммы денег в биткоинах.
ZDNet отмечает, что все атаки произошли 28 августа 2020 года, на следующий день после того, как стало известно о вымогательских DDoS-атаках на крупных поставщиков финансовых услуг. Напомню, что тогда пострадали сервис денежных переводов MoneyGram, индийский YesBank, PayPal, Braintree и Venmo. Более того, жертвой злоумышленников стала и новозеландская фондовая биржа, которая из-за атак была вынуждена несколько дня подряд приостанавливать торги.
Хотя у журналистов нет доказательств связи между этими сериями инцидентов, DDoS-атаки на поставщиков финансовых услуг прекратились сразу же после того, как начались атаки на европейских провайдеров. Кроме того, по информации собственных источников издания, за несколько недель до первой волны вымогательских DDoS-атак та же хакерская группировка атаковала нескольких интернет-провайдеров в Юго-Восточной Азии.
Некоторые эксперты считают, что недавний сбой в работе американского интернет-провайдера CenturyLink, из-за которого произошло снижение глобального трафика на 3,5%, тоже мог быть результатом DDoS-атаки. Впрочем, специалисты Cloudflare и Cisco придерживаются иного мнения и связывают инцидент с некорректным анонсом Flowspec.