Специалисты ИБ-компании Imperva сообщили, что недавно им удалось справиться с вымогательской DDoS-атакой, нацеленной на неназванный сайт, мощность которой в пике достигла 2,5 млн запросов в секунду.
«Хотя вымогательские DDoS-атаки не новы, они развиваются и со временем становятся все более интересными, на каждом следующем этапе их эволюции, — пишут аналитики компании. — Например, мы наблюдали случаи, когда требование о выкупе встраивалось прямо в запрос URL».
Исследователи рассказывают, что неназванная организация пострадавшая от вышеупомянутой атаки, получила несколько записок с требованием выкупа, в том числе интегрированных в состав самой атаки. Злоумышленники хотели, чтобы компания произвела платеж в биткойнах, в противном случае угрожая увести ее в офлайн, из-за чего жертва теряла бы «сотни миллионов рыночной капитализации».
При этом злоумышленники называли себя REvil, то есть именем печально известной вымогательской группы, деятельность которой была прекращена правоохранителями в начале текущего года.
«Неясно, действительно ли угрозы исходили от оригинальной хак-группы REvil или от самозванца», — аккуратно отмечает Imperva.
Сообщается, что атака с 2,5 млн запросов в секунду длилась менее минуты, при этом один из дочерних сайтов, управляемых той же компанией-жертвой, подвергся аналогичной атаке, которая длилась уже около 10 минут и постоянно меняла векторы, чтобы предотвратить возможное смягчение.
Imperva считает, что атака исходила от нашумевшего ранее ботнета Mēris, который продолжает использовать уже исправленную уязвимость в маршрутизаторах Mikrotik (CVE-2018-14847) для своих операций.
Основным источником атаки была Индонезия, за которой следуют США, Китай, Бразилия, Индия, Колумбия, Россия, Таиланд, Мексика и Аргентина.
«Типы сайтов, за которыми охотятся злоумышленники, представляют собой бизнес-сайты, посвященные продажам и коммуникациям, — рассказывают специалисты. — Цели, как правило, базируются в США или странах Европы, и у них есть одна общая черта: все они являются зарегистрированными на бирже компаниями, и злоумышленники используют это факт в своих интересах, ссылаясь на потенциальный ущерб, который атака может нанести цене акций компании».