V několika posledních dnech se do e-mailových schránek různých společností začaly šířit zprávy vyhrožující „DDDoS“ útokem. Autoři této výhružné zprávy požadují od uživatelů zaplacení 0,17 bitcoinu (asi 2400 Kč podle aktuálního kurzu) za to, že na danou síť nezaútočí.
Text vyděračského mailu
Tyto hrozby jsou zasílány převážně na společnosti, které mají minimálně vlastní webové stránky. E-maily jsou zasílány ve vlnách a zatím nevíme o konkrétním schématu pro výběr příjemců zpráv,
řekla nám Zuzana Duračinská, bezpečnostní analytička sdružení CZ.NIC, které provozuje Národní bezpečnostní tým CSIRT.CZ. Využívány jsou pravděpodobně sesbírané e-mailové adresy, protože hrozby míří na konkrétní uživatelské adresy a ne na náhodně generované.
Známá značka Anonymous je v tomto případě pravděpodobně jen zneužívána, protože tato skupina se zaměřuje na hacktivismus a ne na vyděračské internetové aktivity. Názvy těchto skupin slouží často jako ‚brand‘ a vzhledem k jejich neorganizované oficiální struktuře není možné zjistit, zda se za hrozbou skutečně nacházejí oni nebo jde o zneužití jejich jména,
vysvětluje Duračinská.
Neplaťte
Bezpečnostní experti doporučují na podobné výzvy neodpovídat a rozhodně útočníkům neplatit, byť jde o poměrně nízké částky. Vzhledem k tomu, že všem je zasílán stejný text se stejnou adresou bitcoinové peněženky, párování plateb s odesílateli je v mnoha případech nemožné.
I když tedy uživatel zaplatí, nikdy nemá jistotu, že bude jeho platba skutečně spárovaná a vyhne se potenciálnímu útoku. Platby se neodporučují i z důvodů finanční podpory další činnosti útočníků,
říká Duračinská.
Podle odborníků z Národního bezpečnostního týmu CSIRT.CZ je lepší se na případný útok připravit technicky. O každé vlně těchto hrozeb, o kterých se dozvíme, informujeme i prostřednictvím svých stránek. Snažíme se zároveň zjistit, nakolik jsou hrozby reálné a zda má útočník skutečně dostatek zdrojů pro vykonání útoku.
V případě hrozby útokem je vhodné včas informovat poskytovatele hostingu a případně dočasně nejkritičtější služby přesunout na jiné IP adresy. V současnosti má většina hostingů přístup ke službám scrubbingových center, které případný provoz od útoku odfiltrují.
Útočníci tak dnes potřebují shromáždit výrazně větší sílu než v minulosti.
Není to poprvé
Podobných výhrůžek v posledních měsících přibývá, nejsou ale ničím novým. Přibližně před rokem probíhala podobná kampaň pod hlavičkou skupiny Armada Collective. Podle Martina Žídka, technického ředitele datacentra Master Internet, byla tehdy hrozba reálná. Setkali jsme se s výhrůžkami a požadavky zaplacení pomocí bitcoinů,
vysvětluje Žídek. Zákazník nezaplatil a útok skutečně přišel, ale nebyl zdaleka tak dramatický, jak se předpokládalo. Byl dost amatérsky udělaný a bylo možné jej snadno odfiltrovat pomocí statických filtrů.
Podle Žídka je těžké dát obecnou radu, jak se zachovat v případě vydírání. Já jsem pro nezaplacení a tady jsme to riskovali a vyšlo to. Ale je to tím, že v rámci této konkrétní kampaně nebylo riziko nijak vysoké, což jsme však předem nemohli vědět.
Zmiňuje také, že požadovaná částka v bitcoinech nebyla zrovna malá – začínala na 20 BTC, tedy asi 200 000 Kč. Detailní rozbor této vyděračské kampaně naleznete ve zprávě Radware.
Text mailu tehdy vypadal takto:
From: Armada Collective [mailto:armadacollective@openmailbox.org] Sent: Friday, October 09, 2015 5:11 PM To: xxxx Subject: RANSOM REQUEST: DDoS ATTACK FORWARD THIS MAIL TO WHOEVER IS IMPORTANT IN YOUR COMPANY AND CAN MAKE DECISION! We are Armada Collective. All your servers will be DDoS-ed starting Monday if you don't pay 20 Bitcoins @ 18jUnzQKhTUiPVepLk7NRBD5gC2so1RXPc When we say all, we mean all - users will not be able to access sites host with you at all. Right now we will start 15 minutes attack on your site's IP. It will not be hard, we will not crash it at the moment to try to minimize eventual damage, which we want to avoid at this moment. It's just to prove that this is not a hoax. Check your logs! If you don't pay by Monday, attack will start, price to stop will increase to 40 BTC and will go up 20 BTC for every day of attack. If you report this to media and try to get some free publicity by using our name, instead of paying, attack will start permanently and will last for a long time. This is not a joke. Our attacks are extremely powerful - sometimes over 1 Tbps per second. So, no cheap protection will help. Prevent it all with just 20 BTC @ 18jUnzQKhTUiPVepLk7NRBD5gC2so1RXPc DO not reply, we will probably not read. Pay and we will know its you. AND YOU WILL NEVER AGAIN HEAR FROM US! BItcoin is anonymous, nobody will ever know you cooperated.
Aktivitu této skupiny potvrzuje i Zuzana Duračinská. Armada Collective je doposud asi nejaktivnější seskupení, které využívalo hrozbu DDoS útoku. Mělo reálnou sílu a dokázalo pomocí botnetů vygenerovat poměrně silný útok.
V lednu 2016 proběhlo zatčení členů této skupiny. Jejich „značka“ se ale objevuje nadále. Hrozby od Armada Collective se objevily znovu, ale pokud víme, nepodařilo se jim vygenerovat dostatečnou sílu útoku.
ČLÁNKY DO MAILU