Сайт Emsisoft подвергся DDoS атаке после выпуска расшифровщика

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,492
Реакции
8,879
Баллы
753
На прошлой неделе, две компании, Dr.Web и Emsisoft, пострадали от DDoS-атак. Кибер-преступники пытались положить их веб-сайты в качестве мести за вмешательство в их незаконную деятельность.

Первому удару в минувшие выходные подверглась российская компания Dr.Web, DDoS-атаки ненадолго вывели из строя российские и украинские домены (drweb.ru & drweb.ua).

По данным компании входящие каналы сервера, обслуживающего сайты, оказались «забиты» миллионами пакетов с запросом на установку соединения, поступающими с поддельными адресами отправителя (такая разновидность сетевых атак называется SYN-flood). Эти запросы поступали со скоростью от 200 000 до 500 000 пакетов в секунду в течение 2 дней, пока инженеры компании не смогли справиться с ситуацией и восстановить полный спектр услуг для своих серверов.

DDoS-атака началась 25 января, на следующий день после опубликованных исследований об обнаружении ботнета из нескольких тысяч зараженных устройств под управлением Linux, который мошенники использовали для трансляции злонамеренного трафика и сокрытия своих IP - адресов.

Emsisoft подвергся DDoS-атаке в минувшие выходные

Через три дня, в субботу, 28 января, Emsisoft постигла та же участь, когда атаке подвергся раздел портала компании, где Emsisoft размещала расшифровщики файлов, зашифрованных троянами-вымогателями.

Похоже, кто-то дидосит наш сайт с декрипторами. Совпадает по времени с появлением MRCR-разработчиков на наших форумах. Думаю, я кого-то снова разозлил. ¯ \ _ (ツ) _ / ¯

- Fabian Wosar (@fwosar) 28 января 2017

Обращаясь к Bleeping Computer, технический директор Emsisoft Fabian Wosar заявил, что атака идет с частотой примерно в 80 Гбит/с, а оборона держится просто отлично, без ограничения доступа к веб-сайту.

"Они не смогли уронить сайт", - сказал Wosar. "По данным нашего провайдера это была небольшая атака около 80 Гбит."

За атакой стоит автор MRCR-вымогателя
Wosar также добавил: "Последняя [DDoS атака] была почти определенно связана с MRCR, потому что она совпала со временем, когда автор вредоносной программы появился на наших форумах."

MRCR это сокращенное название для Рождественских (или Merry X-Mas) вымогателей, которые выстрелили в начале года, и для которых Emsisoft выпустил расшифровку.

В субботу, компания выпустила обновление для MRCR Decrypter, нацеленного на последнюю версию вымогателя. Спустя несколько мгновений началась DDoS-атака.

"Сама же атака началась в субботу около 10:00 CET, атаке подвергался сайт декрипторов, инфраструктура нашей электронной почты и портал самопомощи, - сказал Wosar, - это продолжалось около 8 часов."

Подозрения Wosar'а в том, что автор MRCR был связан с DDoS были подтверждены через несколько часов, когда человек, используя ник COMODO Security, зарегистрировался на форуме Emsisoft и нелепо обвинил компанию в том, что декрипторы устанавливают на компьютеры пользователей вымогателей.

В своем послании, этот человек указывал один из адресов электронной почты, по которому пользователи, подвергшиеся заражению MRCR-вымогателя должны были войти в контакт со злоумышленниками, чтобы обсудить подробности об оплате выкупа.



По словам Wosar, это был не первый раз, когда портал компании был подвержен DDoS.

"У нас было побольше всего пару недель назад - 640 Gbps," - сказал он.

Исследователь Emsisoft никогда бы не узнал, кто стоит за этими атаками, но именно в то время он выпустил три декриптора в течение очень короткого периода.

Точнее, одна из атак произошла 2-го декабря, вскоре после того, как Emsisoft выпустила бесплатный декриптор для вымогателей NMoreira.

Специалисты кибербезопасности уже подвергались атакам в прошлом

"Это не первый раз, когда антивирусные компании пострадали от DDoS-атак," - сообщил Andy Shoemaker, основатель и генеральный директор NimbusDDoS, компании DDOS-моделирования и тестирования сервисов, - так же, как и Dr.Web, Emsisoft, Лаборатория Касперского тоже пострадала от DDoS-атак в прошлом, после расследования вредоносных кампаний."

Другой случай - знаменитый журналист Brian Krebs, который был целью нескольких крупных DDoS-атак осенью 2016 года, после разоблачения кампании "DDoS на прокат" под названием vDos.

Emsisoft Website Hit by DDoS Attack as Company Releases Ransomware Decrypter
 
  • Like
Реакции: akok
Сверху Снизу