• XSS.stack #1 – первый литературный журнал от юзеров форума

Встречайте Meris, новый 250-тысячный ботнет DDoS, терроризирующий Интернет

Отслеживать
Kelegen

Kelegen

TOXIC
КИДАЛА
Регистрация
17.08.2021
Сообщения
853
Реакции
481
Пожалуйста, обратите внимание, что пользователь заблокирован
  • Российская охранная компания Qrator Labs обнаружила Meris, новый массовый ботнет Интернета вещей, используемый для DDoS-атак. Qrator оценивает размер ботнета примерно в 250 000 зараженных устройств, в основном от латвийского производителя MikroTik.
  • Ботнет Meris этим летом дважды побил рекорд по крупнейшей объемной DDoS-атаке.
  • Его последняя атака достигла пика в 21,8 миллиона запросов в секунду и была нацелена на инфраструктуру хостинга российского банка на серверах Яндекса.
  • Новый ботнет, состоящий из примерно 250 000 зараженных вредоносным ПО устройств, стоял за некоторыми из крупнейших DDoS-атак за лето, побив рекорд крупнейшей объемной DDoS-атаки дважды, один раз в июне, а затем в этом месяце.

    Названный Mēris, латышское слово означает «чума», ботнет в основном использовался в рамках кампании вымогательства DDoS против интернет-провайдеров и финансовых организаций в нескольких странах, таких как Россия, Великобритания, США и Новая Зеландия.

    Группа, стоящая за ботнетом, обычно отправляет опасные электронные письма крупным компаниям с просьбой о выкупе. Электронные письма, которые нацелены на компании с обширной онлайн-инфраструктурой и которые не могут позволить себе простои, содержат угрозы отключить важные серверы, если группе не будет выплачено определенное количество криптовалюты к установленному сроку.

    Если жертвы не платят, хакеры вначале запускают свои бот-сети в более мелкие атаки, которые со временем существенно увеличиваются в размерах, чтобы оказать давление на жертв.​

Мерис - «ботнет нового типа»

Qrator Labs, российская служба защиты от DDoS-атак, описала Meris как «ботнет нового типа» в опубликованном сегодня блоге после серии атак на российские компании.

«За последние пару недель мы стали свидетелями разрушительных атак на Новую Зеландию, США и Россию, которые мы все приписываем этому виду ботнетов», - заявили сегодня исследователи компании.

«[Meris] может перегрузить практически любую инфраструктуру, включая некоторые высоконадежные сети. Все это связано с огромной мощностью RPS, которую он приносит », - заявила компания, где RPS означает количество запросов в секунду, один из двух способов измерения размера DDoS-атак [другой - Гбит / с, гигабайты в секунду].

Причина, по которой Qrator Labs называет Meris единственной в своем роде, заключается в том, что до этого лета большинство DDoS-атак на основе RPS были очень редкими и не наблюдались в таком масштабе в течение последних пяти лет.

Большинство ботнетов обычно настроены на передачу как можно большего количества нежелательного трафика на цель в классических «атаках на полосу пропускания», которые измеряются в Гбит / с.

Атаки RPS, называемые объемными или DDoS-атаками на уровне приложений, отличаются, поскольку злоумышленники сосредотачиваются на отправке запросов на целевой сервер, чтобы перегружать его ЦП и память. Вместо того, чтобы забивать пропускную способность нежелательным трафиком, объемные атаки фокусируются на захвате ресурсов серверов и, в конечном итоге, их сбое.

«За последние пять лет практически не было атак глобального масштаба на уровне приложений», - сказал Qrator.

Ботнет дважды бьет рекорды DDoS

Но все изменилось этим летом с появлением Meris, который был построен на модифицированной версии старого вредоносного ПО Mirai DDoS, согласно компании Cloudflare, занимающейся интернет-инфраструктурой, которой также приходилось иметь дело с некоторыми из своих атак.

Но вместо того, чтобы сосредоточиться на атаках с пропускной способностью, как большинство вариантов Mirai, Мерис сосредоточился на модулях, специализирующихся на запуске объемных атак, и, по-видимому, они нашли золотую середину.

После недавних атак Meris дважды побила рекорд по объему самой крупной DDoS-атаки. Он сделал это в первый раз ранее этим летом, в июне, когда стоял за крупной DDoS-атакой на 17,2 миллиона RPS, которая, по словам Cloudflare, поразила американскую финансовую компанию, перед которой стояла неприятная задача смягчить эту конкретную атаку.

Сегодня Qrator Labs заявила, что Meris снова превзошла сама себя во время атаки, произошедшей в воскресенье, 5 сентября, которая достигла еще более крупного рубежа - 21,8 миллиона запросов в секунду.

1631226513400.png



Qrator заявил, что работал с Яндексом, чтобы смягчить атаку, которая, по всей видимости, поражала серверы Яндекса. Но источник, причастный к инциденту, сообщил The Record, что целью атаки на самом деле был российский банк, который держал свой портал электронного банкинга на облачном хостинге Яндекса.

Ботнет в основном состоит из скомпрометированных устройств MikroTik.

Qrator сообщает, что после анализа источника большей части трафика атак большая часть его вернулась к устройствам MikroTik, небольшой латвийской компании, которая продает сетевое оборудование, такое как маршрутизаторы, шлюзы IoT, точки доступа Wi-Fi, коммутаторы и оборудование для мобильных сетей.

Компания заявила, что не смогла определить, обнаружил ли злоумышленник и применил оружие нулевого дня в программном обеспечении MikroTik, или они просто пережили прошлые эксплойты.

Тем не менее, похоже, что наступает «нулевой день», просто из-за большого количества устройств MikroTik, которые, по-видимому, были порабощены гигантской сеткой Месира, насчитывающей 250 000 человек.

Представитель MikroTik не ответил на запрос о комментарии относительно отчета Qrator.

Но помимо отражения объемных (на уровне приложений) DDoS-атак, Meris также выделяется своими размерами. В последние годы DDoS-ботнеты редко достигают 50 000 зараженных устройств.

Это произошло потому, что код нескольких вредоносных программ DDoS был опубликован в Интернете много лет назад, в том числе Mirai, и этот код широко использовался для создания множества ботнетов, которые в конечном итоге боролись друг с другом из-за ограниченного числа устройств, которые они могли заразить, с очень немногими. ботнеты достигли даже небольших цифр в 15 000 за последние несколько лет, не говоря уже о цифре 250 000, невиданной с конца 2018 года.

В целом, то, что операторы Meris достигли за последние несколько месяцев, можно считать впечатляющим с технической точки зрения, но мы также говорим о банде киберпреступников, поэтому ожидайте длинный список технических сбоев в ближайшие месяцы, поскольку Операторы Meris продолжают использовать свою новую игрушку для вымогательства и DDoS-атак.


Источник: https://therecord.media/meet-meris-the-new-250000-strong-ddos-botnet-terrorizing-the-internet/
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Хозяин ботнета, если ты это читаешь, свяжись со мной.
 
Пожалуйста, обратите внимание, что пользователь заблокирован

Компания «Яндекс» поделилась подробностями крупнейшей DDoS-атаки в истории рунета



Вчера СМИ сообщали, что компания «Яндекс» подверглась мощной DDoS-атаке, за которой стоял неназванный новый ботнет. Атаку называли крупнейшей в истории рунета, однако никаких подробностей известно не было.

Сегодня представители «Яндекса» и Qrator Labs опубликовали большую статью на «Хабре», в которой поделились деталями случившегося: оказалось, мощность атаки составляла более 20 млн запросов в секунду, и за ней стоял ботнет Mēris.

Специалисты компаний отмечают, что атака была не только крупнейшей в рунете, но и поставила новый рекорд среди всех DDoS-атак в целом. Дело в том, что еще недавно крупнейшей атакой в истории считался DDoS мощностью 17,2 млн запросов в секунду, который летом текущего года отразила компания Cloudflare.

«Атаки продолжаются уже несколько недель, их масштабы беспрецедентны, а их источник – новый ботнет, о котором пока мало что известно», — рассказывают в «Яндексе».

В настоящее время статистика роста масштаба атак на «Яндекс» такова:


  • 7 августа – 5,2 млн RPS (Requests Per Second, запросов в секунду);
  • 9 августа – 6,5 млн RPS;
  • 29 августа – 9,6 млн RPS;
  • 31 августа – 10,9 млн RPS;
  • 5 сентября – 21,8 млн RPS.

Ботнет Mēris был замечен в июле 2021 года, и изначально специалисты Qrator Labs наблюдали 30 000 зараженных хостов, тогда как в «Яндексе» собрали данные о 56 000 атакующих устройств. Однако предполагается, что на самом деле количество ботов превышает 200 000.


«Полная сила ботнета не видна из-за ротации устройств и отсутствия у атакующих желания показывать всю имеющуюся мощность. Более того, устройства в ботнете являются высокопроизводительными, а не типичными девайсами «интернета вещей», подключенными к сети Wi-Fi. С наибольшей вероятностью ботнет состоит из девайсов, подключенных через Ethernet-соединение, – в основном, сетевых устройств», — гласит отчет компаний.

Хотя многие полагают, что новый ботнет связан с известной IoT-малварью Mirai, эксперты говорят, что у них пока не было возможности изучить образец вредоносного кода, и они не готовы утверждать, что ботнет относится именно к семейству Mirai. Пока исследователи вообще уверены в обратном, поскольку «устройства, объединенные под единым командным центром, похоже, относятся только к производителю Mikrotik». При этом специалисты еще не знают, какие именно уязвимости приводят к тому, что устройства латвийской компании Mikrotik подвергаются настолько крупномасштабным атакам.


«Это и есть причина, по которой мы хотели дать другое имя новому ботнету, работающему под еще не пойманным командным центром. Мы выбрали Mēris – по-латышски “чума”. Такое название кажется уместным и относительно близким к Mirai по произношению», — объясняют эксперты.

Среди наиболее ярких особенностей нового ботнета исследователи перечисляют следующие:


  • использование конвейерной обработки (pipelining в HTTP/1.1) для организации DDoS-атак (подтверждено);
  • атаки ориентированы на эксплуатацию RPS (подтверждено);
  • открытый порт 5678 (подтверждено);
  • SOCKS4-прокси на зараженном устройстве (не подтверждено, хотя известно, что устройства Mikrotik используютSOCKS4).

Известно, что ботнет по-прежнему продолжает расти. Эксперты «Яндекса» и Qrator Labs полагают, что проблема не просто в какой-то старой уязвимости в устройствах Mikrotik. Дело в том, что текущее распределение по версиям RouterOS в ботнете указывает, что заражены многие девайсы, использующие ОС последних трех лет – вплоть до последней, стабильной версии. Наибольшая доля приходится и вовсе на предпоследнюю версию.




Также исследователи говорят, что Mēris может разрастаться за счет брутфорса, хотя этот вариант не является основным. Ситуация скорее указывает на то, что некая уязвимость в оборудовании Mikrotik либо хранилась в секрете до начала этой полномасштабной кампании, либо была продана на черном рынке.

Интересно, что упомянутую выше атаку, мощностью 17,2 млн запросов в секунду, зарегистрированную Cloudflare, тоже приписывают ботнету Mēris. В «Яндексе» наблюдали схожую картину по продолжительности и распределению стран-источников.




То же относится и недавними DDoS-атаками в Новой Зеландии, из-за которых в стране местами перестал работать интернет, возникли проблемы у банков, почтовых отделений и так далее.

«В настоящий момент он [ботнет] может перегрузить практически любую сетевую инфраструктуру, включая некоторые сети высокой надежности, специально созданные, чтобы выдерживать подобную нагрузку. Главный признак ботнета – чудовищный показатель RPS», — предупреждают эксперты.
Представители «Яндекса» подчеркивают, что компания благополучно справилась с рекордным DDoS’ом. «Атака не повлияла на работу сервисов, и данные пользователей не пострадали», — уверяют в компании.

Сообщается, что в настоящее время компании уже сотрудничают с Mikrotik и пытаются вместе «избавиться от пандемии этой “чумы”». При этом в статье отмечается, что черные списки все еще работают, и в целом справляться с чудовищными атаками ботнета пока удается (хотя и не всем):

«Поскольку в этих атаках не происходит подмены IP-адреса источника (нет спуфинга, как мы уже упомянули), каждая жертва видит источник атаки таким, какой он есть на самом деле. Блокировки на короткий промежуток времени должно быть достаточно, чтобы предотвратить атаку и не побеспокоить конечного пользователя.
Неясно, как владельцы ботнета будут действовать в будущем. Они могут воспользоваться скомпрометированными устройствами полностью, в попытке использовать 100% доступной мощности (и по пропускной, и по вычислительной способности). Тогда не останется другого способа, кроме как блокировать каждый запрос, следующий за первым от одного источника, предотвращая обработку запросов в пайплайне.
Если на целевом сервере отсутствует защита от DDoS-атак, то не только конвейерная обработка запросов может стать катастрофой, поскольку злоумышленнику потребуется гораздо меньше "рабочей силы", чтобы заполнить порог RPS жертвы. Оказалось, очень многие не были готовы к подобному сценарию».


Источник: https://xakep.ru/2021/09/09/meris/
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Пожалуйста, обратите внимание, что пользователь заблокирован
Kelegen сказал(а):
Источник: https://therecord.media/meet-meris-the-new-250000-strong-ddos-botnet-terrorizing-the-internet/
whatspoppin сказал(а):

Meet Meris, the new 250,000-strong DDoS botnet terrorizing the internet

A new botnet consisting of an estimated 250,000 malware-infected devices has been behind some of the biggest DDoS attacks over the summer, breaking the record for the largest volumetric DDoS attack twice, once in June and again this month.
therecord.media
whatspoppin сказал(а):
Was just sharing extra information ?
bro( it's flood...
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх