Zaplať nebo na tebe pošleme DDoS, hrozí útočníci

Petr Krčmář 5. 8. 2016

Do schránek provozovatelů českých služeb se začal šířit vyděračský mail, který vyhrožuje „DDDoS“ útokem. Odborníci na bezpečnost varují před tímto nátlakem a doporučují neplatit.

V několika posledních dnech se do e-mailových schránek různých společností začaly šířit zprávy vyhrožující „DDDoS“ útokem. Autoři této výhružné zprávy požadují od uživatelů zaplacení 0,17 bitcoinu (asi 2400 Kč podle aktuálního kurzu) za to, že na danou síť nezaútočí.

Text vyděračského mailu

Tyto hrozby jsou zasílány převážně na společnosti, které mají minimálně vlastní webové stránky. E-maily jsou zasílány ve vlnách a zatím nevíme o konkrétním schématu pro výběr příjemců zpráv, řekla nám Zuzana Duračinská, bezpečnostní analytička sdružení CZ.NIC, které provozuje Národní bezpečnostní tým CSIRT.CZ. Využívány jsou pravděpodobně sesbírané e-mailové adresy, protože hrozby míří na konkrétní uživatelské adresy a ne na náhodně generované.

Známá značka Anonymous je v tomto případě pravděpodobně jen zneužívána, protože tato skupina se zaměřuje na hacktivismus a ne na vyděračské internetové aktivity. Názvy těchto skupin slouží často jako ‚brand‘ a vzhledem k jejich neorganizované oficiální struktuře není možné zjistit, zda se za hrozbou skutečně nacházejí oni nebo jde o zneužití jejich jména, vysvětluje Duračinská.

Neplaťte

Bezpečnostní experti doporučují na podobné výzvy neodpovídat a rozhodně útočníkům neplatit, byť jde o poměrně nízké částky. Vzhledem k tomu, že všem je zasílán stejný text se stejnou adresou bitcoinové peněženky, párování plateb s odesílateli je v mnoha případech nemožné. I když tedy uživatel zaplatí, nikdy nemá jistotu, že bude jeho platba skutečně spárovaná a vyhne se potenciálnímu útoku. Platby se neodporučují i z důvodů finanční podpory další činnosti útočníků, říká Duračinská.

Podle odborníků z Národního bezpečnostního týmu CSIRT.CZ je lepší se na případný útok připravit technicky. O každé vlně těchto hrozeb, o kterých se dozvíme, informujeme i prostřednictvím svých stránek. Snažíme se zároveň zjistit, nakolik jsou hrozby reálné a zda má útočník skutečně dostatek zdrojů pro vykonání útoku. V případě hrozby útokem je vhodné včas informovat poskytovatele hostingu a případně dočasně nejkritičtější služby přesunout na jiné IP adresy. V současnosti má většina hostingů přístup ke službám scrubbingových center, které případný provoz od útoku odfiltrují. Útočníci tak dnes potřebují shromáždit výrazně větší sílu než v minulosti.

Není to poprvé

Podobných výhrůžek v posledních měsících přibývá, nejsou ale ničím novým. Přibližně před rokem probíhala podobná kampaň pod hlavičkou skupiny Armada Collective. Podle Martina Žídka, technického ředitele datacentra Master Internet, byla tehdy hrozba reálná. Setkali jsme se s výhrůžkami a požadavky zaplacení pomocí bitcoinů, vysvětluje Žídek. Zákazník nezaplatil a útok skutečně přišel, ale nebyl zdaleka tak dramatický, jak se předpokládalo. Byl dost amatérsky udělaný a bylo možné jej snadno odfiltrovat pomocí statických filtrů.

Podle Žídka je těžké dát obecnou radu, jak se zachovat v případě vydírání. Já jsem pro nezaplacení a tady jsme to riskovali a vyšlo to. Ale je to tím, že v rámci této konkrétní kampaně nebylo riziko nijak vysoké, což jsme však předem nemohli vědět. Zmiňuje také, že požadovaná částka v bitcoinech nebyla zrovna malá – začínala na 20 BTC, tedy asi 200 000 Kč. Detailní rozbor této vyděračské kampaně naleznete ve zprávě Radware.

widgety

Text mailu tehdy vypadal takto:

From: Armada Collective [mailto:armadacollective@openmailbox.org]
Sent: Friday, October 09, 2015 5:11 PM
To: xxxx
Subject: RANSOM REQUEST: DDoS ATTACK

FORWARD THIS MAIL TO WHOEVER IS IMPORTANT IN YOUR COMPANY AND CAN MAKE
DECISION!

We are Armada Collective.

All your servers will be DDoS-ed starting Monday if you don't pay 20
Bitcoins @ 18jUnzQKhTUiPVepLk7NRBD5gC2so1RXPc

When we say all, we mean all - users will not be able to access sites
host with you at all.

Right now we will start 15 minutes attack on your site's IP. It will not
be hard, we will not crash it at the moment to try to minimize eventual
damage, which we want to avoid at this moment. It's just to prove that
this is not a hoax. Check your logs!

If you don't pay by Monday, attack will start, price to stop will
increase to 40 BTC and will go up 20 BTC for every day of attack.

If you report this to media and try to get some free publicity by using
our name, instead of paying, attack will start permanently and will last
for a long time.

This is not a joke.

Our attacks are extremely powerful - sometimes over 1 Tbps per second.
So, no cheap protection will help.

Prevent it all with just 20 BTC @ 18jUnzQKhTUiPVepLk7NRBD5gC2so1RXPc

DO not reply, we will probably not read. Pay and we will know its you.
AND YOU WILL NEVER AGAIN HEAR FROM US!

BItcoin is anonymous, nobody will ever know you cooperated.

Aktivitu této skupiny potvrzuje i Zuzana Duračinská. Armada Collective je doposud asi nejaktivnější seskupení, které využívalo hrozbu DDoS útoku. Mělo reálnou sílu a dokázalo pomocí botnetů vygenerovat poměrně silný útok. V lednu 2016 proběhlo zatčení členů této skupiny. Jejich „značka“ se ale objevuje nadále. Hrozby od Armada Collective se objevily znovu, ale pokud víme, nepodařilo se jim vygenerovat dostatečnou sílu útoku.

Našli jste v článku chybu?
Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

120na80.cz: Pálení žáhy: která jídla ne a co nás uzdraví?

Pálení žáhy: která jídla ne a co nás uzdraví?

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Vitalia.cz: Pryč se zastaralým stravováním ve školách

Pryč se zastaralým stravováním ve školách

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko