Hlavní navigace

Zaplať nebo na tebe pošleme DDoS, hrozí útočníci

Petr Krčmář

Do schránek provozovatelů českých služeb se začal šířit vyděračský mail, který vyhrožuje „DDDoS“ útokem. Odborníci na bezpečnost varují před tímto nátlakem a doporučují neplatit.

V několika posledních dnech se do e-mailových schránek různých společností začaly šířit zprávy vyhrožující „DDDoS“ útokem. Autoři této výhružné zprávy požadují od uživatelů zaplacení 0,17 bitcoinu (asi 2400 Kč podle aktuálního kurzu) za to, že na danou síť nezaútočí.

Text vyděračského mailu

Tyto hrozby jsou zasílány převážně na společnosti, které mají minimálně vlastní webové stránky. E-maily jsou zasílány ve vlnách a zatím nevíme o konkrétním schématu pro výběr příjemců zpráv, řekla nám Zuzana Duračinská, bezpečnostní analytička sdružení CZ.NIC, které provozuje Národní bezpečnostní tým CSIRT.CZ. Využívány jsou pravděpodobně sesbírané e-mailové adresy, protože hrozby míří na konkrétní uživatelské adresy a ne na náhodně generované.

Známá značka Anonymous je v tomto případě pravděpodobně jen zneužívána, protože tato skupina se zaměřuje na hacktivismus a ne na vyděračské internetové aktivity. Názvy těchto skupin slouží často jako ‚brand‘ a vzhledem k jejich neorganizované oficiální struktuře není možné zjistit, zda se za hrozbou skutečně nacházejí oni nebo jde o zneužití jejich jména, vysvětluje Duračinská.

Neplaťte

Bezpečnostní experti doporučují na podobné výzvy neodpovídat a rozhodně útočníkům neplatit, byť jde o poměrně nízké částky. Vzhledem k tomu, že všem je zasílán stejný text se stejnou adresou bitcoinové peněženky, párování plateb s odesílateli je v mnoha případech nemožné. I když tedy uživatel zaplatí, nikdy nemá jistotu, že bude jeho platba skutečně spárovaná a vyhne se potenciálnímu útoku. Platby se neodporučují i z důvodů finanční podpory další činnosti útočníků, říká Duračinská.

Podle odborníků z Národního bezpečnostního týmu CSIRT.CZ je lepší se na případný útok připravit technicky. O každé vlně těchto hrozeb, o kterých se dozvíme, informujeme i prostřednictvím svých stránek. Snažíme se zároveň zjistit, nakolik jsou hrozby reálné a zda má útočník skutečně dostatek zdrojů pro vykonání útoku. V případě hrozby útokem je vhodné včas informovat poskytovatele hostingu a případně dočasně nejkritičtější služby přesunout na jiné IP adresy. V současnosti má většina hostingů přístup ke službám scrubbingových center, které případný provoz od útoku odfiltrují. Útočníci tak dnes potřebují shromáždit výrazně větší sílu než v minulosti.

Není to poprvé

Podobných výhrůžek v posledních měsících přibývá, nejsou ale ničím novým. Přibližně před rokem probíhala podobná kampaň pod hlavičkou skupiny Armada Collective. Podle Martina Žídka, technického ředitele datacentra Master Internet, byla tehdy hrozba reálná. Setkali jsme se s výhrůžkami a požadavky zaplacení pomocí bitcoinů, vysvětluje Žídek. Zákazník nezaplatil a útok skutečně přišel, ale nebyl zdaleka tak dramatický, jak se předpokládalo. Byl dost amatérsky udělaný a bylo možné jej snadno odfiltrovat pomocí statických filtrů.

Podle Žídka je těžké dát obecnou radu, jak se zachovat v případě vydírání. Já jsem pro nezaplacení a tady jsme to riskovali a vyšlo to. Ale je to tím, že v rámci této konkrétní kampaně nebylo riziko nijak vysoké, což jsme však předem nemohli vědět. Zmiňuje také, že požadovaná částka v bitcoinech nebyla zrovna malá – začínala na 20 BTC, tedy asi 200 000 Kč. Detailní rozbor této vyděračské kampaně naleznete ve zprávě Radware.

Text mailu tehdy vypadal takto:

From: Armada Collective [mailto:armadacollective@openmailbox.org]
Sent: Friday, October 09, 2015 5:11 PM
To: xxxx
Subject: RANSOM REQUEST: DDoS ATTACK

FORWARD THIS MAIL TO WHOEVER IS IMPORTANT IN YOUR COMPANY AND CAN MAKE
DECISION!

We are Armada Collective.

All your servers will be DDoS-ed starting Monday if you don't pay 20
Bitcoins @ 18jUnzQKhTUiPVepLk7NRBD5gC2so1RXPc

When we say all, we mean all - users will not be able to access sites
host with you at all.

Right now we will start 15 minutes attack on your site's IP. It will not
be hard, we will not crash it at the moment to try to minimize eventual
damage, which we want to avoid at this moment. It's just to prove that
this is not a hoax. Check your logs!

If you don't pay by Monday, attack will start, price to stop will
increase to 40 BTC and will go up 20 BTC for every day of attack.

If you report this to media and try to get some free publicity by using
our name, instead of paying, attack will start permanently and will last
for a long time.

This is not a joke.

Our attacks are extremely powerful - sometimes over 1 Tbps per second.
So, no cheap protection will help.

Prevent it all with just 20 BTC @ 18jUnzQKhTUiPVepLk7NRBD5gC2so1RXPc

DO not reply, we will probably not read. Pay and we will know its you.
AND YOU WILL NEVER AGAIN HEAR FROM US!

BItcoin is anonymous, nobody will ever know you cooperated.

Aktivitu této skupiny potvrzuje i Zuzana Duračinská. Armada Collective je doposud asi nejaktivnější seskupení, které využívalo hrozbu DDoS útoku. Mělo reálnou sílu a dokázalo pomocí botnetů vygenerovat poměrně silný útok. V lednu 2016 proběhlo zatčení členů této skupiny. Jejich „značka“ se ale objevuje nadále. Hrozby od Armada Collective se objevily znovu, ale pokud víme, nepodařilo se jim vygenerovat dostatečnou sílu útoku.

Našli jste v článku chybu?

5. 8. 2016 11:43

0.17 bitcoinů, tve. Co je tohle za socky? Já jim asi něco pošlu prostě jen tak ze solidarity. Je mi jich líto, vidět je takhle žebrat na veřejnosti.

8. 8. 2016 17:34

No, jako teorie dobrá, ale podle té adresy nedostali na účet skoro nic.

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

DigiZone.cz: TV Philips a Android verze 6.0

TV Philips a Android verze 6.0

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu