09.05.2016 | 19:38

Adam Haertle

Niebezpiecznie duży atak DDoS na polskie banki wraz z próbą szantażu

Od weekendu trwają ataki DDoS na największe polskie banki. Tajemniczy sprawcy, podpisujący się pseudonimem Kadyrovtsy, nie mają wielkich oczekiwań finansowych, dysponują za to całkiem solidnymi możliwościami ataku.

W ciągu ostatnich kilku dni co najmniej dwa duże polskie banki padły ofiarami ataków DDoS, którym towarzyszyły wiadomości z prośbą o wpłatę kilkudziesięciu bitcoinów na określone rachunki. Klienci banków podobno skutków ataków prawie wcale nie odczuli, lecz atakujący odgrażają się, że to dopiero początek.

Kadyrowcy, czyli kolejne wcielenie Armada Collective?

W weekend jeden z polskich dużych banków doświadczył ataku DDoS. Przepustowość osiągana przez atakujących nie była straszna – w szczycie dochodziła do kilkunastu Gbps. Atak został przez bank skutecznie odparty. W trakcie trwania ataku do banku dotarła napisana po angielsku wiadomość poczty elektronicznej, w której tajemnicza grupa zażądała okupu w wysokości kilkudziesięciu BTC, grożąc, że obserwowany strumień danych to dopiero początek i demonstracja części jej możliwości. Dzisiaj na celowniku grupy znalazł się drugi duży polski bank – tym razem przepustowość osiągana przez atakujących sięgnęła ponad 50Gbps, co jak na polskie warunki jest jednym z największych tego typu ataków w historii. Bank również sobie z atakiem poradził, chociaż były momenty, kiedy klienci mogli zauważyć wolniejszą reakcję serwisu transakcyjnego. Wiadomość od przestępców również dotarła w trakcie trwania ataku i zawierała podobne groźby.

Według otrzymanych przez nas informacji oba ataki miały charakter wolumetryczny i składały się z wielu różnorodnych źródeł ruchu. Celem ataków były serwisy bankowe zarówno od strony infrastruktury technicznej jak i interfejsów klienckich. Charakter ruchu może sugerować, że pochodził on z wielu różnych usług typu „DDoS as a service”, czyli botnetów do wynajęcia.

Sama korespondencja od przestępców przychodziła z adresu poczty elektronicznej [email protected]. Kadyrowcy to nazwa zwolenników Achmata Kadyrowa i jego syna Ramzana, kolejnych prezydentów Czeczenii, namaszczonych przez Putina. Charakter działania grupy wskazuje na bliskie związki ze znaną już wcześniej Armada Collective, która to kilka miesięcy temu szantażowała szwajcarskie instytucje finansowe oraz dostawców poczty elektronicznej (w tym usługę Protonmail).

Nie tylko w Polsce

Szukając śladów Kadyrowców natrafiliśmy na raport wskazujący, że polskie banki nie są pierwszymi ofiarami tej grupy. 22 kwietnia ataku tych samych sprawców (a przynajmniej piszących z tego samego adresu) doświadczyła instytucja finansowa w Wielkiej Brytanii. W brytyjskim przypadku ruch osiągał przepustowość do 90Gbps, natomiast po odmowie zapłaty okupu kolejne ataki już nie nastąpiły. Co ciekawe 2 tygodnie temu miały także miejsce „ataki” rzekomego Armada Collective, polegające na rozsyłaniu wiadomości z groźbą ataku i żądaniem okupu, po których sam atak nie następował.

Wiadomość od ptrzestępców

Wiadomość od przestępców

W polskim przypadku kwota żądana przez atakujących wydaje się być śmieszna w kontekście budżetów którymi dysponują banki. Przebieg ataków wydaje się sugerować, że mamy raczej do czynienia z grupą amatorów prowadzących proste ataki nastawione bardziej na efekt psychologiczny niż faktyczne zniszczenie. Nie da się jednak ukryć, że ataki o przepustowości bliższej 100Gbps mogą przynieść efekty zauważalne dla klientów. Jeśli zatem Wasz bank przestanie w najbliższych dniach być dostępny lub doświadczyliście problemów w ostatnich dniach – dajcie znać w komentarzach. My tymczasem trzymamy kciuki za obrońców trwających w bankach na posterunkach oraz organy ścigania, które już nie tylko w Polsce szukają przestępców.

Aktualizacja 2016-05-10 15:00

Wczoraj bank Pekao S.A., dzisiaj Alior Bank zanotowały poważne problemy z dostępnością. Obie instytucje – również w rozmowach nieformalnych – obstają przy zwykłych awariach.

Aktualizacja 2016-05-10 22:00

Nieoficjalnie dowiedzieliśmy się, że kolejny duży bank otrzymał dzisiaj nadmiarowy ruch o przepustowości ok. 40Gbps, jednak poradził sobie z tym bez problemów zauważalnych dla klientów. Pojawiają się także sygnały o ofiarach innych niż banki.

Powrót

Komentarze

  • 2016.05.09 19:50 Kuba

    Inteligo dziś przez około godzinę odpowiadał tylko na 6% pingów, otworzenie strony www było niemożliwe.

    Odpowiedz
    • 2016.05.10 12:26 wat

      Połowa chmur nie odpowiada na pingi, więc to raczej słaby test.

      Odpowiedz
  • 2016.05.09 20:21 Czeczen

    „[..] oraz organy ścigania, które już nie tylko w Polsce szukają przestępców.” Czy to jakis zart?

    Odpowiedz
    • 2016.05.09 20:29 Adam

      Nie. W sprawę zaangażowane są policje kilku krajów oraz Europol

      Odpowiedz
      • 2016.05.10 01:21 Czeczen

        I na co europol zda sie w starciu z rosyjskim systemem prawnym? Ostatnio przegladalem raport ze zdjecia GRUM (spam botnet) w 2012 przez parunastu researcherow m.in z TrendMicro, FireEye itd. Pamietnym wpisem w calym raporcie byla linijka w ktorej pojawil sie problem ze zdjeciem serwerow hostowanych w Rosji. Panowie napisali wiadomosc mail, przedstawiajac sie i proszac o usuniecie serwerow bezposrednio do rosyjskiego CERT. Odpowiedz byla nastepujaca „This is not out IP”. Po czym kontakt sie urwal. Oczywiscie, w koncu serwery usunieto jednakze wymagalo to kontaktu bezposrednio z ISP. Skoro wiec rosyjski CERT w taki sposob reaguje co maja zamiar zrobic polskie i europejskie sluzby? Sprawa zmienia sie diametralnie gdy gimboDDOS team z artykulu rowniez probuje swoich sztuczek na terenie federacji, choc chyba az tak glupi nie sa. Kolejny przyklad? Polecam zajrzec na liste FBI Top Wanted, dzial Cyber. Pierwszy kandydat jest w pelni sprofilowany, lacznie z informacja o miejscach jego pobytu, telefonach, letniskach … i co? I nic. Wisi tam od 2010 roku. I poki jest na tyle madry, aby poza Federacje nie wyjechac nic mu nie grozi, a juz na pewno Europol czy „Polska Policja”, ktora jest synonimem cyrku.

        Odpowiedz
        • 2016.05.10 21:55 loledo

          W książce o carderach było to samo. Dopóki cele były spoza federacji (dotyczyło to także Ukrainców) i nie opuszczali ich terenów to wała mogli im zrobić. Dopiero zagraniczne służby czekały aż będą spotykać się z kimś zagranicą i tam ich dopadali.

          Odpowiedz
        • 2016.05.11 01:58 Adam

          „czy „Polska Policja”, ktora jest synonimem cyrku.”
          Według mnie NIEKTÓRYM się CZASEM nawet coś tam chce zrobić dobrego, ale co z tego, skoro finalnie gościa się wypuszcza lub wypłaca mu odszkodowanie?

          Odpowiedz
  • 2016.05.09 20:54 McKey

    Fakt, potwierdzam – dziś IPKO zaliczało spore lagi. Co ciekawe maila z podobnym tekstem dostała jedna z naszych uczelni, a konkretnie jeden z wydziałów. Też chcieli kilka BTC (mało).

    Odpowiedz
  • 2016.05.09 21:01 Olek

    Dzisiaj około 14 korzystanie z aplikacji IKO na Androidzie było praktycznie niemożliwe. Teraz już wszytko działa bez zarzutu.

    Odpowiedz
  • 2016.05.09 21:02 Piotrek

    Dziś chyba miał kłopoty pkobp bo się strona nie wyświetlała

    Odpowiedz
  • 2016.05.09 21:42 Dawid

    Dzisiaj pewnie wzięli się za Bank Pekao – strona pekao24 wczytywała się bardzo długo, a próba zalogowania kończyła się komunikatem „Błąd techniczny 0”, przez aplikację mobilną także nie można się było dostać do konta.

    Odpowiedz
  • 2016.05.09 21:57 kazek

    a skąd macie takie info? Od banków?

    Odpowiedz
  • 2016.05.09 22:03 qwe

    Wczoraj po południu nie mogłem zapłacić w sklepie kartą debetową wydaną przez BGŻ BNP Paribas. Pan za mną w kolejce też nie mógł, nie wiem skąd miał kartę (najprawdobodobniej inny bank albo dziwny zbieg okoliczności lub patrz dalej: ta sama firma obsługująca transakcje). Chwilę później udałem się do bankomatu banku by wypłacić pieniądze i też nie było to możliwe. Po zadzwonieniu do banku uzyskałem odpowiedź, że nie mają żadnych kłopotów i nie mieli żadnych innych zgłoszeń i że problem prawdopodobnie leży po stronie firmy obsługującej dla nich sieć transakcyjną.

    Odpowiedz
    • 2016.05.11 04:15 Adam

      Czyli u nas w banku wszystko w porządku i nie było awarii, to jedynie karty nie działają… :)
      Jak ja uwielbiam te tłumaczenia… :)

      Odpowiedz
  • 2016.05.09 22:17 Michał

    Obecnie bankowość internetowa w ING nie działa, logującego wita komunikat:

    „Przepraszamy, serwis chwilowo niedostępny proszę spróbować później.”

    Odpowiedz
  • 2016.05.10 00:31 Krzysztof Kozłowski

    pekao miało problemy już w poniedziałek około 16.
    Próba zalogowania kończyła się na podaniu identyfikatora potem wszystko zwisało na kilkanaście minut…
    Bank przyznał ze mają awarię.

    Odpowiedz
  • 2016.05.10 01:05 szogun

    Ing działa bez problemu, pojawia się tylko komunikat o „udostępnianiu danych osoba trzecim;)”
    za to mbank nie pinguje.

    Odpowiedz
    • 2016.05.10 10:11 BloodMan

      mBank może i nie pinguje (a pingował w ogóle?), ale działa (przynajmniej teraz).

      Odpowiedz
  • 2016.05.10 10:55 adamg

    PEKAO – od wczoraj problemy z logowaniem (niekiedy brak możliwości, czasem tylko ślimaczenie), brak możliwości skorzystania z przelewów ekspresowych tych z dwoma literkami w domenie, więc problem dotyczy chyba również całego API

    Dziś strasznie się ślimaczy, ale udało się zlecić przelew

    Odpowiedz
  • 2016.05.10 12:52 Pawel

    Zalogowanie do serwisów Pekao24 i Pekao24Makler jest obecnie niemożliwe.
    Prosimy spróbować za kilka minut.

    Odpowiedz
  • 2016.05.10 13:04 Carlos

    Teraz każde pierdupierdu będzie dla was atakiem hakerskim? Brawo

    Odpowiedz
  • 2016.05.10 13:06 Typowy klient Banku milenium

    Do milenium tez nie mozna bylo sie dzis rano zalogowac :(

    Odpowiedz
  • 2016.05.10 13:50 gamoń

    PEKAO od 3 dni szwankuje , czasami można sie zalogować a po chwili przez godzine nawet nie wczyta strony logowania , albo nie dopuści do podania hasła

    Odpowiedz
  • 2016.05.10 14:01 misz

    BZ WBK , ING , mBank mi zwolnił ….. i były Time-outy – głownie ING

    Odpowiedz
  • 2016.05.10 14:26 Krzysztof Kozłowski

    Przed chwilą alior zdechł

    Odpowiedz
  • 2016.05.10 19:46 Dejlo

    10 każdego miesiąca, wszystkie banki w Polsce przeżywają DDOS. Połowa Polaków sprawdza czy już wypłata dotarła, 90 razy na godzinę….;)

    Odpowiedz
  • 2016.05.11 01:50 Adam

    Ciekawi mnie źródło ruchu i fraza „botnet do wynajęcia”.
    Czy w skład takiego botnetu wchodzą też zwykłe komputery użytkowników na całym świecie, które złapały jakieś malware?

    Odpowiedz
    • 2016.05.11 01:54 Adam

      Kolejna sprawa, to sam sumaryczny ruch sieciowy.
      Ciekawi mnie, czy to przykładowe 50Gbps to tylko wierzchołek góry lodowej ich możliwości, czy po prostu rzucili 100% swoich możliwości i liczą, że psychologicznie wystraszą swoje cele?

      Odpowiedz
      • 2016.05.11 15:05 Kacper

        „Botnet do wynajęcia” – ataki przez malware z komputerów Januszów + skompromitowane serwery. Siła ataku zależy od wielkości botnetu i łącz jakimi dysponują serwery + użytkownicy będący online. 50Gbps przy średniej prędkości światowej ~ 5Mbps daje nam to w przybliżeniu 51 000 zombie. Jeśli zawężamy krąg do EU by odpuścić sobie różnice w strefach czasowych itp. to ilość zombie spadnie nam do ok. 17 000 zombie. Odliczając serwery i biorąc pod uwagę lokalizację celi ataków przypuszczam, że atak był przeprowadzony z ok. 10-12 000 hostów co jak na jakiś niszowy pr0Gimbo-malware jest niezłym wynikiem. Nie sądzę by dysponowali mocą większą niż 60Gbps.

        Odpowiedz
  • 2016.05.11 02:29 Jajo

    wszystkie instytucje finansowe w kraju dostaly te ostrzezenia.

    Odpowiedz
  • 2016.05.11 11:31 jar44

    A ja mam konto w małym banku spółdzielczym i tam nikt nie atakuje , bo niema czego i trudno go znaleźć

    MAŁE JEST PIĘNIE

    Odpowiedz
    • 2016.05.12 07:42 Kacper

      Tak, małe jest piękne… Ciekawi mnie co zrobisz jak ktoś się tym Twoim bankiem spółdzielczym zainteresuje i zacznie im niezamówione audyty robić. O ile coś jest wytworzone przez człowieka to zawiera błędy, a jak sądzę taki bank spółdzielczy ma mniejsze zaplecze jeśli chodzi o pentesterów i dobrych adminów niż banki ogólnopolskie? Wolę trzymać pieniądze w skarpecie, ale jeśli jestem skazany na bank to najlepiej by był to duży bank. Ich stać na programy bugbounty i poważne podejście do problemu – wdrażanie procedur i reakcje na incydenty. Ciekawi mnie jak Twoja Pani Kazia reaguje na takie rzeczy, bo przecież administrator pracuje tam na „questy” i póki nic się nie posypie to przegląd i kontrola nad systemami nie jest potrzebna…

      Odpowiedz
  • 2016.05.11 16:23 wwk

    wczoraj byli w stanie równocześnie DDoSować Alior (godz. 12-15) i Pekao (14-17) a więc moc botnetu jest duża.

    Odpowiedz
  • 2016.05.12 08:00 Tomasz

    Od wczoraj znów nie działa ING. Cały czas wita komunikatem „Przepraszamy, serwis chwilowo niedostępny proszę spróbować później.”

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Niebezpiecznie duży atak DDoS na polskie banki wraz z próbą szantażu

Komentarze