Niebezpiecznie duży atak DDoS na polskie banki wraz z próbą szantażu

dodał 9 maja 2016 o 19:38 w kategorii DDoS  z tagami:
Niebezpiecznie duży atak DDoS na polskie banki wraz z próbą szantażu

Od weekendu trwają ataki DDoS na największe polskie banki. Tajemniczy sprawcy, podpisujący się pseudonimem Kadyrovtsy, nie mają wielkich oczekiwań finansowych, dysponują za to całkiem solidnymi możliwościami ataku.

W ciągu ostatnich kilku dni co najmniej dwa duże polskie banki padły ofiarami ataków DDoS, którym towarzyszyły wiadomości z prośbą o wpłatę kilkudziesięciu bitcoinów na określone rachunki. Klienci banków podobno skutków ataków prawie wcale nie odczuli, lecz atakujący odgrażają się, że to dopiero początek.

Kadyrowcy, czyli kolejne wcielenie Armada Collective?

W weekend jeden z polskich dużych banków doświadczył ataku DDoS. Przepustowość osiągana przez atakujących nie była straszna – w szczycie dochodziła do kilkunastu Gbps. Atak został przez bank skutecznie odparty. W trakcie trwania ataku do banku dotarła napisana po angielsku wiadomość poczty elektronicznej, w której tajemnicza grupa zażądała okupu w wysokości kilkudziesięciu BTC, grożąc, że obserwowany strumień danych to dopiero początek i demonstracja części jej możliwości. Dzisiaj na celowniku grupy znalazł się drugi duży polski bank – tym razem przepustowość osiągana przez atakujących sięgnęła ponad 50Gbps, co jak na polskie warunki jest jednym z największych tego typu ataków w historii. Bank również sobie z atakiem poradził, chociaż były momenty, kiedy klienci mogli zauważyć wolniejszą reakcję serwisu transakcyjnego. Wiadomość od przestępców również dotarła w trakcie trwania ataku i zawierała podobne groźby.

Według otrzymanych przez nas informacji oba ataki miały charakter wolumetryczny i składały się z wielu różnorodnych źródeł ruchu. Celem ataków były serwisy bankowe zarówno od strony infrastruktury technicznej jak i interfejsów klienckich. Charakter ruchu może sugerować, że pochodził on z wielu różnych usług typu „DDoS as a service”, czyli botnetów do wynajęcia.

Sama korespondencja od przestępców przychodziła z adresu poczty elektronicznej kadyrovtsy@sigaint.org. Kadyrowcy to nazwa zwolenników Achmata Kadyrowa i jego syna Ramzana, kolejnych prezydentów Czeczenii, namaszczonych przez Putina. Charakter działania grupy wskazuje na bliskie związki ze znaną już wcześniej Armada Collective, która to kilka miesięcy temu szantażowała szwajcarskie instytucje finansowe oraz dostawców poczty elektronicznej (w tym usługę Protonmail).

Nie tylko w Polsce

Szukając śladów Kadyrowców natrafiliśmy na raport wskazujący, że polskie banki nie są pierwszymi ofiarami tej grupy. 22 kwietnia ataku tych samych sprawców (a przynajmniej piszących z tego samego adresu) doświadczyła instytucja finansowa w Wielkiej Brytanii. W brytyjskim przypadku ruch osiągał przepustowość do 90Gbps, natomiast po odmowie zapłaty okupu kolejne ataki już nie nastąpiły. Co ciekawe 2 tygodnie temu miały także miejsce „ataki” rzekomego Armada Collective, polegające na rozsyłaniu wiadomości z groźbą ataku i żądaniem okupu, po których sam atak nie następował.

Wiadomość od ptrzestępców

Wiadomość od przestępców

W polskim przypadku kwota żądana przez atakujących wydaje się być śmieszna w kontekście budżetów którymi dysponują banki. Przebieg ataków wydaje się sugerować, że mamy raczej do czynienia z grupą amatorów prowadzących proste ataki nastawione bardziej na efekt psychologiczny niż faktyczne zniszczenie. Nie da się jednak ukryć, że ataki o przepustowości bliższej 100Gbps mogą przynieść efekty zauważalne dla klientów. Jeśli zatem Wasz bank przestanie w najbliższych dniach być dostępny lub doświadczyliście problemów w ostatnich dniach – dajcie znać w komentarzach. My tymczasem trzymamy kciuki za obrońców trwających w bankach na posterunkach oraz organy ścigania, które już nie tylko w Polsce szukają przestępców.

Aktualizacja 2016-05-10 15:00

Wczoraj bank Pekao S.A., dzisiaj Alior Bank zanotowały poważne problemy z dostępnością. Obie instytucje – również w rozmowach nieformalnych – obstają przy zwykłych awariach.

Aktualizacja 2016-05-10 22:00

Nieoficjalnie dowiedzieliśmy się, że kolejny duży bank otrzymał dzisiaj nadmiarowy ruch o przepustowości ok. 40Gbps, jednak poradził sobie z tym bez problemów zauważalnych dla klientów. Pojawiają się także sygnały o ofiarach innych niż banki.