Imperva справилась с DDoS-атакой мощностью 2,5 млн запросов в секунду

Специалисты ИБ-компании Imperva сообщили, что недавно им удалось справиться с вымогательской DDoS-атакой, нацеленной на неназванный сайт, мощность которой в пике достигла 2,5 млн запросов в секунду, пишет Хакер.

«Хотя вымогательские DDoS-атаки не новы, они развиваются и со временем становятся все более интересными, на каждом следующем этапе их эволюции, —  пишут аналитики компании. — Например, мы наблюдали случаи, когда требование о выкупе встраивалось прямо в запрос URL».

Исследователи рассказывают, что неназванная организация пострадавшая от вышеупомянутой атаки, получила несколько записок с требованием выкупа, в том числе интегрированных в состав самой атаки. Злоумышленники хотели, чтобы компания произвела платеж в биткойнах, в противном случае угрожая увести ее в офлайн, из-за чего жертва теряла бы «сотни миллионов рыночной капитализации».

При этом злоумышленники называли себя REvil, то есть именем печально известной вымогательской группы, деятельность которой была прекращена правоохранителями в начале текущего года.

«Неясно, действительно ли угрозы исходили от оригинальной хак-группы REvil или от самозванца», — аккуратно отмечает Imperva.

Сообщается, что атака с 2,5 млн запросов в секунду длилась менее минуты, при этом один из дочерних сайтов, управляемых той же компанией-жертвой, подвергся аналогичной атаке, которая длилась уже около 10 минут и постоянно меняла векторы, чтобы предотвратить возможное смягчение.

Imperva считает, что атака исходила от нашумевшего ранее ботнета Mēris, который продолжает использовать уже исправленную уязвимость в маршрутизаторах Mikrotik (CVE-2018-14847) для своих операций.

Основным источником атаки была Индонезия, за которой следуют США, Китай, Бразилия, Индия, Колумбия, Россия, Таиланд, Мексика и Аргентина.

«Типы сайтов, за которыми охотятся злоумышленники, представляют собой бизнес-сайты, посвященные продажам и коммуникациям, — рассказывают специалисты. — Цели, как правило, базируются в США или странах Европы, и у них есть одна общая черта: все они являются зарегистрированными на бирже компаниями, и злоумышленники используют это факт в своих интересах, ссылаясь на потенциальный ущерб, который атака может нанести цене акций компании»