0
0
Um grupo de ameaças russo está oferecendo incentivos e prêmios em criptomoedas em um esforço para recrutar voluntários da Dark Web – que eles chamam de “heróis” – para seu anel de ataque cibernético distribuído de negação de serviço (DDoS).
Um grupo rastreado como NoName057(16) lançou o projeto, chamado DDosia, que visa reforçar um esforço anterior para montar ataques DDoS em sites na Ucrânia e em países pró-ucranianos. No entanto, em vez de tentar fazer todo o trabalho sozinho, o DDosia “estimula as pessoas a unirem seus esforços, oferecendo prêmios para os melhores desempenhos, pagando recompensas em criptomoedas”, escreveu o pesquisador da Avast Martin Chlumecký em um post no Avast.io “Decoded “blog publicado em 11 de janeiro.
Os pesquisadores da Avast identificaram NoName057(16) pela primeira vez em setembro, quando observaram ataques DDoS direcionados à Ucrânia que o grupo estava realizando usando botnets. A campanha visou especificamente sites pertencentes a governos, agências de notícias, exércitos, fornecedores, empresas de telecomunicações, autoridades de transporte, instituições financeiras e muito mais na Ucrânia, bem como em países vizinhos que apoiam a Ucrânia, como Estônia, Lituânia, Noruega e Polônia.
Um Trojan de acesso remoto (RAT) chamado Bobik foi fundamental para realizar os ataques DDoS para o grupo no ataque original, que teve uma taxa de sucesso de 40% usando o malware, disseram os pesquisadores.
No entanto, o grupo teve um problema em seus planos quando o botnet foi desativado no início de setembro, de acordo com o canal Telegram do grupo, disseram os pesquisadores. NoName057 posteriormente lançou o DDosia para atingir o mesmo conjunto de entidades pró-Ucrânia em 15 de setembro como resposta a esse revés, disseram eles.
“Ao lançar o projeto DDosia, NoName057(16) tentou criar uma nova botnet paralela para facilitar ataques DDoS”, escreveu Chlumecký no post. O projeto também representa um pivô para um esforço DDoS público baseado em incentivos, em comparação com a rede de bots Bobik, mais secreta, disseram os pesquisadores.
DDosia Detalhes Técnicos
O cliente DDosia é composto por um script Python criado e controlado por NoName057(16). A ferramenta DDosia está disponível apenas para usuários verificados/convidados por meio de um grupo semifechado do Telegram – ao contrário do malware Babik, disseram os pesquisadores. Outro diferencial entre os dois esforços é que o DDosia parece não ter nenhuma atividade backdoor adicional, observaram eles. O Bobik, por outro lado, oferece amplos recursos de spyware , incluindo keylogging, execução e encerramento de processos, coleta de informações do sistema, download/upload de arquivos e instalação de outros malwares nos dispositivos infectados.
Para se tornar um membro do DDosia, o voluntário deve passar por um processo de registro facilitado pelo @DDosiabot no canal dedicado do Telegram, disseram os pesquisadores. Após o registro, os membros recebem um arquivo zip DDosia que inclui um executável.
NoName057(16) também “recomenda fortemente” que os voluntários usem um cliente VPN, “conectando-se por meio de servidores fora da Rússia ou da Bielorrússia, já que o tráfego dos dois países é frequentemente bloqueado nos países visados pelo grupo”, escreveu Chlumecký.
O servidor DDosia C2 principal usado na campanha DDosia estava localizado em 109.107.181.130; no entanto, foi retirado em 5 de dezembro, disseram os pesquisadores. Como NoName057(16) continua postando ativamente em seu canal Telegram, os pesquisadores supõem que ele deve ter outra botnet, disseram eles.
O aplicativo DDosia tem dois URLs codificados que são usados para fazer download e upload de dados para o servidor C2. O primeiro é usado para baixar uma lista de alvos de domínio que serão atacados, enquanto o segundo é usado para relatórios estatísticos, disseram os pesquisadores.
O DDosia envia a lista de alvos para o botnet como um arquivo JSON descompactado e não criptografado com dois itens: alvos e aleatórios, disseram os pesquisadores.
“O primeiro contém aproximadamente 20 propriedades que definem alvos de DDoS; cada alvo é descrito por meio de vários atributos: ID, tipo, método, host, caminho, corpo e muito mais”, escreveu Chlumecký. “O último descreve a aparência das strings aleatórias por meio de campos como: dígito, superior, inferior e valores inteiros mínimo/máximo.”
O DDosia também gera valores aleatórios em tempo de execução para cada ataque, provavelmente porque os invasores desejam randomizar as solicitações HTTP e tornar cada solicitação HTTP única para uma melhor taxa de sucesso, disseram os pesquisadores.
Recompensando os “heróis” DDoS
O novo aspecto mais importante dos ataques DDoS é a possibilidade de recompensar os voluntários que se envolverem na campanha, disseram os pesquisadores. Por meio de um dos aspectos técnicos mencionados acima de como o DDosia funciona, NoName057(16) coleta informações estatísticas sobre ataques realizados e tentativas bem-sucedidas de sua rede de voluntários, que chama de “heróis”, disseram eles.
NoName057(16) paga esses heróis – que Chlumecký observou pode “facilmente” manipular as estatísticas para o sucesso – em somas de criptomoedas de até milhares de rublos, ou o equivalente a centenas de dólares.
DDosia: potencial iminente de interrupção
Atualmente, a taxa de sucesso da campanha DDosia é menor do que a campanha Bobik anterior, com cerca de 13% de todas as tentativas de ataques interrompendo os alvos, disseram os pesquisadores.
No entanto, o projeto “tem o potencial de ser um incômodo quando direcionado corretamente”, escreveu Chlumecký. O grupo atualmente tem cerca de 1.000 membros; no entanto, se isso aumentar, os pesquisadores esperam que sua taxa de sucesso também cresça, disseram eles.
“Portanto, o sucesso do ataque depende da motivação que NoName057(16) fornece aos voluntários”, explicou Chlumecký.
Os pesquisadores estimam que um “herói” DDosia pode gerar cerca de 1.800 solicitações por minuto usando quatro núcleos e 20 threads, com a velocidade de geração de solicitações dependendo da qualidade da conexão de Internet do invasor. Supondo que pelo menos metade da base de membros atual esteja ativa, isso significa que a contagem total de solicitações para destinos definidos pode chegar a 900.000 solicitações por minuto, disseram os pesquisadores.
“Isso pode ser suficiente para derrubar serviços da Web que não esperam um tráfego de rede mais pesado”, observou Chlumecký. Enquanto isso, “servidores que esperam uma alta carga de atividade de rede são mais resistentes a ataques”, acrescentou.
“Dada a natureza evolutiva do DDosia e sua rede flutuante de voluntários, só o tempo dirá o sucesso do DDosia”, disse Chlumecký.
De fato, o ataque da Rússia à Ucrânia em fevereiro de 2022 elevou os ataques DDoS a um recorde histórico , permitindo que os invasores causem interrupções digitais e relacionadas à TI em uma guerra cibernética que foi montada junto com a guerra terrestre desde o início.
NonName057(16) estão entre vários grupos de ameaças que perpetram esses ataques, embora seja um dos menos sofisticados cujos ataques neste momento permanecem de baixo impacto e causam poucos danos significativos, disseram os pesquisadores.
Chlumecký comparou o grupo a outro ator de ameaça pró-Rússia, Killnet , cujas atividades visam chamar a atenção da mídia: “As atividades do NoName057 (16) ainda são mais um incômodo do que perigoso.”
FONTE: DARK READING