«Доктор Веб» обнаружил ботнет, атакующий российские банки

Безопасность Стратегия безопасности Интернет Веб-сервисы ИТ в банках
мобильная версия
, Текст: Татьяна Короткова

Специалисты компании «Доктор Веб» зафиксировали серию DDoS-атак на сайты российских банков — Росбанк и Росэксимбанк. Для этого злоумышленники используют трояна BackDoor.IRC.Medusa.1, сообщили CNews в «Доктор Веб».

BackDoor.IRC.Medusa.1 — вредоносная программа, относящаяся к категории IRC-ботов. Так называют троянов, которые способны объединяться в ботнеты и получать команды с помощью протокола обмена текстовыми сообщениями IRC (Internet Relay Chat). Подключаясь к определенному чат-каналу, IRC-боты ожидают от злоумышленников специальных директив. Основное предназначение BackDoor.IRC.Medusa.1 заключается в выполнении атак на отказ в обслуживании (DDoS-атак). Вирусные аналитики «Доктор Веб» предполагают, что именно эта вредоносная программа использовалась в ходе массированных атак на Сбербанк России, о которых сообщалось в последнее время.

BackDoor.IRC.Medusa.1 может выполнять несколько типов DDoS-атак, а также по команде злоумышленников загружать и запускать на зараженной машине исполняемые файлы. На иллюстрации ниже представлено опубликованное вирусописателями руководство оператора бот-сети, созданной с использованием трояна BackDoor.IRC.Medusa.1, которое содержит перечень поддерживаемых трояном команд:

По данным компании, в настоящее время киберпреступники активно продвигают BackDoor.IRC.Medusa.1 на подпольных форумах. Создатели трояна утверждают, что ботнет из 100 зараженных компьютеров способен генерировать до 20-25 тыс. запросов в секунду с пиковым значением в 30 тыс. В качестве доказательства они приводят график тестовой атаки на http-сервер NGNIX:

На данный момент на одном из IRC-каналов, контролирующих ботнет BackDoor.IRC.Medusa.1, зарегистрировано 314 активных подключений. Анализ журнала переданных бот-сети команд показывает, что с 11 по 14 ноября 2016 г. злоумышленники неоднократно атаковали веб-сайты rosbank.ru (Росбанк), eximbank.ru (Росэксимбанк), а также fr.livraison.lu и en.livraison.lu (сеть ресторанов Livraison) и korytov-photographer.ru (частный веб-сайт).

Сигнатура BackDoor.IRC.Medusa.1 добавлена в вирусные базы Dr.Web. Специалисты компании «Доктор Веб» продолжают следить за развитием ситуации.