Ботнет Aisuru-Kimwolf установил рекорд по трафику DDoS-атак, достигнув 31,4 Тб/с. Угроза масштабных атак, способных вывести из строя провайдеров или страны. Cloudflare зафиксировал беспрецедентные обстрелы инфраструктуры. Рост ботнетов за год в 7 раз, использование уязвимых устройств IoT и Android. Киберпреступники арендуют ресурсы для распространения вредоносного ПО.
Распределенные атаки типа DDoS стали неизбежной частью современного интернета, при этом ботнеты захваченных устройств охватывают всё большее количество уязвимых систем. К сожалению, масштабы и частота атак также продолжают расти. Ботнет Aisuru-Kimwolf недавно побил свой предыдущий рекорд, достигнув 31,4 Тб/с в декабре. Для сравнения: этого объема трафика хватит, чтобы одновременно транслировать почти 2,2 миллиона фильмов Netflix в 4K-качестве. Атака такого масштаба способна вывести из строя крупных интернет-провайдеров, а в отдельных случаях — даже целые страны. В блоге (через BleepingComputer) компания Cloudflare назвала эти атаки «беспрецедентным обстрелом», направленным на клиентов, панель управления и инфраструктуру. Отмечается, что атаки проводятся методом «удар и бегство», при котором гигантские всплески трафика одновременно атакуют разные точки, продолжаясь от нескольких секунд до минут. Cloudflare также подчеркивает, что потенциальный объем атак увеличился в 7 раз за год благодаря росту ботнетов Aisuru и Kimwolf. Aisuru считается «родительским» ботнетом, включающим небольшие устройства с подключением к интернету: оборудование IoT, DVR-рекордеры и даже виртуальные машины на хостинг-платформах. Устройства Aisuru в основном находятся в США. Ботнет расширяется за счет доступа к новым устройствам через стандартные учетные данные (например, логин «admin», пароль «admin») и уязвимости в устаревшем ПО. Kimwolf можно рассматривать как вариант Aisuru, адаптированный для устройств на базе Android: устаревших смартфонов, вредоносных приложений, умных ТВ и приставок. По данным Cloudflare, большинство из двух миллионов устройств Kimwolf расположены в Бразилии, Индии и Саудовской Аравии. Операторы ботнетов создали собственную экономическую модель: они продают доступ к сетям другим киберпреступникам, иногда за относительно низкие цены — десятки тысяч долларов. Арендаторы используют ботнет для распространения вредоносного ПО, спама или других нелегальных действий. Полученные средства направляются на дальнейшее расширение ботнета. Cloudflare отмечает, что сеть Aisuru-Kimwolf является «паразитической», а ее владельцы сдают в аренду «жилые прокси» — набор устройств в бытовых условиях, что добавляет слой анонимности для атакующих. С технической стороны наиболее распространенным методом является «ковровая» атака через UDP, использованная в декабре для достижения 31,4 Тб/с. Это позволяет настолько расширить атакуемую поверхность, что становится сложно блокировать входящий трафик. Кроме того, объединенные ботнеты массированно атакуют игровые сервисы с помощью сверхмощных HTTP-запросов, направляя гигантские объемы легитимных запросов, которые перегружают сеть или вычислительные ресурсы цели.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bruno Ferreira