В среду, 9-го ноября, источник, близкий к ЦБ, сообщил, что пять крупных банков РФ со вторника подвергаются DDoS-атакам.

Атаки начались во вторник, 8 ноября, около 16:00 МСК. Атакованы веб-сайты как минимум пяти организаций из ТОП-10 российского банковского рынка.

Средняя продолжительность каждой атаки составила около часа, самая долгая длилась почти 12 часов. Некоторые банки подвергались атакам неоднократно – от двух до четырех атак с небольшим интервалом между ними. Мощность атак достигала 660 000 запросов в секунду. Для атак использовался ботнет, который состоит более чем из 24 000 машин. Более 50% устройств, входящих в ботнет, находятся на территории США, Индии, Тайваня и Израиля. Всего в атаках участвовали в общей сложности машины из 30 стран. И да, это ботнет на основе Mirai. Про данный ботнет уже и на Википедии есть статья ^[1].

«Системы защиты банка отработали надежно, атака была оперативно обнаружена и локализована подразделениями киберзащиты Сбербанка», — сообщает Сбербанк.

Альфа-Банк говорит, что DDoS-атака была «достаточно краткосрочная и слабая» и не повлияла на работу бизнес-систем.

«В ЦБ знают об этих атаках. Участвует ботнет из серии «интернет вещей». Мощность не очень большая. Под атакой порядка пяти банков со вчерашнего дня», — сказал собеседник агентства.

Однако, помимо источника, близкого к ЦБ, есть и другие источники информации. Так, в статье на http://motherboard.vice.com ^[2] организатор атаки объясняет, что это сделано по заказу клиентов, которых раздражает вмешательство России в американские выборы.

Хакер, называющий себя vimproducts, взял на себя ответственность за кибератаки на сайты Московской биржи, Банка Москвы, Росбанка и Альфа-Банка. Помимо этого, он попытался обрушить сайт Минэкономразвития России.

Vimproducts не уточнил, сколько стоила такая атака, однако сказал, что обычно берет от $25 до $150 в день в зависимости от сайта. За $150 он готов вывести из строя «защищенные или средние/крупные web-сайты. Безусловно, эти атаки (на ресурсы российских банков) стоят дороже». Также киберпреступник пытался прорекламировать свои услуги, а именно просил Motherboard разместить в статье ссылку на свой профиль на торговой площадке AlphaBay, но издание отклонило просьбу.

Также есть мнение, что некоторые организаторы DDoS-атак применяют их как отвлекающий маневр, чтобы скрыть другую атаку.

А я напомню, что в сентябре 2016 года, после публикации статьи о группировках, которые продают услуги ботнетов для DDoS-атак, веб-сайт журналиста Брайана Кребса (некоторые расследования которого я переводил тут ^[3] и тут ^[4]), сам стал жертвой DDoS-атаки.
После этого, в октябре, злоумышленники опубликовали исходные коды использованного вредоносного ПО, чем создали риски неконтролируемого воспроизведения атак другими злоумышленниками.

И эти риски подтвердились: в конце октября была DDoS-атака на DNS-провайдера Dyn, которая вызвала сбои в работе Twitter, CNN, Spotify, Reddit, The New York Times и многих других популярных сайтов. А теперь DDoS-ят и финансовые институты. Вообще почитать про ботнет можно тут ^[5] или тут ^[6].

---

Последняя масштабная серия DDoS-атак на российские банки (без участия данного ботнета) произошла в октябре 2015 года, когда были атакованы 8 известных финансовых организаций. Всего с октября 2015-го по март 2016-го Центробанк зафиксировал 21 кибератаку на платежные системы российских финансовых организаций.

По материалам: rbc.ru ^[7], motherboard.vice.com ^[2], vedomosti.ru ^[8]

Автор: Gorodnya

Источник ^[9]