Prorosyjska grupa hakerska NoName057(16) przeprowadza kolejne ataki DDoS na polskie usługi

Grupa cyberprzestępcza NoName057 prowadzi swoje kanały na Telegrami’e publikując zrzuty ekranu z przeprowadzonych ataków DDoS i manifest, zgodnie z którym jej działania są odpowiedzią na wrogie stanowisko wobec Rosji, a ich siła i doświadczenie przywróci sprawiedliwość. Ich działania nie są prowadzone dla zysku finansowego i są gotowi współpracować z podobnie myślącymi grupami cyberprzestępczymi. Grupa koncentruje się głównie na sektorach administracji publicznej, transporcie, finansach, ubezpieczeniach, bezpieczeństwo narodowe, telekomunikacja, firmy kurierskie, bankowość. Najnowsza wersja DDoS’a została wyposażona w zaawansowaną metodę ochrony, która skutecznie ukrywa listę celów. Lista ta jest bezpiecznie przekazywana użytkownikom z serwera dowodzenia i kontroli (C2) przy wykorzystaniu szyfrowania AES-GCM, jest to złożona metoda, obejmująca klucz, wektor inicjujący (IV) i znacznik, przy czym klucz jest określany na podstawie wartości tokenu, wektora IV i znacznika pochodzącego z zaszyfrowanego tekstu. To wyrafinowane ukrywanie za pomocą  szyfrowania stwarza wyzwania dla ekspertów ds. cyberbezpieczeństwa w zakresie analizowania i łagodzenia ataków DDoS. Rozproszona odmowa usługi (DDoS) to podstawowa metoda ataku tej grupy. Do przeprowadzenia ataku DDoS potrzebne są botnety. Do przeprowadzania ataków DDoS grupa wykorzystywała botnet Redline Stealer Bobik, trojana zdalnego dostępu (RAT). Od 2023 prowadzony jest projekt DDoSia, w którym „wolontariusze” są nagradzani kryptowalutami za skuteczne ataki, wartość zależna jest od ilości skutecznych ataków DDoS.

Ostanie ataki przeprowadzone w Polsce, czerwiec 2024: mpay, metro warszawskie, obywatel.

Dzięki platformie SOCRADAR możemy w czasie rzeczywistym monitorować i skutecznie reagować na wszelkie incydenty dotyczące naszej organizacji