Специалисты компании “Доктор Веб” зафиксировали серию DDoS-атак на сайты российских банков “Росбанк” и “Росэксимбанк”. По данным экспертов, для атак злоумышленники используют вредоносную программу под названием BackDoor.IRC.Medusa.1 (по классификации “Доктор Веб”).
BackDoor.IRC.Medusa.1 относится к категории IRC-ботов – троянов, способных объединяться в ботнеты и получать команды с помощью протокола IRC (Internet Relay Chat). IRC-боты подключаются к определенному чат-каналу и ожидают специальных указаний от своих операторов. Основная функция BackDoor.IRC.Medusa.1 заключается в выполнении DDoS-атак. Как полагают эксперты, именно данный троян использовался в ходе мощных атак на Сбербанк России, осуществленных ранее в этом месяце. Вредонос способен выполнять несколько типов DDoS-атак, а также по команде злоумышленников загружать и запускать на инфицированном устройстве исполняемые файлы.
По информации исследователей, авторы вредоноса активно продвигают BackDoor.IRC.Medusa.1 на подпольных площадках. Как уверяют вирусописатели, ботнет из 100 инфицированных компьютеров способен генерировать до 20000 – 25000 запросов в секунду с пиковым значением в 30000. В качестве доказательства приводится график тестовой атаки на http-сервер NGNIX. В настоящее время на одном из IRC-каналов, использующихся для управления BackDoor.IRC.Medusa.1 зарегистрировано 314 активных подключений. Как выяснилось при анализе журнала переданных ботнету команд, с 11 по 14 ноября 2016 г. киберпреступники неоднократно атаковали web-сайты rosbank.ru (“Росбанк”) и eximbank.ru (“Росэксимбанк”). (Dr.Web/NovostIT)