사이버 보안 회사인 Imperva는 금요일에 2.5만 RPS(초당 요청 수)로 정점을 찍은 이름 없는 웹사이트를 대상으로 한 랜섬 분산 서비스 거부(DDoS) 공격을 완화했다고 밝혔습니다.
Imperva의 보안 분석가인 Nelli Klepfish는 "랜섬 DDoS 공격이 새로운 것은 아니지만 시간이 지남에 따라 그리고 새로운 단계에 따라 점점 더 흥미롭게 진화하고 있는 것으로 보입니다."라고 말했습니다. 말했다. "예를 들어 URL 요청에 포함된 공격 자체에 몸값 메모가 포함된 경우를 보았습니다."
공격의 주요 출처는 인도네시아였으며 미국, 중국, 브라질, 인도, 콜롬비아, 러시아, 태국, 멕시코, 아르헨티나가 그 뒤를 이었습니다.
DDoS(분산 서비스 거부) 공격은 DoS(서비스 거부) 공격의 하위 범주로, 봇넷이라고 하는 연결된 온라인 장치 군대가 가짜 트래픽으로 대상 웹사이트를 압도하는 데 사용됩니다. 합법적인 사용자가 사용할 수 없도록 합니다.
캘리포니아에 본사를 둔 회사는 영향을 받은 기업이 DDoS 공격의 일부로 포함된 여러 랜섬 노트를 받았으며 회사가 온라인 상태를 유지하고 "시가총액 수억" 손실을 피하기 위해 비트코인 지불을 요구한다고 말했습니다.
흥미롭게도 공격자들은 자신들을 REvil이라고 부르고 있습니다. 큰 좌절을 겪었다 올해 XNUMX월 초 러시아 법 집행 당국에 다수의 운영자가 체포된 후.
Klepfish는 "그러나 위협이 원래 REvil 그룹에 의해 실제로 만들어졌는지 사기꾼에 의해 만들어졌는지는 분명하지 않습니다."라고 말했습니다.
 |
| 공격 기원 |
2.5만 RPS의 공격은 10분도 채 걸리지 않은 것으로 알려져 있으며, 같은 회사에서 운영하는 자매 사이트 중 하나는 가능한 완화를 피하기 위해 사용된 전술이 지속적으로 변경되었음에도 불구하고 약 XNUMX분 동안 유사한 공격을 지속했습니다.
Imperva가 수집한 증거는 DDoS 공격이 메리스 봇넷, Mikrotik 라우터(CVE-2018-14847) Yandex를 포함한 목표물을 공격합니다.
Klepfish는 "위협 행위자가 있는 사이트 유형은 영업 및 커뮤니케이션에 중점을 둔 비즈니스 사이트로 보입니다."라고 말했습니다. “목표물은 모두 미국이나 유럽에 기반을 두고 있는 경향이 있습니다. 공통점은 모두 거래소에 상장된 회사이고 위협 행위자는 DDoS 공격이 회사 주가."
이 발견은 악의적인 행위자가 TCP 미들박스 반사 야생에서 처음으로 은행, 여행, 게임, 미디어 및 웹 호스팅 산업에 엄청난 양의 가짜 트래픽이 발생했습니다.
랜섬 DDoS 공격은 올해 초 이후 Imperva가 피한 두 번째 봇넷 관련 활동이기도 합니다.
보안 회사는 “공격자는 대규모 봇넷을 사용하여 구직자의 프로필을 수집할 목적으로 400일 동안 거의 400,000개의 고유한 IP 주소에서 XNUMX억 개 이상의 봇 요청을 생성했습니다.”라고 말했습니다. 말했다.
