CIBERSEGURIDAD

¿Qué está haciendo un Booter DDoS ruso para sus propietarios?

A finales de 2014, ASERT presentó investigar donde asignamos algunos anuncios de booter DDoS en foros en ruso a sus infraestructuras de botnet DDoS detrás de escena. Para esta publicación, haremos un seguimiento de esa investigación un poco mirando otra de estas asignaciones y tratando de estimar los ingresos generados por el servicio DDoS.
Comienza con un anuncio
En este mercado, casi siempre comienza con un anuncio de un servicio de arranque DDoS en uno de los muchos foros públicos en ruso. En este caso de estudio, un actor de amenazas conocido como «Forceful» ejecuta el servicio. La búsqueda de su número ICQ y / o dirección de Jabber devuelve una serie de anuncios a partir de noviembre de 2014. Aquí hay un anuncio de ejemplo (traducido por Google):
anuncio
Estos tipos de anuncios suelen contener:

  • Un logotipo, pancarta o lema elegante
  • Breve explicación de qué es DDoS
  • Tipo de ataques DDoS que admiten
  • Precios
  • Información de reputación
  • Detalles de contacto

Luego pivota en un error de OPSEC
Sin embargo, lo que estos anuncios no suelen contener son los detalles de comando y control (C2) de sus botnets que se utilizan para llevar a cabo los ataques DDoS adquiridos. Dar el salto de la publicidad a la botnet normalmente requiere que el actor de la amenaza cometa un error de seguridad operativa pública (OPSEC). Estos errores vienen en varios sabores y este fue uno de los de Forceful:
av_test_p1
av_test_p2
El actor estaba participando en un foro de discusión sobre un cifrador, una herramienta que se utiliza para cifrar / ofuscar ejecutables de malware para ayudar a evadir la detección de antivirus y obstaculizar el análisis. Al igual que con los otros participantes en el hilo, Forceful publicó una captura de pantalla de los resultados de un servicio de escaneo de virus para probar qué tan efectivo era el cifrador en una muestra de malware. En la parte inferior de la captura de pantalla, se enumeran los siguientes hash del ejecutable cifrado:

  • cf87f70901a1f16015bd10c289e8c3ed (MD5)
  • d361e3ddfc4e6f03ed7bad5586934854478708a5 (SHA1)
  • Fecha de compilación: 2015-09-19 12:39:43

El error de Forceful fue que, en lugar de eliminar el ejecutable de prueba, se distribuyó a la naturaleza. Una vez lanzado, fue recogido por el zoológico de malware de ASERT y otros.
El Malware
El dominio C2 de este malware es «kypitest[.]ru ”y su teléfono de casa se ve así:
teléfono de casa
La solicitud HTTP muestra signos reveladores del bot G-Bot DDoS. Visitar el panel C2 del bot confirma esta sospecha:
kypitest_panel
La siguiente muestra también está relacionada:

  • 7ab6d627c7149ec88909a90bd64ce6e1 (MD5)
  • SHA1: 4fab28b1bbce94f077861ca2d9d8299b005fa961 (SHA1)
  • Fecha de compilación: 2015-07-02 12:57:16

Los ataques
ASERT controla las botnets DDoS y su actividad de ataque con nuestro Cazarecompensassistema de monitorización de botnets y kypitest[.]ru no es una excepción. El primer ataque que registramos para esta botnet fue el 9 de julio de 2015 y ha habido una actividad constante desde:
ataques
En el momento de escribir este artículo, se han observado ataques en 108 hosts / IP de destino únicos en los siguientes países:
países
Los ataques se pueden clasificar en los siguientes tipos:
tipos_ataque
Un segundo error de OPSEC ayuda a corroborar
Mientras que un actor de amenazas DDoS autoidentificado que publica un hash MD5 de un malware DDoS conocido se siente como un vínculo sólido entre un anuncio de DDoS como servicio y una botnet DDoS; un segundo error de OPSEC por parte del actor de amenazas ha ayudado a fortalecer su asociación con kypitest[.]ru. El 11 de noviembre de 2015, Forceful inició un hilo de foro (incluidos los registros de mensajería instantánea ICQ) quejándose de que otro foro (tophope[.].ru) había eliminado injustamente su anuncio DDoS:
opsec2
La traducción de Google del hilo no fue excelente, pero un colega con fluidez en ruso proporcionó traducciones útiles de algunas de las partes más interesantes:

Entonces, he decidido traer a colación mi viejo hilo. https://www.itsecurityguru.org/2016/03/03/whats-russian-ddos-booter-making-proprietors/
hoy y descubrí que fue eliminado sin ninguna notificación. Intenté contactar a alguien en el chat, no hubo respuesta, intenté contactar al administrador «Nerom», tampoco hubo respuesta. Bueno, he decidido «cargar» su foro durante 1-2 horas, solo para probar. En un par de minutos, el administrador enojado me contacta.


Nerom: te revelaste
Nerom: Iré al departamento de policía hoy.
Nerom: hacer una declaración al respecto
555762555: Bueno, querías una prueba
555762555: ¿cómo esto no es una prueba?
Nerom: Bueno, la prueba no fue válida.
Nerom: Estás atacando al servidor sin protección.

Nerom: he hecho una declaración
Nerom: se está comprobando tu IP
Nerom: alguien te visitará mañana

Dos días después, el 11 de noviembre de 2015, BladeRunner observó lo siguiente:
bladerunner_attacks
Este es un ataque DDoS de múltiples frentes ordenado por el kypitest[.]ru C2 en el foro mencionado anteriormente y su dirección IP de alojamiento.
La estimación
Antes de ejecutar los números, echemos un vistazo a un ataque específico. A partir del 8 de agosto de 2015 alrededor de las 08:47, se lanzó un ataque «.httpflood» contra un grupo de minería de criptomonedas. El ataque continuó durante dos días y alrededor de 21 horas hasta el 11 de agosto de 2015 alrededor de las 06:07. Según una publicación del 8 de agosto en Reddit del grupo de minería, parece que este ataque fue desafortunadamente exitoso:
comentario
El precio del actor de amenazas está disponible en el anuncio de arranque DDoS:

  • Diario – $ 60
  • Semanal – $ 400
  • 10% de descuento en pedidos de $ 500
  • 15% de descuento en pedidos de $ 1000

No se especifica un precio por hora en el anuncio, por lo que aquí se usa un precio de $ 2.50 ($ 60/24 horas = $ 2.50). Con estos precios, los ingresos estimados generados por el ataque anterior fueron:

2 días x $ 60 + 21 horas x $ 2,50 = $ 172,50 (redondeado a $ 173)

Utilizando esta metodología en los otros ataques observados, se realizaron las siguientes estimaciones:
números
BladeRunner sondea las redes de bots aproximadamente una vez por hora, por lo que las duraciones de los ataques de menos de una hora no son tan precisas. Además, según el anuncio de Forceful, ofrecen una prueba gratuita de 5 a 10 minutos, por lo que es factible que muchas de estas entradas sean pruebas rápidas. Por estas dos razones, no se contabilizan para la estimación de ingresos.
Los dominios e IP relacionados en el mismo período de tiempo se agruparon en el mismo ataque. Los ataques resaltados en amarillo están en el mismo objetivo, pero se realizaron con varios días de diferencia.
Al final, el total de ingresos estimados para los 82 ataques desde el 9 de julio de 2015 hasta el 18 de octubre de 2015 fue de $ 5,408. El ingreso medio estimado por ataque fue de $ 66 y el ingreso medio estimado por día fue de $ 54.
Conclusión
Como vemos en el más reciente de Arbour Informe mundial de seguridad de la infraestructura (WISR), el costo promedio para la víctima de un ataque DDoS es de alrededor de $ 500 por minuto. Y como hemos visto anteriormente, el costo medio para el atacante es de solo $ 66 por ataque. Este hallazgo destaca tanto la asimetría extrema de la economía de los atacantes DDoS frente a los de las víctimas de los ataques DDoS, como también la importancia de defensas DDoS sólidas para todas las organizaciones que dependen de su presencia en línea para obtener ingresos, atención al cliente y otros aspectos importantes. funciones de negocio. El costo de lanzar un ataque DDoS es tan bajo que la barrera de entrada para los atacantes es prácticamente nula, y eso significa que * cualquier * organización puede ser potencialmente el objetivo de un ataque DDoS, ya que la inversión requerida para lanzar un ataque es muy baja .
Además, es importante comprender que la economía del operador de arranque / estrés es extremadamente favorable. El operador de arranque / estrés está aprovechando PC, servidores y dispositivos de IoT, como enrutadores de banda ancha domésticos, para configurar una empresa de DDoS como servicio con cero costos de infraestructura y ancho de banda, porque el servicio de arranque / estrés es clandestina e ilegalmente aprovechando la infraestructura. y conectividad que pertenece a otros; el operador de booter / estresador no paga impuestos sobre los ingresos ilícitos del servicio; y cientos o incluso miles de atacantes pueden utilizar simultáneamente el servicio booter / stresser para lanzar ataques DDoS, aumentando así considerablemente los ingresos libres de impuestos / libres del servicio.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar