«Это не шутка», говорится в обращении злоумышленников. На самом деле, шутка


The Wizard of Oz (1939)

Вымогательство — давний «бизнес». Настолько давний, что отследить историю появления этого вида преступлений просто невозможно. Но уже в наше время появилась новая разновидность вымогательства, которую используют киберпреступники. Это DDoS-вымогательство (не говоря уже о криптовымогателях).

Злоумышленники отправляют потенциальной жертве сообщение с требованием выплатить определенную сумму. В противном случае жертве угрожают DDoS-атакой, в результате чего компания или частное лицо могут потерять больше денег, чем просто заплатив вымогателям. Как выяснилось, такая тактика работает очень хорошо — можно даже не иметь никаких ресурсов для DDoS, просто угрожать — и денежки потекут рекой.


Вот так выглядит угроза нового типа преступников. Требуется заплатить определенную сумму до наступления определенной даты, иначе — смерть от DDoS

По всему миру было разослано довольно много таких сообщений, причем авторство коллективное — упоминается некое сообщество Armada Collective. Представители этого сообщества требуют заплатить 10 биткоинов. Если оплата не поступит до определенной даты, будет запущена DDoS-атака. Остановить ее можно будет уже не за 10, а за 20 биткоинов, и каждый день «просрочки» будет стоить жертве еще 10 биткоинов. В конце сообщения говорилось, что «это не шутка».

На самом деле это шутка. Команда компании CloudFlare провела собственное расследование, в ходе которого выяснилось, что ни одна из компаний, предоставляющих анти-DDoS услуги, не сталкивалась с атакой этой группы (злоумышленники заявляли о возможности проведения атаки мощностью вплоть до 1Tbps, но ничего подобного зафиксировано не было). Более того, к компаниям, которые работают в этой сфере, никто не обращался, жалуясь на Armada Collective.

При этом злоумышленники утверждали, что получив оплату, они будут знать, кто заплатил. На самом деле, у большинства жертв просили одну и ту же сумму, которая отправлялась на один и тот же биткоин-счет. В этом случае узнать, кто заплатил, а кто нет, при достаточно большом количестве транзакций практически невозможно.

Зато удалось узнать, что злоумышленники, ведущие столь странную игру, получили от своих «жертв» уже более $100000 в эквиваленте bitcoin.

Более того, выяснилось, что раньше действительно существовала группа Armada Collective, которая действовала схожим образом. Но ее выявили и обезвредили еще в ноябре 2015 года. До сих пор участники группы находятся в местах не столь отдаленных, а кто-то пользуется их лаврами для получения выкупа. Оригинальная Armada Collective заявляла о возможности осуществления атаки мощностью вплоть до 500Gbps, но CloudFlare и аналогичные сервисы не фиксировали ничего мощнее 60Gbps. Что касается «наследников», то их заявление об атаке мощностью в 1Tbps и вовсе сказка.

Как бы там ни было, специалисты из CloudFlare призывают пользователей, которые получили подобные сообщения, относиться к ним объективно. Для того, чтобы не получить проблему — стоит попробовать получить дополнительную информацию об отправителе такой угрозы (а их может быть несколько, сейчас угрозы такого рода отправляет несколько команд злоумышленников). Понятно, что в CloudFlare советуют защитить себя и свой бизнес, обратившись при получении сообщения злоумышленников в компанию.


The Wizard of Oz (1939)

Комментарии (39)


  1. devlind
    26.04.2016 07:24
    +1

    Вспомнилась история одного из аноновк как в 90-х ходили ребята в спортивных костюмах и собирали деньги для страховки от пожара, а на вопрос вроде: «Ребят, вы что с ума сошли, от какого пожара?», они отвечали: «От нашего!».


    1. hdfan2
      26.04.2016 09:13
      +4

      А поздно ночью в тёмном переулке предлагали купить кирпич. Дорого. Один. Покупали.


      1. olekl
        26.04.2016 11:15
        +1

        Думаю, как раз там ДоС был вполне реальным в случае отказа…


        1. Elmot
          26.04.2016 17:09
          +2

          Доской Об Спину?


    1. aronsky
      26.04.2016 15:09

      Сейчас их дети оставляют на машинах записку с предложением скинуть на мобильный номер денюжку, иначе машина будет побита.


  1. Joker-xxl
    26.04.2016 10:33
    +2

    Это же готовый бизнес план!


  1. Saffron
    26.04.2016 11:00

    А всего лишь достаточно ввести ответственность пользователей за поведение их компьютера. Чтобы без отмазок «злой хакер сломал мой компьютер». Твой компьютер — твоя ответственность. Не хочешь ответственности — покупай приставку или терминальный сервис от провайдера.

    А то развели из-за безответственности миллионные ботфермы. Мой старый добрый провайдер, ныне уже почивший, за спам и вирусы блокировал интернет. Хочешь интернет обратно — почисти компьютер. Всем бы так.


    1. NikiN
      26.04.2016 11:11
      +9

      Мой старый добрый провайдер, ныне уже почивший
      возможно по этому и почивший


    1. OnYourLips
      26.04.2016 13:41
      +1

      Компьютер не является источником повышенной опасности, поэтому при отсутствии вины вводить ответственность — совсем тухло.
      Даже автомобили не являются источником повышенной опасности в большинстве стран.
      Россия, к сожалению, редкое исключение.


      1. Saffron
        26.04.2016 15:27
        -1

        Ответственность без вины — это норма для гражданского кодекса.

        Твой компьютер — ты устанавливаешь туда сам программы, какие хочешь. Если установил спамбота (или делегировал установку другой добровольно установленной программе, например windows), то значит и отвечать должен за его действия.

        Логичная мера ответственности за нарушение работы интернета — отлучение от интернета.


        1. chesterset
          27.04.2016 00:34
          +2

          О да, и наступит мир и порядок в нашей новой галактической империи интернетах. Уже придумали способ 100% защиты от вирусов/троянов/ботнетов? Скажем, пользователь грамотен, не открывает левые ссылки, православно пользуется только одноклассниками и рамблером. Но вот ему по работе прислали документ, который отправитель (знакомый и доверенный) сам получил от босса, а тот от другого и т.д. Документ оказался зараженным, пользователь об этом ничего не подозревает, как и сотня антивирусов, которые он под страхом лишения жизни интернета поустанавливал. Вырубаем ему интернет, и путь он сам разбирается?

          Раз уж оператор умеет блокировать «подозрительных» пользователей, тогда оповещение о том, что пользователь генерирует кучу странного трафика и совета проверить систему на наличие вирусов будет предостаточно. Про ответственность за действия windows — ну это как наказывать человека за то, что нанятая им уборщица убила прохожего. Вы когда запускаете какой-либо инсталятор/программу уверены на 100%, что она выполняет только ту функцию, о которой вы знаете? Если операторы взяли бы на себя просветительскую роль и слали оповещения, с объяснениями, что такое ботнет и как проверить свой комп на его наличие — это было бы действительно круто, подстегнуло бы компьютерную грамотность населения в разы. А рубить интернет при большом трафике — это варварство.


          1. Saffron
            27.04.2016 02:26
            -1

            Да, пусть сам разбирается, это недорого. Или пусть покупает услуги сторонней адмниской фирмы, которая сделает ему виртуальный рабочий стол по сети. Мне вот за последнии 8 лет работы за компом ни одного трояна не прилетело. А если вдруг прилетит — штраф от провайдера будет моей меньшей заботой, а очистка компа или откат на гарантированно чистые бекапы потребуют гораздо больших усилий.

            Я требую свободу софта. Я как владелец компа могу ставить любой софт для него. Выбирать браузер, операционную систему, биос. Но нет свободы без ответственности. Раз я сам всё это ставлю, то и отвечаю сам.

            А те, кто не могут отвечать, пусть лишаются и свободы — ставят себе нерутованные устройства, отвечать за которые будет производитель.

            > Про ответственность за действия windows — ну это как наказывать человека за то, что нанятая им уборщица убила прохожего.
            Плохая аналогия подобна котёнку с дверцей.

            Windows — это программа, не человек. Она не обладает своей волей и в точности следует указаниям хозяина (правда сейчас так частенько бывает, что хозяином является не покупатель, а производитель). Эти указания записаны в форме бинарного кода и интерпретируемых скриптов, которые исключают всякую неоднозначность.

            > Вы когда запускаете какой-либо инсталятор/программу уверены на 100%, что она выполняет только ту функцию, о которой вы знаете?
            Конечно нет. Я вынужден оценивать риски. И если они слишком велики — не запускаю программу.


      1. Wesha
        27.04.2016 00:08
        +2

        > Компьютер не является источником повышенной опасности

        «Экскурсовод:
        — А сейчас мы проезжаем мимо публичного дома…
        Голос из глубины автобуса:
        — А *ПОЧЕМУ*?!?!?»


    1. ximaera
      26.04.2016 15:00
      +2

      Как вы понимаете, от DDoS-атак в первую очередь страдают те, кто делает бизнес в Интернете. Введение ответственности пользователя за поведение заражённого ПК ударит по таким бизнесменам куда сильнее, чем любые DDoS-атаки или взломы. Люди начнут опасаться выходить в Интернет, и прибыли Интернет-компаний неизбежно упадут. Так что это не выход.

      Не говоря уже о том, что всевозможных законодательных инициатив в этой отрасли было уже вполне, на мой взгляд, достаточно, и лучше бы в дальнейшем по возможности обходиться без оных.


      1. Saffron
        26.04.2016 15:32
        -2

        > Введение ответственности пользователя за поведение заражённого ПК
        >…
        > Люди начнут опасаться выходить в Интернет, и прибыли Интернет-компаний неизбежно упадут. Так что это не выход.

        Не правильно. Люди начнут опасаться выходить в интернет с ПК. А вот с планшетов, наоборот, будут заходить часто. С телевизоров. Если пользователь не рутовал устройство, то его ответственность переходит на производителя оборудования. Поставил самсунг дырявые телевизоры — он и будет платить. А с какой скоростью будет вытекать деньги из длинков и зикселей, в которых дырки с рутовым доступом находят раз в месяц!


        1. ximaera
          26.04.2016 15:52
          +2

          Вы случайно не в Госдуме работаете?..

          Вы же просто-напросто останетесь без роутеров и телевизоров Samsung. На рынке будут только телевизоры Shanxi, Xingao и прочих производителей, закрывающихся спустя 6 месяцев после выпуска первого продукта.

          Наличие уязвимостей в ПО — в общем случае не следствие плохой инженерии, ошибки бывают везде. Ни в каком идеальном мире вам не удастся вылечить проблему уязвимостей в принципе, тем более законодательными методами.


          1. Saffron
            26.04.2016 16:03

            Наличие уязвимостей в ПО — это частично следствие безнаказанности. Вот возможность игнорировать последствия ошибок привело к тому, что бюджета на безопасность не выделяется совсем. Ну и растут от этого пробелы в безопасности как грибы после дождя.

            И я не предлагаю сажать на электрический стул за ошибки в ПО. Просто адекватное денежное наказание, недостаточно страшное, чтобы народ отказался от компьютеров совсем, но достаточно большое, чтобы привести людей в сознание.


          1. ufm
            27.04.2016 04:34

            Интересно, согласились-бы Вы жить в доме, если-бы при его строительстве придерживались аналогу лицензии на софт. В которой обычно написано «мы ни за что ответственность не несём». А когда подобный дом разваливался-бы — то строитель отмазывался фразой «ошибки бывают везде. Ни в каком идеальном мире вам не удастся построить неразваливающийся дом в принципе, тем более законодательными методами.»


            1. ximaera
              27.04.2016 11:55

              Я и так всю жизнь живу в таких домах. К-7, 1-447, II-18/12, П-3М — все эти дома тотально уязвимы с точки зрения взлома или уничтожения подготовленным злоумышленником. Авторы домов рекомендуют для защиты от взлома использовать замки на дверях и решётки на окнах, но такие методы защиты также несовершенны и легко проходятся на практике. Что же касается защиты от атак на отказ в обслуживании, то с этим всё совсем плохо.

              Или вы имели в виду дома, которые разваливаются сами по себе? Ну так и прошивка телевизора сама собой не разваливается, ей в этом помогают трояны.


              1. Saffron
                27.04.2016 13:00

                Ага. Когда наш дом падает от ветра, мы жалуемся на злого волка, который подул на домик, а не на себя, которые такой дом построили.


                1. ximaera
                  27.04.2016 13:22
                  +1

                  Нет, конечно, я бы с удовольствием жил в средневековом каменном замке, устойчивом даже к направленным взрывам. Но у меня нет таких денег, и я вполне отдаю себе в этом отчёт.

                  Ну и, опять же, штрафовать архитекторов за то, что их дом рухнул от 1500 кг в тротиловом эквиваленте — это чушь. Все дома тогда будут с трёхметровыми стенами, квартиры-однушки в них будут стоить по миллиону евро, а мы все будем жить на улице.


                  1. Saffron
                    27.04.2016 16:31

                    Проблема в том, что софт рушится не от внешнего воздействия, а от внутренних. Вроде как дом без фундамента.


                    1. ximaera
                      27.04.2016 17:49

                      Какое именно внутреннее воздействие вы в данном случае имеете в виду?


                      1. Saffron
                        27.04.2016 23:27

                        Ты строишь дом. Ты знаешь, что почва имеет свойство двигаться, а дом должен стоять неподвижно. Забиваешь сваи, заливаешь фундамент — профит. Игнорируешь проблему, не забиваешь сваи, потому что конечному пользователю они не видны и он за них не платит — через несколько лет дом пойдёт трещинами, а потом развалится.

                        Или ты собираешь веб сервер. Тебе прекрасно известно, что может придти любой пакет на открытый порт. Но ты забиваешь на надёжность софта и полагаешь что приходить будут только запросы определённого вида. В результате рано или поздно ты поймаешь нестандартный запрос и твой сервер сложится как карточный домик. Причём запрос этот может быть даже автоматически сгенерированным (так однажды веб кравлер гугла удалил целый сайт, нажимая на визуально скрытую кнопку «удалить»).


    1. stanislavkulikov
      27.04.2016 18:05

      Для начала нужно классифицировать DDoS атаку как преступление. Удачи вам с этим )
      А на счёт почившего интернет провайдера, хотел бы я посмотреть на их договор, где прописаны запреты на DDoS атаки, спам, распространение вирусов. Сдаётся мне, что такие действия, как вышеописанные блокировки, можно характеризовать как некачественное предоставление услуг и подавать в суд на провайдера.


      1. Saffron
        27.04.2016 23:35

        Да, так и было прописано. В условиях пользования сети. Запрещены и DDoS атаки, и спам, и распространение вирусов. При обнаружении — временное прекращение предоставления услуги. Пока вирус живёт у тебя на компе — всё нормально. Только пытается по сети заразить других пользователей провайдера — тебя банят. Специально honey pot были натыканы.


        1. Zibx
          29.04.2016 12:09

          Где та грань между вирусом и антивирусом? А между ботнетом и проектом SETI? Распространением вирусов как правило занимаются сами вирусы, а не пользователи с умыслом (иначе они бы делали это как минимум не со своего компьютера).
          В чём отличие DDoS атаки от захода на сайт всем китаем? Возможно в том что при организации DDoS с каждого устройства идёт много запросов? Но тогда достаточно зайти на сайт любой биржи с обновлением графиков в реальном времени и вот они те же миллионы запросов, если браузер и биржа не умеют в вебсокеты.


          1. Saffron
            29.04.2016 14:31

            Вирусы есть в базе данных вирусов. Если компьютер клиента пытается проинсталлировать вирус на сетевой ресурс, то его заносят в чёрный список. Ботнет частенько используется для неэтичных задач. И жалуются именно на последствия. Спам отличается от рассылки жалобами конечных пользователей. Спам на IP адрес вычисляется по той же схеме.


  1. markmariner
    26.04.2016 13:36

    А что-то я никак не пойму у кого такого они узнали, сколько на этих письмах было заработано?

    Или кто-то третий может проследить транзакции биткойнов?


    1. ximaera
      26.04.2016 14:22
      +1

      Кто угодно может проследить транзакции биткоинов, так как суть всей идеи Bitcoin в том, что все транзакции открыты для чтения всем желающим.


    1. ximaera
      26.04.2016 14:51

      Вот, например, удобный онлайн-инструмент для этого: https://blockchain.info/.


    1. Tatikoma
      26.04.2016 14:57
      +1

      Все транзакции в сети bitcoin открыты. Проследить транзакции может кто угодно.


    1. ProstoUser
      26.04.2016 14:57
      +2

      Именно. Все транзакции доступны всем. Так что любой пользователь биткоина может совершенно легальным образом узнать, точнее просто посмотреть, сколько переводов поступило на кошелек. Для этого достаточно знать только адрес кошелька.

      А потом, с этого кошелька деньги уже можно вывести на другой кошелек для обналичивания через миксер.


  1. ximaera
    26.04.2016 14:52
    +1

    Как бы там ни было, специалисты из CloudFlare призывают пользователей, которые получили подобные сообщения, не переживать и не платить. Атаковать никто не будет, это фейк, обман, хотя и довольно прибыльный для авторов идеи.
    Извините, marks, но это фактически не так. В конце оригинального поста Мэтью Принс сделал достаточно важное примечание, которое вы опустили:
    «It's important to note that not all DDoS extortion threats are empty. There are several groups currently sending out extortion emails that actually do follow through on their threats. I won't name them here so as not to encourage copycats».
    Платить шантажистам, конечно же, не следует (это относится, кстати, не только к сфере атак на отказ в обслуживании), но рассчитывать на их беспомощность крупная организация тоже не может. Вернее, не должна бы изначально, загодя, но уж тем более не может тогда, когда письмо с угрозами уже пришло. Платить не нужно, но огульно игнорировать подобные письма департамент ИБ не будет.



    Есть и другой существенный момент, которого уже нет и в исходном посте. Конечно же, Armada — это не первая группа, чьи угрозы пытаются имитировать самозванцы. Упомянутые Мэтью DD4BC также фигурировали в аналогичных письмах. Вообще, спустя 3-4 месяца после «дебюта» какой бы то ни было группировки (PumpWaterReboot/DD4BC/Armada/you name it) у неё появлялись подражатели.

    Идея в том, что мы не можем уверенно утверждать, что эти подражатели — это какая-то одна определённая группировка. Оригинальная Armada Collective, конечно, это какие-то конкретные люди, но их последователей может быть много (да хоть по одному на каждый заявленный лже-Армадой BTC-счёт), и это могут быть совершенно разные люди с разными возможностями и разными потребностями.
    «We've seen examples of the „protection fee“ requested that range from 10 – 50 Bitcoin. There does not appear to be any correlation of the amount requested and the size or financial resources of the threatened victim».
    Спустя 3-4 месяца после своего появления анонимная группировка вроде Armada неизбежно перестаёт быть, собственно, определённой группировкой и становится явлением, конечно, с некоторыми определёнными характеристиками, но без какой-либо чёткой идентификации в плане мощностей или методов организации атак. Соответственно, уверенно говорить об отсутствии возможностей для атак у той или иной лже-Армады невозможно.


    1. marks
      26.04.2016 14:58
      +2

      Конечно, далеко не все подобные угрозы пусты. Сейчас подкорректирую текст, спасибо.


    1. Welran
      27.04.2016 09:48

      Совершенно неважно существовала ли группа Армада на самом деле. Большинство людей вообще не знает никаких хакерских групп и это название им ничего не скажет. Тут могло быть абсолютно любое название, чем внушительнее тем лучше. Оно призвано просто усилить впечатление от угрозы, что бы создать иллюзию, что это группа профессиональных хакеров. Ведь впечатлить жертву, честно признаваясь, что ты на самом деле просто Вася Пупкин из 9го «б» нет так то легко.


  1. Jump
    26.04.2016 16:33
    +6

    Эх, куда катиться мир…
    Пробегутся такие мошенники не имеющие за душой даже захудалого ботнета, соберут миллионы, а потом честные DDoS'еры вложившиеся в инфраструктуру не могут заработать ни гроша, и вынуждены себе отказывать в самом необходимом.


  1. billyevans
    26.04.2016 18:08

    В мою фирму как раз где-то в конце октября они писали с угрозами, ровно с такой же приговоркой, что это не шутка. В итоге нихрена не было и никто платить им не собирался. Но тогда по поиску в гугле было много каких то новостей, что они там заддосили полинтернета уже…


  1. Mike-X
    27.04.2016 18:04
    +1

    Они просто DOSили требованиями оплаты