Ботнет, атакующий российские банки

Специалисты компании «Доктор Веб» зафиксировали серию DDoS-атак на сайты российских банков –Росбанка и Росэксимбанка – с использованием троянца BackDoor.IRC.Medusa.1.

Эта вредоносная программа относится к категории IRC-ботов – троянцев, которые способны объединяться в ботнеты и получать команды с помощью протокола обмена текстовыми сообщениями IRC (Internet Relay Chat). Подключаясь к определенному чат-каналу, IRC-боты ожидают от злоумышленников специальных директив. Основная задача BackDoor.IRC.Medusa.1 заключается в выполнении атак на отказ в обслуживании (DDoS-атак). Как предполагают вирусные аналитики «Доктор Веб», именно эта программа использовалась в ходе недавних массированных атак на Сбербанк России.

BackDoor.IRC.Medusa.1 может выполнять несколько типов DDoS-атак, а также по команде злоумышленников загружать и запускать на зараженной машине исполняемые файлы.

В настоящее время, отмечают в «Доктор Веб», троянец BackDoor.IRC.Medusa.1 активно продвигается на подпольных форумах. Его создатели утверждают, что ботнет из 100 зараженных компьютеров способен генерировать до 20–25 тыс. запросов в секунду с пиковым значением в 30 тыс.

На данный момент на одном из IRC-каналов, контролирующих ботнет BackDoor.IRC.Medusa.1, зарегистрировано 314 активных подключений. Анализ журнала переданных бот-сети команд показывает, что с 11 по 14 ноября 2016 г. злоумышленники неоднократно атаковали веб-сайты rosbank.ru (Росбанк), eximbank.ru (Росэксимбанк), а также fr.livraison.lu и en.livraison.lu (сеть ресторанов Livraison) и korytov-photographer.ru (частный сайт).

Сигнатура BackDoor.IRC.Medusa.1 добавлена в вирусные базы Dr.Web, специалисты компании продолжают следить за развитием ситуации.