geekzillos, el blog Avast Decoded ha publicado la última investigación del grupo de hackers pro-ruso NoName(057)16 sobre el proyecto DDosia. El proyecto DDosia está formado por un grupo de voluntarios que realizan ataques DDoS en nombre de NoName(057)16. Esta publicación es una continuación del análisis original del investigador de Avast, Martin Chlumecki, de ataques DDoS utilizando la red de bots Bobik.
El último análisis del servidor C&C del proyecto DDosia, activo entre el 1 de agosto y el 5 de diciembre de 2022, reveló lo siguiente:
- NoName(057)16 creó un proyecto DDosia usando la botnet Bobik, posiblemente como un plan de respaldo.
- El servidor se cerró a principios de septiembre. Información técnica sobre el ejecutable DDosia, que contiene scripts de Python, y el servidor C&C utilizado para controlar el malware.
- El público objetivo del grupo sigue siendo empresas privadas y públicas (por ejemplo, tribunales, bancos, instituciones educativas, agencias gubernamentales y servicios de transporte) en Polonia, Letonia y Lituania, seguidas de Ucrania.
- Avast observó aproximadamente 1400 intentos de ataques DDoS por parte de miembros del proyecto DDosia, de los cuales 190 tuvieron éxito.
- La tasa de éxito actual del proyecto DDosia es de alrededor del 13%. La tasa de éxito de los ataques aumentó en noviembre, posiblemente debido a ataques dirigidos a varios subdominios que pertenecen al mismo dominio principal. Por lo general, se ejecutan en el mismo servidor. Si este servidor es vulnerable, también alberga todos los subdominios.
- Por ejemplo, el grupo ataca los subdominios que pertenecen al dominio .gov.pl, la mayoría de los cuales se ejecutan en la misma plataforma, lo que aumenta las posibilidades de cerrar los servidores objetivo.
- Muchos de los sitios a los que se dirigió el grupo no tenían contenido antirruso ni servicios esenciales.
Te recomendamos: Recomendaciones de ciberseguridad de Avast para proteger el Wi-Fi
- El canal privado de Telegram del proyecto tiene alrededor de mil seguidores, a quienes el grupo se refiere como “héroes”. Se alienta a los miembros a usar una VPN y conectarse usando servidores fuera de Rusia o Bielorrusia, ya que el tráfico de ambos países a menudo se bloquea en aquellos a los que se dirige el grupo.
- Los “héroes” de DDosia pueden conectar una billetera de criptomonedas utilizando la identificación de usuario contenida en un archivo ZIP que los “héroes” reciben durante el registro, para llevar a cabo con éxito criptomonedas de hasta 80 000 rublos rusos (alrededor de 1200 USD) de los ataques DDoS. Cualquiera puede manipular sus estadísticas de rendimiento porque la comunicación con el servidor C&C no está encriptada ni autenticada.
- Avast detectó una pequeña cantidad de usuarios que intentaban descargar el ejecutable DDosia, pero notó que los usuarios de Avast en Rusia, así como los usuarios de Canadá y Alemania, agregaron el programa a la lista de exclusión de AV de Avast.
- Avast asumió que el grupo DDosia creó un nuevo servidor C&C después de que se cerró el primer servidor y continuó promocionando el proyecto e invitando a nuevos miembros a unirse.
Martin Chlumecky, investigador de malware de Avast declara que si bien puede ser tentador para muchos unirse a estos grupos en línea para mejorar su situación financiera, este sigue siendo un ataque cibernético con todas las consecuencias que conlleva, incluidas las legales. Todo el mundo debería ser consciente de esto.
