IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

شرکت نرم‌افزار و خدمات امنیت سایبری Imperva، یک حمله DDoS باج‌افزاری 2.5 میلیون RPS (درخواست در ثانیه) را خنثی کرده است.

حملات DDoS باج‌افزاری (Distributed Denial of Service) چیز جدیدی نیست، اما اخیراً افزایش ناگهانی در موارد و تکرار آن‌ها مشاهده شده است. طبق گزارش جدیدی از شرکت امنیت سایبری Imperva، این شرکت اخیراً یک حمله DDoS باج 2.5 میلیون RPS (درخواست در ثانیه) را خنثی کرده است.

جزئیات حمله
بر اساس جزئیات به اشتراک گذاشته شده توسط تحلیلگر امنیتی Imperva، نلی کلپ‌فیش، نهادی که حمله DDoS علیه آن هدف قرار گرفت، چندین یادداشت باج در طول این حمله دریافت کرد. کلپ‌فیش خاطرنشان کرد که این شرکت به مهاجمان با بیت کوین پول پرداخت کرده است تا آنلاین بمانند و بدین طریق به از دست دادن "صد‌ها میلیون دلار" ارزش بازار جلوگیری کنند.

شرکت Imperva بیش از ۱۲ میلیون درخواست تعبیه شده را که وب سایت اصلی شرکت را با URL‌های تصادفی هدف قرار می‌دادند، مسدود کرد. علاوه بر این، محققان پیام‌های تهدیدآمیزی را شناسایی کردند که شامل بخشی از درخواست‌ها بود، زیرا مهاجمان از آن‌ها درخواست باج داشتند.

در همان روز، در همان سایت، طبق پست وبلاگ Imperva، دوباره بیش از ۱۵ میلیون درخواست را خنثی کرد، اما این بار URL حاوی پیام دیگری بود. اما، مهاجمان تا حدودی از تاکتیک‌های تهدید مشابهی استفاده کردند و به مدیر عامل شرکت برای عواقب مخرب، مانند سقوط شدید قیمت سهام شرکت در صورت عدم پرداخت باج، هشدار دادند

مخرب‌ترین حمله یک دقیقه طول کشید، در حالی که Imperva دو و نیم میلیون RPS (1.5Gbps ترافیک TCP از نظر پهنای باند) را به عنوان بیشترین تعداد درخواست‌های دریافتی اندازه‌گیری کرد. این شرکت با موفقیت به ۶۴ میلیون درخواست در یک دقیقه پاسخ داد.

حمله مشابهی توسط سایت همکار این نهاد مورد هدف قرار گرفت که ۱۰ دقیقه به طول انجامید. آن‌ها مشاهده کردند که مهاجمان به طور مداوم تاکتیک‌های حمله و یادداشتهای درخواست باج را تغییر می‌دهند تا از مسدودسازی آن جلوگیری کنند.

تحقیقات بیشتر نشان داد که حمله DDoS از بات نت Meris منشأ گرفته است که از یک نقص امنیتی اصلاح شده در روتر‌های Mikrotik استفاده می‌کند. این آسیب‌پذیری به‌عنوان CVE-۲۰۱۸-۱۴۸۴۷ طبقه‌بندی می‌شود.

لازم به ذکر است که سال گذشته، بات‌نت Meris در یکی از بزرگترین حملات DDoS به Yandex، یک غول فناوری و موتور جستجو مستقر در روسیه، نیز مورد استفاده قرار گرفت.

در مورد ایمپروا، این شرکت حدود ۳۴۸۱۵ منبع منشأ حمله را شناسایی کرده است. این حملات چندین روز به طول انجامید، حتی گاهی اوقات چندین ساعت در روز ادامه داشت. در ۲۰ درصد مواردی که Imperva مشاهده کرد، مهاجمان ۹۰ تا ۷۵۰ هزار RPS را ارسال کردند. منابع اصلی حمله شامل کشور‌هایی چون هندوستان، چین، برزیل، روسیه، مکزیک، تایلند، کلمبیا، آرژانتین، اندونزی و ایالات متحده هستند.

آیا گروه REvil در پس حمله بوده است؟
ایمپروا واقعیت جالبی را گزارش کرد که مهاجمان ادعا می‌کردند اعضای باند بدنام RaaS (ransomware-as-a-service) REvil هستند. با این حال، طبق تحقیقات Imperva، هنوز تأیید نشده است که این ادعا‌ها توسط اپراتور‌های اصلی REvil یا برخی از افراد متقلب مطرح شده باشد. این بدین دلیل است که باند باج‌افزار REvil اخیراً پس از دستگیری چند نفر از اعضای آن در روسیه و برخی در رومانی، اوکراین و کویت دچار شکست بزرگی شده است.

این حمله DDoS باج‌گیری دومین فعالیتی از این دست است که شامل بات‌نت‌ها می‌شود که Imperva از ژانویه ۲۰۲۲ خنثی کرده است. قبلاً این شرکت از حمله خرابکاری وب علیه یک پلتفرم فهرست مشاغل جلوگیری کرده بود.

در آن حادثه، مهاجم از یک بات نت در مقیاس بزرگ شامل بیش از ۴۰۰ میلیون درخواست بات از تقریباً ۴۰۰۰۰۰ آدرس IP منحصر به فرد در طول چهار روز برای سرقت پروفایل متقاضیان استفاده کرده بود.