O projeto de DDoS (negação de serviço distribuída) colaborativo pró-Rússia, 'DDoSia', teve um crescimento massivo de 2.400% em menos de um ano, com mais de dez mil pessoas ajudando a realizar ataques em organizações ocidentais.
O projeto foi lançado por um grupo de hacktivistas pró-russos conhecido como "NoName057(16)" no verão passado, alcançando rapidamente 400 membros ativos e 13.000 usuários em seu canal do Telegram.
Em um novo relatório lançado hoje, os analistas da Sekoia afirmam que a plataforma DDoSia cresceu significativamente ao longo do ano, alcançando 10.000 membros ativos contribuindo com o poder de fogo para os ataques DDoS do projeto e 45.000 assinantes em seu canal principal do Telegram (há sete no total).
Além do crescimento no tamanho da comunidade, que também se traduz em ataques mais disruptivos, o DDoSia também melhorou seu conjunto de ferramentas e introduziu binários para todas as principais plataformas de sistemas operacionais, aumentando seu alcance para um público mais amplo.
O registro de novos usuários na plataforma é totalmente automatizado, graças a um bot do Telegram, que atualmente só suporta o idioma russo.
Os novos membros começam fornecendo um endereço de carteira TON (Telegram Open Network) para receber criptomoedas, para o qual o bot responde gerando um ID de cliente único e um arquivo de texto de ajuda.
Em seguida, os novos membros recebem um arquivo ZIP que contém a ferramenta de ataque.
Para executar esses payloads, o arquivo de texto do ID do cliente deve ser colocado na mesma pasta dos payloads para limitar a execução não autorizada por analistas de segurança ou outros "intrusos".
O cliente DDoSia inicia um prompt de linha de comando que lista os alvos obtidos pelo servidor C2 do projeto em forma criptografada e permite que os membros contribuam para gerar solicitações de lixo direcionadas a eles.
A Sekoia descompilou o executável de 64 bits do Windows e descobriu que ele é um binário Go, usando algoritmos de criptografia AES-GCM para se comunicar com o C2.
O C2 envia o ID do alvo, IP do host, tipo de solicitação, porta e outros parâmetros de ataque em forma criptografada para o cliente DDoSia, que é descriptografado localmente.
A Sekoia coletou dados sobre alguns alvos enviados pelo C2 do DDoSia entre 8 de maio e 26 de junho de 2023 e descobriu que aqueles que foram alvo eram principalmente lituanos, ucranianos e poloneses, representando 39% da atividade total do projeto.
Essa concentração de ataques está ligada às declarações públicas desses países contra a Rússia, mas, em geral, os alvos do NoName057(16) parecem ser países da OTAN e a Ucrânia.
NoName057(16) atacou plataformas educacionais em maio e início de junho, provavelmente para perturbar os exames em andamento.
Também é importante destacar que o DDoSia definiu dois sites da Wagner como alvos em 24 de junho de 2023, no dia em que o grupo paramilitar privado tentou uma ofensiva contra o estado russo.
Além disso, embora o DDoSia normalmente estabeleça uma média de 15 alvos diários, em 24 de junho, ele concentrou todo o seu poder de fogo nos sites da Wagner, tratando esse caso como urgente.
Em conclusão, o projeto DDoSia continua a crescer e atingiu um tamanho grande o suficiente para causar problemas significativos aos seus alvos.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...