Новый ботнет Gorilla проводит более 300 000 DDoS-атак в 100 странах
Кибербезопасность столкнулась с новой угрозой, и ее имя — Gorilla, также известная как GorillaBot. Этот ботнет, вариант печально известного ботнета Mirai, развязал поток атак типа «распределенный отказ в обслуживании» (DDoS), превысив 300 000 атак в 100 странах всего за несколько недель. По данным компании по кибербезопасности NSFOCUS, эта непрекращающаяся волна атак произошла в период с 4 по 27 сентября 2024 года, вызвав глобальный хаос.
Table of Contents
Масштабы распространения ботнета Gorilla
Всего за месяц ботнет Gorilla выдал в среднем 20 000 команд DDoS-атак в день. Такие страны, как США, Китай, Канада и Германия, стали его основными целями, при этом пострадал широкий спектр секторов — университеты, поставщики телекоммуникационных услуг, банки и даже игровая и азартная индустрия. Что делает это еще более тревожным, так это масштаб, в котором происходят эти атаки.
Ботнет в основном использует различные векторы атак, включая UDP-флуд, ACK BYPASS-флуд, Valve Source Engine (VSE)-флуд, SYN-флуд и ACK-флуд. Эти методы разработаны для перегрузки целевых систем трафиком, что затрудняет, если не делает невозможным, их нормальное функционирование. Особую озабоченность вызывает использование атак UDP-флуда, которые используют природу протокола UDP без установления соединения для генерации подавляющего объема трафика путем подмены исходных IP-адресов.
Очень сложная вредоносная программа
Помимо своего огромного объема, ботнет Gorilla выделяется своей сложностью. Ботнет разработан для работы на нескольких архитектурах ЦП, включая ARM, MIPS, x86_64 и x86, что позволяет ему проникать в широкий спектр устройств. После заражения системы вредоносная программа подключается к одному из пяти предопределенных серверов управления и контроля (C2) для получения новых команд DDoS.
Кроме того, вредоносная программа использует известную уязвимость в Apache Hadoop YARN RPC, которая эксплуатируется с 2021 года. Таким образом, ботнет Gorilla обеспечивает удаленное выполнение кода на зараженных устройствах, что дает ему возможность сохранять долгосрочный контроль над этими системами. Устойчивость обеспечивается путем создания служебных файлов, которые автоматически запускают скрипт оболочки при каждом запуске системы или входе пользователя в систему.
Стратегии противодействия обнаружению
Что действительно беспокоит в Gorilla, так это то, насколько хорошо он избегает обнаружения. По данным NSFOCUS, ботнет использует методы шифрования для сокрытия ключевой информации, что затрудняет профессионалам по кибербезопасности обнаружение и нейтрализацию вредоносного ПО. Он также заимствует методы шифрования у группы Keksec, печально известного коллектива, известного разработкой вредоносного ПО, нацеленного на устройства IoT и облачные системы. Сочетание этих стратегий позволяет ботнету Gorilla сохранять контроль над зараженными устройствами в течение длительного времени, не будучи обнаруженным.
Почему вам должно быть не все равно
Быстрое расширение ботнета Gorilla и его способность проводить масштабные DDoS-атаки в столь широком диапазоне секторов делают его грозной угрозой для предприятий, правительств и отдельных лиц. Поскольку устройства IoT становятся все более распространенными в домах и отраслях, риск атак с использованием ботнетов продолжает расти. Для организаций, особенно в целевых секторах, принятие немедленных мер по укреплению защиты кибербезопасности имеет решающее значение для смягчения такого рода атак.
Появление ботнета Gorilla — это суровое напоминание о том, что киберугрозы развиваются, становятся все более агрессивными и изощренными. Независимо от того, являетесь ли вы частным лицом, управляющим устройствами IoT дома, или предприятием, управляющим критической инфраструктурой, для того, чтобы опережать эти угрозы, требуется постоянная бдительность и проактивные меры кибербезопасности. С такими ботнетами, как Gorilla, в дикой природе, сейчас не время быть самоуспокоенными.
Организациям следует тесно сотрудничать с фирмами, занимающимися кибербезопасностью, и оставаться в курсе последних уязвимостей и угроз для защиты своих сетей.
