Grupo de hackers prorruso NoName(057)16 utiliza la crisis económica para llamara las personas a convertirse en hacktivistas

Una nueva investigación sobre el proyecto DDosia del grupo de hackers prorruso NoName(057)16 se ha publicado en el blog Avast Decoded. El proyecto DDosia está conformado por un grupo de voluntarios que llevan a cabo ataques DDoS en nombre de NoName(057)16. La publicación es una continuación del análisis original del investigador de Avast Martin Chlumecky sobre los ataques DDoS utilizando la red de bots Bobik. Encontrarás una declaración de Martin más adelante en este correo.

El último análisis del servidor C&C del proyecto DDosia, activo entre el 1 de agosto y el 5 de diciembre de 2022, reveló lo siguiente:

    NoName(057)16 creó el proyecto DDosia mientras utilizaba la red de bots Bobik, probablemente como plan de respaldo. El servidor fue desmantelado a principios de septiembre.

    Detalles técnicos del ejecutable DDosia, que contiene scripts Python, y del servidor de C&C (usado para controlar malware).

    El grupo sigue dirigiéndose a empresas privadas y públicas (tribunales, bancos, instituciones educativas, organismos gubernamentales y servicios de transporte, por ejemplo) en Polonia, Letonia y Lituania, y le sigue Ucrania.

    Avast observó alrededor de 1.400 intentos de ataque DDoS por parte de miembros del proyecto DDosia, 190 de los cuales tuvieron éxito. La tasa de éxito actual del proyecto DDosia es del 13 % aproximadamente.

    La tasa de éxito de los ataques aumentó en noviembre, probablemente debido a ataques dirigidos a múltiples subdominios pertenecientes a un mismo dominio principal. A menudo, estos se ejecutan en el mismo servidor. Si ese servidor es vulnerable a los ataques, todos los subdominios alojados en él también lo son.

        Por ejemplo, el grupo atacó a subdominios pertenecientes al dominio .gov.pl, la mayoría de los cuales se ejecutan en la misma plataforma, lo que aumenta sus posibilidades de derribar un servidor seleccionado.

        Muchas de las páginas atacadas por el grupo no tienen contenido antirruso ni ofrecen servicios críticos.

    El canal privado del proyecto en Telegram tiene unos mil seguidores, a los que el grupo se refiere como "héroes". Ahí se anima a los miembros a utilizar una VPN y a conectarse a través de servidores fuera de Rusia o Bielorrusia, ya que el tráfico procedente de ambos países suele estar bloqueado en aquellos a los que se dirige el grupo.

    Los "héroes" de DDosia pueden vincular una billetera de criptomonedas, utilizando un identificador de usuario incluido en el archivo ZIP que los "héroes" reciben tras registrarse, para ganar hasta 80 mil rublos rusos (aproximadamente 1.200 dólares) en criptomonedas por los ataques DDoS que lleven a cabo con éxito.

    Cualquiera puede manipular sus estadísticas de rendimiento, ya que la comunicación con el servidor C&C no está cifrada ni autenticada.

    Avast detectó un puñado de usuarios intentando descargar el ejecutable DDosia, pero se dio cuenta de que los usuarios de Avast en Rusia, así como los usuarios en Canadá y Alemania añadieron el programa a la lista de excepciones de Avast AV.

    Un "héroe" de DDosia puede generar aproximadamente 1.800 peticiones por minuto utilizando cuatro núcleos y 20 hilos (dependiendo de la calidad de la conexión a Internet del atacante). Con unos 1.000 miembros, suponiendo que al menos la mitad estén activos, el recuento total de solicitudes a objetivos definidos puede ser de hasta 900 mil solicitudes por minuto; suficiente para derribar servicios web que no esperan un tráfico de red más intenso.

    En promedio, los archivos de configuración que contienen las listas de sitios a DDoS se modifican cuatro veces al día, mientras que el número medio de dominios atacados es de 17 al día.

    Avast asume que el grupo de DDosia creó un nuevo servidor de C&C después de que el primero fuera eliminado y este sigue promocionando el proyecto e invitando a nuevos miembros a unirse.

Declaración de Martin Chlumecky, investigador de malware de Avast:

"Desde el principio de la guerra de Ucrania, vimos llamamientos en las redes sociales para que la gente se involucrara como hacktivistas y descargara herramientas DDoS para derribar sitios web rusos con el fin de apoyar a Ucrania.

Hoy vemos diferentes motivaciones para unirse a grupos de DDoS: En toda Europa, sentimos el impacto financiero de la guerra rusa. Para algunas personas, puede ser tentador ganar algo de dinero extra rápidamente. Vimos que algunos usuarios de países como Canadá y Alemania querían unirse al grupo de hackers NoName(057)16 intentando descargar el archivo ejecutable DDosia y así llevar a cabo ataques DDoS. El archivo solo está disponible para miembros verificados del correspondiente grupo de Telegram y fue activamente empujado a nuestra lista de excepciones AV por algunos usuarios de Avast. En resumen, el malware ya no está marcado como tal y puede ejecutarse con normalidad. Sin grandes conocimientos técnicos, los miembros del grupo pueden ganar hasta 80.000 rublos rusos (unos 1.200 USD) en criptomonedas por ataques DDoS exitosos. Así, la motivación pasa de los aspectos políticos a los financieros. El grupo de hackers NoName(057)16 utiliza este incentivo financiero para aumentar su tasa de éxito y así hacerse un nombre en la comunidad de hackers - la motivación política puede desempeñar solo un papel subordinado para muchos, tanto a nivel de los jefes de proyecto como entre los usuarios participantes.

Aunque puede resultar tentador para muchas personas unirse a estos grupos cibernéticos para impulsar sus finanzas, no deja de ser un ciberataque con todas las consecuencias, incluidas las legales. Eso debería estar claro para todos".