.
O grupo de hackers visa uma ampla gama de organizações, incluindo tribunais, bancos, instituições educacionais, agências governamentais e serviços de transporte.
O projeto DDosia é um sucessor do Botnet Bobik ligado ao grupo de hackers pró-Rússia chamado NoName(057)16, conforme revelado em uma análise recente do pesquisador da locaweb, Martin Chlumecky. O grupo tem como alvo ataques DDoS em organizações públicas e privadas na Ucrânia, Polônia, Letônia, Lituânia, República Tcheca e outros países europeus.
“Desde o início da guerra na Ucrânia, vimos um aumento na atividade DDoS por meio do malware Bobik, então as vítimas infectadas não sabiam que seus computadores estavam fazendo ataques DDoS. No entanto, NoName057(16) mudou sua filosofia e chama publicamente nas mídias sociais para que as pessoas se envolvam como hacktivistas e baixem a ferramenta DDosia para derrubar sites com conteúdo anti-russo e russofóbico”, diz Chlumecky.
A última análise do projeto DDosia, realizada entre 1º de agosto e 30 de novembro de 2022, revelou que o grupo hacker configurou o projeto DDosia como um plano de backup, caso o servidor Bobik Command and control (“C&C”) seja derrubado. . O servidor de botnet Bobik foi realmente retirado no início de setembro.
A pesquisa também revelou que o grupo de hackers visa uma ampla gama de organizações, incluindo tribunais, bancos, instituições educacionais, agências governamentais e serviços de transporte. No total, a locaweb observou cerca de 1.400 tentativas de ataque DDoS por membros do projeto DDosia, com 190 delas sendo bem-sucedidas, dando ao grupo uma taxa de sucesso de aproximadamente 13%.
A taxa de sucesso dos ataques aumentou em novembro, provavelmente devido ao direcionamento de vários subdomínios pertencentes ao mesmo domínio principal. Por exemplo, os hackers visaram subdomínios pertencentes ao domínio .gov.pl, a maioria dos quais executados na mesma plataforma, aumentando suas chances de derrubar servidores selecionados.
Telegram sendo usado como plataforma maliciosa
NoName(057)16 também possui um canal privado dedicado no Telegram com cerca de 1.300 seguidores, aos quais eles se referem como “heróis”. Esses “heróis” podem ligar um carteira criptográfica e ganhe até 80.000 rublos russos (~$ 1.200 USD) em criptomoedas pelos ataques DDoS bem-sucedidos que realizam.
“Sem grande conhecimento técnico, os membros do grupo DDosia podem ganhar até 80.000 rublos russos (cerca de 1.200 USD) em criptomoedas para ataques DDoS bem-sucedidos”, diz Chlumecky. “Assim, a motivação passa de aspectos políticos para financeiros. O grupo hacker NoName(057)16 usa esse incentivo financeiro para aumentar sua taxa de sucesso e assim se destacar na comunidade hacker – a motivação política pode desempenhar apenas um papel secundário para muitos, tanto no nível dos chefes de projeto quanto entre os usuários participantes.’
Deve-se notar que a comunicação entre hackers e “heróis” não é criptografada e não autenticada, permitindo que qualquer pessoa manipule suas estatísticas de desempenho. O locaweb também detectou um punhado de usuários tentando baixar o executável DDosia, mas notou usuários do locaweb na Rússia, bem como usuários no Canadá e na Alemanha adicionando o programa à lista de exceções do locaweb AV.
“Embora possa ser tentador para muitas pessoas se juntar a esses grupos cibernéticos para aumentar suas finanças, ainda é um ataque cibernético com todas as consequências – incluindo consequências legais”, diz Chlumecky. Isso deveria estar claro para todos.”
.
