Los actores de amenazas detrás de la herramienta de ataque DDoSia han creado una nueva versión que incorpora un nuevo mecanismo para recuperar la lista de objetivos que se bombardearán con solicitudes HTTP basura en un intento de derribarlos.
La variante actualizada, escrita en Golang, «implementa un mecanismo de seguridad adicional para ocultar la lista de objetivos, que se transmite desde el [comando y control] a los usuarios», dijo la empresa de ciberseguridad Sekoia en un artículo técnico .
DDoSia se atribuye a un grupo de hackers prorrusos llamado NoName(057)16 . Lanzada en 2022 y sucesora de la botnet Bobik , la herramienta de ataque está diseñada para organizar ataques de denegación de servicio distribuido (DDoS) contra objetivos ubicados principalmente en Europa, así como en Australia, Canadá y Japón.
Lituania, Ucrania, Polonia, Italia, Chequia, Dinamarca, Letonia, Francia, el Reino Unido y Suiza se han convertido en los países más atacados durante un período que va del 8 de mayo al 26 de junio de 2023. Un total de 486 sitios web diferentes se vieron afectados.
Hasta la fecha, se han descubierto implementaciones de DDoSia basadas en Python y Go, lo que lo convierte en un programa multiplataforma capaz de usarse en sistemas Windows, Linux y macOS.
«DDoSia es una aplicación de subprocesos múltiples que lleva a cabo ataques de denegación de servicio contra sitios de destino mediante la emisión repetida de solicitudes de red», explicó SentinelOne en un análisis publicado en enero de 2023. «DDoSia emite solicitudes según las instrucciones de un archivo de configuración que recibe el malware. desde un servidor C2 cuando se inicia».
DDoSia se distribuye a través de un proceso totalmente automatizado en Telegram que permite a las personas registrarse en la iniciativa colaborativa a cambio de un pago en criptomoneda y un archivo ZIP que contiene el kit de herramientas de ataque.
Lo que es digno de mención de la nueva versión es el uso de cifrado para enmascarar la lista de objetivos a atacar, lo que indica que los operadores mantienen activamente la herramienta.
«NoName057(16) está haciendo esfuerzos para hacer que su malware sea compatible con múltiples sistemas operativos, lo que casi seguramente refleja su intención de hacer que su malware esté disponible para una gran cantidad de usuarios, lo que resulta en un grupo más amplio de víctimas», dijo Sekoia.
El desarrollo se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advirtió sobre ataques dirigidos de denegación de servicio (DoS) y DDoS contra múltiples organizaciones en múltiples sectores.
«Estos ataques pueden costarle tiempo y dinero a una organización y pueden imponer costos de reputación mientras los recursos y servicios son inaccesibles», dijo la agencia en un boletín.
Aunque CISA no proporcionó detalles adicionales, la advertencia se superpone con las afirmaciones de Anonymous Sudan en su canal de Telegram de que había eliminado los sitios web del Departamento de Comercio, la Administración del Seguro Social (SSA) y el Sistema electrónico de pago de impuestos federales del Departamento del Tesoro. (EFTPS).
Anonymous Sudan atrajo la atención el mes pasado por realizar ataques DDoS de Capa 7 contra varios servicios de Microsoft, incluidos OneDrive, Outlook y los portales web de Azure. El gigante tecnológico está rastreando el grupo bajo el nombre Storm-1359.
El equipo de piratería ha afirmado que está realizando ataques cibernéticos desde África en nombre de los musulmanes oprimidos de todo el mundo. Pero los investigadores de ciberseguridad creen que se trata de una operación a favor del Kremlin sin vínculos con Sudán y miembro del colectivo hacktivista KillNet.
En un análisis publicado el 19 de junio de 2023, el proveedor australiano de ciberseguridad CyberCX caracterizó a la entidad como una «cortina de humo para los intereses rusos». Desde entonces, el sitio web de la compañía se ha vuelto inaccesible y saluda a los visitantes con un mensaje de «403 Prohibido». El actor de amenazas se atribuyó la responsabilidad del ciberataque.
“El motivo del ataque: deja de difundir rumores sobre nosotros, y debes decir la verdad y detener las investigaciones que llamamos investigaciones de un perro”, dijo Anonymous Sudan en un mensaje publicado el 22 de junio de 2023.
Anonymous Sudan, en un informe de Bloomberg la semana pasada, negó además que estuviera conectado con Rusia, pero reconoció que comparten intereses similares y que persigue «todo lo que es hostil al Islam».
El último aviso de CISA tampoco pasó desapercibido, ya que el grupo publicó una respuesta el 30 de junio de 2023, declarando: «Un pequeño grupo sudanés con capacidades limitadas obligó al ‘gobierno más poderoso’ del mundo a publicar artículos y tuits sobre nuestros ataques. «
Fuente y redacción: thehackernews.com
