Троян Medusa атакует российские банки

Специалисты компании «Доктор Веб» зафиксировали серию DDoS-атак на сайты российских банков «Росбанк» и «Росэксимбанк». По данным экспертов, для атак злоумышленники используют вредоносную программу под названием BackDoor.IRC.Medusa.1 (по классификации «Доктор Веб»).

BackDoor.IRC.Medusa.1 относится к категории IRC-ботов - троянов, способных объединяться в ботнеты и получать команды с помощью протокола IRC (Internet Relay Chat). IRC-боты подключаются к определенному чат-каналу и ожидают специальных указаний от своих операторов. Основная функция BackDoor.IRC.Medusa.1 заключается в выполнении DDoS-атак. Как полагают эксперты, именно данный троян использовался в ходе мощных атак на Сбербанк России, осуществленных ранее в этом месяце.

Вредонос способен выполнять несколько типов DDoS-атак, а также по команде злоумышленников загружать и запускать на инфицированном устройстве исполняемые файлы.

По информации исследователей, авторы вредоноса активно продвигают BackDoor.IRC.Medusa.1 на подпольных площадках. Как уверяют вирусописатели, ботнет из 100 инфицированных компьютеров способен генерировать до 20 000 - 25 000 запросов в секунду с пиковым значением в 30 000. В качестве доказательства приводится график тестовой атаки на http-сервер NGNIX.

В настояще время на одном из IRC-каналов, использующихся для управления BackDoor.IRC.Medusa.1 зарегистрировано 314 активных подключений. Как выяснилось пр анализе журнала переданных ботнету команд, с 11 по 14 ноября 2016 года киберпреступники неоднократно атаковали web-сайты rosbank.ru («Росбанк») и eximbank.ru («Росэксимбанк»).