top of page

DDoSia-angrebsværktøj rammer Danmark og flere andre europæiske lande

Det berygtede DDoSia-angrebsværktøj har taget et bekymrende spring fremad ved at inkorporere en ny krypteringsmekanisme for at skjule sin liste over målrettede ofre, rapporterer cybersikkerhedsfirmaet Sekoia.


DDoSia, Sekoia, Golang, Cyberangreb, IT-sikkerhed

Denne opdaterede version af DDoSia, skrevet i Golang, introducerer et ekstra sikkerhedslag for at skjule mållisten, transmitteret fra kommando- og kontrolcenteret til brugerne. Det berygtede DDoSia-værktøj tilskrives en pro-russisk hackergruppe kaldet NoName(057)16. DDoSia, der dukker op i 2022 som efterfølgeren til det berygtede Bobik-botnet, er designet til at lancere distribuerede denial-of-service (DDoS)-angreb primært mod europæiske mål såvel som dem i Australien, Canada og Japan.


Analyse afslører, at flere lande er blevet primære mål for DDoSia, hvor Danmark, Polen, Italien, Litauen, Ukraine, Tjekkiet, Letland, Frankrig, Storbritannien og Schweiz oplever hovedparten af ​​angreb fra 8. maj til 26. juni 2023. Over dette periode, påvirkede angrebsværktøjet i alt 486 forskellige websteder.


Det, der adskiller den nye version, er brugen af ​​kryptering til at skjule listen over målrettede websteder. Dette indikerer, at trusselsaktørerne aktivt vedligeholder og opdaterer værktøjet for at øge dets effektivitet og undgå opdagelse.


DDoSia har fået opmærksomhed, da både Python- og Go-baserede implementeringer af værktøjet er blevet opdaget, hvilket gør det til en applikation på tværs af platforme, der kan fungere på Windows, Linux og macOS-systemer. Værktøjet udfører denial-of-service-angreb ved gentagne gange at sende netværksanmodninger i henhold til instruktioner fra en konfigurationsfil modtaget fra en C2-server ved opstart.


Distributionen af ​​DDoSia sker gennem en fuldautomatisk proces på beskedappen Telegram. Enkeltpersoner kan tilmelde sig crowdsource-initiativet, betale med kryptovaluta og modtage et ZIP-arkiv, der indeholder DDoS-angrebsværktøjssættet.


Sekoia fremhævede betydningen af ​​den nye version og antydede, at NoName057(16) aktivt arbejder på at gøre malwaren kompatibel med forskellige operativsystemer. Dette peger på deres hensigt om at udvide sin brugerbase og målrette mod en bredere vifte af ofre.


Denne udvikling falder sammen med en advarsel fra US Cybersecurity and Infrastructure Security Agency (CISA) om målrettede denial-of-service (DoS) og DDoS-angreb mod flere organisationer på tværs af forskellige sektorer. Disse angreb kan resultere i betydelig nedetid og økonomiske tab samt skade på omdømme på grund af utilgængelige ressourcer og tjenester.


Midt i CISA's advarsel påtog Anonymous Sudan, en hackergruppe, ansvaret for at fjerne websteder tilhørende handelsministeriet, socialsikringsadministrationen (SSA) og finansministeriets elektroniske føderale skattebetalingssystem (EFTPS). De havde tidligere udført Layer 7 DDoS-angreb mod Microsoft-tjenester som OneDrive, Outlook og Azure-webportaler, hvilket tjente teknologigigantens opmærksomhed under navnet Storm-1359.


På trods af Anonymous Sudans påstande om at være en pro-muslimsk enhed, der kæmper for undertrykte muslimer globalt, fastholder cybersikkerhedsforskere, at gruppen sandsynligvis har bånd til Rusland og er en del af KillNet hacktivist-kollektivet. Den australske cybersikkerhedsleverandør CyberCX kaldte enheden for et "røgglas for russiske interesser."


Mens spændingerne fortsætter med at eskalere i cyberkrigsførelsen, bliver reaktionerne fra disse hackergrupper og de berørte parters handlinger overvåget nøje. Det udviklende DDoSia-angrebsværktøj og de igangværende cyber-træfninger fremhæver behovet for øgede cybersikkerhedsforanstaltninger og årvågenhed på tværs af flere sektorer.

bottom of page