SOS :: Security Operation Space
28 марта, четверг, 00:00
|
Hot News:

Bulletproof-хостеры перешли на виртуальные серверы

24 декабря 2019 г., вторник, 09:10

Эксперты Spamhaus обнаружили, что с сентября 2019 года VPS использовали 87% серверов управления ботнетами.

Исследователи Spamhaus обнаружили новый тип bulletproof-хостинга, который уже успел завоевать популярность у киберпреступников. Провайдеры арендуют виртуальные частные серверы (Virtual Private Servers, VPS), используя их как прокси для вредоносных кампаний.

Эксперты называют bulletproof-хостингами (от англ. «пуленепробиваемый») компании, которые игнорируют поступающие жалобы на размещение нелегального контента и подозрительную интернет-активность. Их услугами часто пользуются распространители зловредов, организаторы фишинговых кампаний, спамеры и другие киберпреступники.

Интернет-провайдеры стараются оперативно блокировать диапазоны IP-адресов и автономные системы, замеченные во вредоносных кампаниях. Эксперты отмечают, что это снижает бизнес-привлекательность bulletproof-хостинга, поскольку злоумышленникам приходится часто перестраивать инфраструктуру, а дополнительные расходы сказываются на стоимости услуг. Аренда VPS может изменить ситуацию — такая модель обеспечивает преступникам ширму для нежелательных операций, одновременно позволяя быстро восстанавливать заблокированные мощности.

Как организован bulletproof-хостинг на базе VPS

Как рассказали исследователи Spamhaus, новые владельцы ресурса арендуют виртуальные серверы, используя украденные или поддельные учетные данные. Организаторы вредоносных кампаний связывают посадочные страницы с этими VPS, чтобы затем перебрасывать посетителей по цепочке переадресаций к собственному веб-серверу.

Если какой-то сервер все же блокируется, провайдеры могут быстро восстановить работу. Для этого они указывают в DNS несколько адресных записей (Address Record, A-record), которые связывают имя хоста с IP. В некоторых кампаниях смена записи происходит автоматически, обеспечивая злоумышленникам практически беспрерывную активность без необходимости заново регистрироваться у провайдера и проходить соответствующие проверки.

Недобросовестные хостеры арендуют VPS у множества провайдеров, среди которых немалую часть составляют российские компании. Эксперты объясняют это низкой стоимостью услуг и отсутствием контактов с западными правоохранительными органами.

Перспективы борьбы с новой угрозой

По данным Spamhaus, виртуальные серверы уже завоевали основную часть рынка нелегальных мощностей.

«С сентября по третью неделю декабря 2019 года Spamhaus насчитал 4117 управляющих ботнет-серверов, — рассказали аналитики. — Из этого числа 3620 использовали bulletproof-хостинг на VPS».

Эксперты подчеркнули, что жизнеспособность новой модели зависит от того, как поставщики услуг проверяют своих заказчиков. Большинство провайдеров, чьи мощности сейчас используют злоумышленники, смотрят на клиентскую активность сквозь пальцы. В некоторых случаях проверки отсутствуют вообще.

Специалисты призывают провайдеров воспользоваться руководством Spamhaus по определению нежелательных клиентов. Кроме того, компании могут ознакомиться со списком IP-адресов и автономных систем, которые используются во вредоносных кампаниях. Эти данные помогут автоматически выявлять и блокировать нежелательную активность в интернет-сетях.

Ранее стало известно об успешном рейде немецкой полиции, который положил конец bulletproof-хостеру Cyberbunker 2.0. Преступники разместили в заброшенном бункере около 200 серверов, на которых размещались ресурсы по продаже наркотиков, мошеннические площадки, сайты с детской порнографией.

Еще один крупный хостинг в июле разгромила Служба безопасности Украины. По оценкам правоохранительных органов, группировка обеспечивала работу до 40% русскоязычного даркнета.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.092
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.