4 июня 2021

Клиентская база и исходный код компании DDoS-Guard, возможно, выставлены на продажу на хакерском форуме

Group-IB, международная компания, специализирующаяся на предотвращении кибератак и расследовании высокотехнологичных преступлений, обнаружила на теневом хакерском форуме объявление о продаже базы данных, предположительно, принадлежащей российскому хостинг-провайдеру DDoS-Guard. Кроме базы, якобы содержащей информацию о клиентах DDoS-Guard, включая их имена, IP-адреса и платежную информацию, продавец предлагает купить исходный код инфраструктуры компании. Проверить подлинность данных пока не представляется возможным, поскольку продавец не предоставил образец базы.

Сообщение о продаже базы данных, предположительно, принадлежащей российскому хостинг-провайдеру DDoS-Guard система Group-IB Threat Intelligence & Attributions обнаружила 26 мая на популярном хакерском форуме exploit[.]in. Автор объявления сначала выставил лот на аукцион со стартовой ценой в $500 000, вскоре снизив цену до $350 000.

Злоумышленник, утверждавший, что предлагает базу клиентов DDoS-Guard, зарегистрировал свою учетную запись на exploit[.]in в январе 2021 года, и с тех пор пытался купить доступы к различным корпоративным сетям. Несмотря на регулярную активность, его аккаунт до сих пор не имеет высокой репутации, также у него отсутствует депозит, который обычно говорит о серьёзности намерений продавца. Отмечу, что это уже второй его аккаунт — первый был заблокирован ещё в 2020 года за отказ проводить сделки через „гарант“.

Олег Дёров

Олег Дёров

Аналитик Group-IB Threat Intelligence

DDoS-Guard (ООО "ДДОС-ГВАРД)) — российская компания, которая предоставляет услуги по обеспечению защиты от DDoS-атак, доставке контента и веб-хостинга. Компания получила международную известность после политического скандала: в январе 2021 года DDoS-Guard предоставлял свои хостинг-мощности для популярной среди сторонников экс-президента США Дональда Трампа соцсети Parler после того, как ей было отказано в услугах веб-хостинга на платформе AWS. В России под защитой DDoS-Guard находятся десятки известных ресурсов, в том числе reg.ru, «Аргументы и Факты», «Эхо Москвы», Министерство обороны РФ и др.

В прошлогоднем отчете Group-IB о теневых покровителях онлайн-пиратства, DDoS-Guard была названа в числе тех, чьи услуги по хостингу и защите от DDoS используют злоумышленники: интернет-пираты, скамеры, онлайн-казино. Например, в настоящее время Роскомнадзор ограничивает доступ пользователей к 4 000 ресурсов (домены или URL-адреса), которые размещены или размещались на сетевых адресах DDoS-Guard: кроме пиратских ресурсов (48%), РКН блокирует многочисленные сайты азартной тематики (45%), магазины наркотиков (4%), в том числе RCclub и зеркала Hydra.

Одним из инструментов борьбы с мошенничеством и финансовым фишингом является работа с хостинг-провайдером. Большинство легальных сервисов идут на сотрудничество, заботясь о безопасности пользователей. Однако, DDoS-Guard не входит в их число. Различные „мутные“ сайты используют услуги DDoS-Guard как поставщика-защиты от DDoS-атак, тем самым скрывая реальный хостинг. На наши многочисленные уведомления, что они защищают нелегальные ресурсы представители компании отвечают, что они не являются владельцами сайта, и не могут модерировать или удалять информацию, а администратору сайта предоставляют только защиту от DDoS. Наличие подобной „безопасной среды“ для незаконной онлайн-активности не приносит никакой пользы, более того — серьезно мешает глобальным усилиям по борьбе с киберпреступностью.

Ярослав Каргалев

Ярослав Каргалев

Заместитель руководителя CERT-GIB

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления фрода и защиты интеллектуальной собственности в сети. Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, IDC.

В основе технологического лидерства компании – 18-летний опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты ИБ, аккумулированные в крупнейшей в Восточной Европе Лаборатории компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB.

Group-IB — партнер Interpol и Europol, поставщик решений в сфере кибербезопасности, рекомендованный SWIFT и ОБСЕ. Group-IB – компания-участник Всемирного экономического форума.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте