Эксперты «Доктора Веб» зафиксировали серию DDoS-атак на сайты российских банков «Росбанк» и «Росэксимбанк». Для этого злоумышленники используют троянца BackDoor.IRC.Medusa.1, относящегося к категории IRC-ботов. Такие троянцы способны объединяться в ботнеты и получать команды с помощью протокола обмена текстовыми сообщениями IRC. Подключаясь к определенному чат-каналу, IRC-боты ожидают от злоумышленников специальных директив.
BackDoor.IRC.Medusa.1 может выполнять несколько типов DDoS-атак, а также по команде злоумышленников загружать и запускать на зараженной машине исполняемые файлы. В настоящее время киберпреступники активно продвигают BackDoor.IRC.Medusa.1 на подпольных форумах. Создатели троянца утверждают, что ботнет из 100 зараженных компьютеров способен генерировать до 20-25 тыс. запросов в секунду с пиковым значением в 30 тыс.
На данный момент на одном из IRC-каналов, контролирующих ботнет BackDoor.IRC.Medusa.1, зарегистрировано 314 активных подключений. Анализ журнала переданных бот-сети команд показывает, что с 11 по 14 ноября 2016 года злоумышленники неоднократно атаковали сайты «Росбанка», «Росэксимбанка», а также сеть ресторанов Livraison и сайт частного фотографа.