DDoS 勒索攻擊在過去一年中飆升,預計未來也將呈上升趨勢。DDoS 攻擊并不是新的威脅。然而,網絡犯罪分子正在利用這些攻擊通過造成停機和阻止合法用戶訪問 Web 應用程序來向組織勒索錢財。隨著全球大流行迫使組織采用遠程工作,網絡犯罪分子抓住機會發動了前所未有的 DDoS 攻擊,包括 DDoS 勒索攻擊。在本文中,我們將幫助您了解這些攻擊是什么以及如何應對它們。
什么是 DDoS 勒索攻擊?
DDoS 勒索攻擊,也稱為 Ransom DDoS (RDDoS) 攻擊,是惡意行為者通過威脅分布式拒絕服務 (DDoS) 來向組織/個人勒索金錢的攻擊。與 DDoS 攻擊類似,DDoS 勒索會阻止合法流量訪問應用程序/服務。這會導致嚴重的運營中斷、財務損失、法律成本和聲譽損失。
RDDoS 攻擊如何運作?
通常,使用以下三種方法之一來執行 RDDoS 攻擊:
- 攻擊者可以進行 DDoS 攻擊并向組織發送贖金通知/電子郵件,要求他們支付贖金以阻止攻擊。
- 在某些情況下,他們最初可能會針對組織基礎設施的特定元素進行示范性攻擊,以表明 DDoS 勒索威脅是合法的。他們將在這次有限的攻擊之后發出贖金通知,威脅要進行更大規模的攻擊。
- 在其他情況下,攻擊者可能會發送威脅執行 DDoS 的勒索信。攻擊者可能無法執行攻擊,并且很可能會做出空洞的威脅。然而,考慮到停機和崩潰的潛在后果,假設所有這些都是空洞的威脅是不明智的。大多數攻擊者通常會在發出威脅之前進行攻擊前偵察,以識別要利用的漏洞和弱點。
無論贖金通知是在攻擊之前(如果攻擊者繼續實施他們的威脅)還是在攻擊之后,DDoS 勒索都像常規 DDoS 一樣工作。它們的流量使應用程序或服務不堪重負,導致它們變慢或導致崩潰,使合法用戶無法使用它們。如果支付了贖金,攻擊可能會停止,或者攻擊者可能會帶著額外的要求回來。強烈建議不要支付贖金。
最近的 DDoS 勒索攻擊
從 2020 年 8 月中旬開始,冒充 Fancy Bear (APT 28) 和 Armada Collective 的網絡犯罪分子發起了 RDDoS 活動,要求支付比特幣(50,000 至 300,000 美元)以防止攻擊。這些 DDoS 勒索活動主要針對金融服務和旅游業。上游互聯網傳輸提供商也面臨 RDDoS 攻擊。
最常用的攻擊向量
攻擊者使用以下一種或多種 DDoS 攻擊向量來執行 RDDoS。
- 域名系統
- NTP
- CLDAP 反射/放大
- 欺騙 SYN 泛洪
- 武器
- WS-DD
- 固態硬盤
- GRE 和 ESP 數據包泛洪
- TCP ACK-洪水
- TCP反射/放大攻擊
- IPv4 協議發起數據包泛洪攻擊
應對 DDoS 勒索
你應該支付贖金嗎?不。除了贖金會給組織帶來金錢損失之外,支付贖金并不能保證攻擊者會停止他們的活動。攻擊者可能不會按照約定停止 DDoS 攻擊,或者可能無論如何都會發起攻擊,或者可能在未來帶著額外的需求/后續攻擊回來。
其次,DDoS 勒索威脅可能是空洞的威脅。這意味著該組織已經為攻擊者支付了任何費用。第三,贖金支付使攻擊者能夠更好地資助他們的勒索活動。他們可以用這筆錢來擴展他們的能力,提高攻擊的復雜性或購買先進的技術來改進偵察。
如何回應?
如果該組織收到贖金通知,首先要做的就是將其報告給相應的執法機構。他們還必須與提供面向互聯網的關鍵服務(權威 DNS 主機等)的同行、中轉 ISP 和其他組織合作。
如果您已經從服務提供商那里獲得了有效的 DDoS 保護,您可以放心,您的應用程序將始終可用,即使威脅參與者發起了攻擊。如果您沒有任何 DDoS 安全控制措施,請實施保護措施以減輕潛在的攻擊。如果您已經受到攻擊,請與安全服務提供商聯系以阻止攻擊并將影響降至最低。
結論
鑒于 DDoS 勒索攻擊數量空前,表現最好的組織是那些擁有強大 DDoS 保護的組織。那些沒有適當防御措施的人要么不得不支付贖金,要么在 D 日/在即將受到攻擊的威脅下爭先恐后地部署安全控制措施,以盡量減少造成的破壞。因此,立即實施有效的 DDoS 緩解實踐和安全控制措施,以消除 RDDoS 的影響。
