DDoS 勒索攻击在过去一年中飙升,预计未来也将呈上升趋势。DDoS 攻击并不是新的威胁。然而,网络犯罪分子正在利用这些攻击通过造成停机和阻止合法用户访问 Web 应用程序来向组织勒索钱财。随着全球大流行迫使组织采用远程工作,网络犯罪分子抓住机会发动了前所未有的 DDoS 攻击,包括 DDoS 勒索攻击。在本文中,我们将帮助您了解这些攻击是什么以及如何应对它们。
什么是 DDoS 勒索攻击?
DDoS 勒索攻击,也称为 Ransom DDoS (RDDoS) 攻击,是恶意行为者通过威胁分布式拒绝服务 (DDoS) 来向组织/个人勒索金钱的攻击。与 DDoS 攻击类似,DDoS 勒索会阻止合法流量访问应用程序/服务。这会导致严重的运营中断、财务损失、法律成本和声誉损失。
RDDoS 攻击如何运作?
通常,使用以下三种方法之一来执行 RDDoS 攻击:
- 攻击者可以进行 DDoS 攻击并向组织发送赎金通知/电子邮件,要求他们支付赎金以阻止攻击。
- 在某些情况下,他们最初可能会针对组织基础设施的特定元素进行示范性攻击,以表明 DDoS 勒索威胁是合法的。他们将在这次有限的攻击之后发出赎金通知,威胁要进行更大规模的攻击。
- 在其他情况下,攻击者可能会发送威胁执行 DDoS 的勒索信。攻击者可能无法执行攻击,并且很可能会做出空洞的威胁。然而,考虑到停机和崩溃的潜在后果,假设所有这些都是空洞的威胁是不明智的。大多数攻击者通常会在发出威胁之前进行攻击前侦察,以识别要利用的漏洞和弱点。
无论赎金通知是在攻击之前(如果攻击者继续实施他们的威胁)还是在攻击之后,DDoS 勒索都像常规 DDoS 一样工作。它们的流量使应用程序或服务不堪重负,导致它们变慢或导致崩溃,使合法用户无法使用它们。如果支付了赎金,攻击可能会停止,或者攻击者可能会带着额外的要求回来。强烈建议不要支付赎金。
最近的 DDoS 勒索攻击
从 2020 年 8 月中旬开始,冒充 Fancy Bear (APT 28) 和 Armada Collective 的网络犯罪分子发起了 RDDoS 活动,要求支付比特币(50,000 至 300,000 美元)以防止攻击。这些 DDoS 勒索活动主要针对金融服务和旅游业。上游互联网传输提供商也面临 RDDoS 攻击。
最常用的攻击向量
攻击者使用以下一种或多种 DDoS 攻击向量来执行 RDDoS。
- 域名系统
- NTP
- CLDAP 反射/放大
- 欺骗 SYN 泛洪
- 武器
- WS-DD
- 固态硬盘
- GRE 和 ESP 数据包泛洪
- TCP ACK-洪水
- TCP反射/放大攻击
- IPv4 协议发起数据包泛洪攻击
应对 DDoS 勒索
你应该支付赎金吗?不。除了赎金会给组织带来金钱损失之外,支付赎金并不能保证攻击者会停止他们的活动。攻击者可能不会按照约定停止 DDoS 攻击,或者可能无论如何都会发起攻击,或者可能在未来带着额外的需求/后续攻击回来。
其次,DDoS 勒索威胁可能是空洞的威胁。这意味着该组织已经为攻击者支付了任何费用。第三,赎金支付使攻击者能够更好地资助他们的勒索活动。他们可以用这笔钱来扩展他们的能力,提高攻击的复杂性或购买先进的技术来改进侦察。
如何回应?
如果该组织收到赎金通知,首先要做的就是将其报告给相应的执法机构。他们还必须与提供面向互联网的关键服务(权威 DNS 主机等)的同行、中转 ISP 和其他组织合作。
如果您已经从服务提供商那里获得了有效的 DDoS 保护,您可以放心,您的应用程序将始终可用,即使威胁参与者发起了攻击。如果您没有任何 DDoS 安全控制措施,请实施保护措施以减轻潜在的攻击。如果您已经受到攻击,请与安全服务提供商联系以阻止攻击并将影响降至最低。
结论
鉴于 DDoS 勒索攻击数量空前,表现最好的组织是那些拥有强大 DDoS 保护的组织。那些没有适当防御措施的人要么不得不支付赎金,要么在 D 日/在即将受到攻击的威胁下争先恐后地部署安全控制措施,以尽量减少造成的破坏。因此,立即实施有效的 DDoS 缓解实践和安全控制措施,以消除 RDDoS 的影响。