勒索软件占据了网络犯罪生态的中心舞台。仅去年一年,就给全球造成了超过10亿美元的损失,为网络犯罪分子赚取了数亿美元的利润。与此同时,传统上用于勒索企业的分布式拒绝服务(DDoS)攻击卷土重来。勒索软件组织甚至使用DDoS攻击来增加受害者支付赎金的压力。根据多家CDN和DDoS防护提供商近期发布的年报显示,2020年是DDoS攻击破纪录的一年,攻击次数、攻击规模和使用的攻击方法数量均刷新历史记录。DDoS勒索软件的卷土重来可能是受新冠肺炎疫情的推动:疫情迫使企业为大部分员工启用远程办公,使企业更容易受到业务中断威胁,也使他们更愿意成为攻击者支付赎金的目标。2021年延续了这一趋势。今年2月,Akamai记录了历史上最大的6次DDoS攻击中的3次,2021年前三个月超过50Gbps的DDoS攻击数量已经超过2019年全年。Akamai估计绝大多数在线没有DDoS缓解措施的服务在遇到50Gbps以上的攻击时会因为带宽饱和而下线。?DDoS勒索软件卷土重来,DDoS攻击背后的动机多种多样:从想要中断竞争对手服务的无良企业主到激进的简单破坏行为。然而,勒索一直是此类非法活动的最大驱动力,而且可以说是最有利可图的活动,因为发起DDoS攻击确实不需要太多投资。每次攻击低至7美元的DDoS出租服务,几乎任何人都可以负担得起。事实上,来自应用程序和网络性能监控公司NetscoutSystems的数据显示,网络犯罪分子向潜在客户展示其DDoS能力是此类攻击的首要动机,其次是与在线游戏相关的动机(许多人在疫情期间依靠它来度过难关)时间)。时间),然后勒索。攻击者还经常使用DDoS攻击作为伪装,分散企业IT和安全团队的注意力,使其无法检测其网络上的其他恶意活动,例如基础设施入侵和数据泄露。2020年8月,勒索软件DDoS(RDDoS)事件激增,原因是多个勒索软件团伙使用DDoS作为额外的勒索技术,部分原因是网络犯罪团伙伪装成俄罗斯FancyBear或黑客国家队,例如朝鲜的LazarusGroup发动攻击。这个名为LazarusBearArmada(LBA)的网络犯罪团伙首先对50Gbps到300Gbps的选定目标发起了演示DDoS攻击。随后,该团伙发出勒索邮件,声称具备2Tbps规模的DDoS攻击能力,以勒索目标公司支付比特币。在这些电子邮件中,攻击者声称他们与新闻中经常报道的几个知名网络犯罪组织有联系,从而提高了他们的可信度。在很多情况下,即使目标公司没有支付赎金,该组织也没有继续发动进一步的攻击,但有时它确实会再次发起攻击。而且,过了一会儿,他们会回来再次咬之前的受害者。该组织主要针对全球金融、零售、旅游和电子商务行业的企业,似乎也进行侦察和规划。他们识别受害公司可能监控的非通用电子邮件地址,并以关键但不明显的应用程序、服务和虚拟中心为目标,表明高级规划水平。多家安全供应商和联邦调查局已发布有关该组织活动的警报。与LBA等仅依靠RDDoS从企业勒索钱财的团伙不同,勒索软件犯罪集团使用DDoS作为说服受害者支付原始赎金的额外手段,这与他们将数据泄露作为威胁的方式大致相同。换句话说,一些勒索软件攻击现在已经演变成结合了加密、数据窃取和DDoS攻击的三重威胁。一些以这种方式使用或声称使用DDoS攻击的勒索软件团伙包括Avaddon、SunCrypt、RagnarLocker和REvil。与勒索软件攻击的情况类似,很难确切地说出有多少RDDoS受害者支付了赎金,但此类攻击的数量、规模和频率一直在增加这一事实足以说明这一活动的盈利能力.这可能是由于DDoS出租服务无处不在,而且它们不需要很多技术知识,这使得它们的进入门槛比勒索软件本身低得多。Cloudflare在最近的一份报告中写道:“在2021年第一季度经历过DDoS攻击的接受调查的Cloudflare客户中,有13%的人报告说曾被RDDoS攻击勒索或提前收到威胁。”出击企业数量同比增长57%;Netscout报告称,年度DDoS攻击次数首次突破1000万次门槛。上个月,Akamai研究人员在一份报告中表示:“抱着获得巨额比特币付款的希望,网络犯罪分子开始加大力度并扩大攻击带宽,打消了DDoS勒索已成为过去的观念。“最近的勒索软件攻击达到了800Gbps以上的峰值,目标是一家欧洲博彩公司,是自2020年8月中旬勒索软件攻击普遍卷土重来以来我们所见过的规模最大、最复杂的攻击。自那次攻击开始以来,强制演示攻击已经从8月的200+Gbps到9月中旬的500+Gbps,然后在2021年2月扩展到800+Gbps。”?新攻击方式的加入导致攻击复杂性增加Akamai透露,去年近三分之二的观察到的DDoS攻击包括多种攻击方式,有些攻击方式多达14种。方法攻击,尤其是在2020年底,以及使用超过15种不同方法的攻击。该公司观察到的攻击还结合使用了25种不同的方法。滥用多个类UDP协议的DDoS反射和放大攻击仍然很流行。在这种攻击技术中,攻击者将带有伪造源IP地址的数据包发送到Internet上防御薄弱的服务器,迫使这些服务器将回复发送给预期的受害者,而不是攻击者本人。这有两个目的:一是反射,因为受害者看到的流量来自合法服务器,而不是攻击者的机器人,二是放大,因为攻击者可以滥用某些协议来生成更大的回复数据包,放大数据包的大小或频率攻击者可以触发。有两种方法可以计算DDoS攻击的规模:通过可以使带宽饱和的每秒流量,或者通过可以使服务器处理能力饱和的每秒数据包数。2020年最常见的DDoS攻击方式,与往年一致,都是DNS放大攻击。放大攻击中常用的其他协议包括网络时间协议(NTP)、无连接轻量级目录访问协议(CLDAP)、简单服务发现协议(SSDP)和Web服务发现(WDS或WS-DD)、基于UDP的远程桌面协议(RDP)和数据报传输层安全性(DTLS)。对手经常寻找可以绕过现有防御和缓解策略的新攻击方法和协议。3月,Akamai首次观察到一种依赖数据报拥塞控制协议(DCCP)的新攻击方法。数据报拥塞控制协议是一种类似于UDP的网络数据传输协议,但它具有UDP所缺乏的拥塞和流量控制功能。迄今为止,Akamai观察到的攻击是典型的流量泛滥,旨在绕过基于UDP和TCP的缓解措施。从技术上讲,该协议也可以用于反射放大攻击场景,但是目前互联网上使用该协议的服务器并不多,滥用它来反射流量是不够的。Netscout研究人员总结道:“UDP开源和可被滥用的商业应用程序和服务是攻击者的宝贵资产,他们挖掘这些资产以发现新的反射/放大DDoS攻击方法,从而推动新一轮的攻击浪潮”这样的例子包括PlexMedia服务器的SSDP实现,以及Jenkins软件开发自动化服务器使用的UDP网络发现协议,在Netscout看来,去年其他常见的DDoS攻击方式包括TCPACK、TCPSYN、TCPreset、TCPACK/SYN放大、DNS?DDoS僵尸网络陷阱IoT和移动设备由被黑设备和服务器组成的僵尸网络是DDoS攻击背后的驱动力。感染网络设备的Mirai恶意软件变种在2020年继续在主要DDoS僵尸网络中占据显着位置。这些设备通常受到攻击者通过弱或默认凭据。Netscout的观察表明,Telnet和SecureShell(SSH)暴力破解与2019年相比,攻击增加了42%。此外,被黑的Android移动设备也被用来发起DDoS攻击。2月,中国安全公司Qihoo360的网络安全部门Netlab的研究人员报告了一个名为Matryosh的新僵尸网络,它通过暴露在互联网上的ADB(Android调试桥)接口渗透Android设备。在Netscout的年度云和互联网服务提供商调查中,将近四分之一的受访者报告说他们看到移动设备被用来启动DDoS设备。
