DDoS攻击正在演变为以勒索软件为主导的RDoS攻击活动一个上升趋势:勒索软件DDoS(RDoS)攻击。网络犯罪分子要求目标组织支付大笔赎金,以换取不发起旨在降低其网络性能的分布式拒绝服务(DDoS)攻击。2020年发生的11起最大的DDoS勒索软件网络攻击使受害组织损失了近1.44亿美元,用于支付赎金、调查取证和重建其应用程序。鉴于攻击向量的复杂性和多样化,2020年第三季度的DDoS勒索软件攻击与2019年相比激增了50%。什么是勒索DDoS(RDoS)攻击?在DDoS攻击中,网络犯罪分子向目标企业的网站、Web应用程序或网络发送大量电子请求或其他网络流量,目的是压制企业处理这些请求的能力,从而关闭其网站,以便合法用户访问不能再使用该服务。如果一次攻击破坏了许多端点所依赖的公共服务,例如域名系统(DNS)服务,那么一次攻击甚至可能影响多个公司网站或服务。DDoS攻击由来已久,经常被用作转移注意力的“烟幕”,旨在转移对单独攻击的注意力或传递政治信息。在最近的DDoS攻击浪潮中,网络犯罪分子似乎正在利用最近激增的勒索软件活动来获取直接经济利益。DDoS攻击也变得越来越便宜和容易实施,网络犯罪分子甚至可以在暗网上租用DDoS服务来发动大规模攻击。该服务易于使用,甚至为回头客提供忠诚度计划。DDoS服务的价格根据目标资源的丰富程度而有所不同,被保护网站的攻击费用仅为400美元。最近的DDoS勒索活动在过去的几个月里,数以千计的公司收到了勒索邮件,称“如果你不以比特币支付六位数的赎金,你将遭受严重的DDoS攻击”。这些攻击通常遵循相同的模式:电子邮件首先,一家公司收到一封来自威胁行为者的电子邮件,声称与一个臭名昭著的复杂网络犯罪集团有联系,例如Lazarus或FancyBear。然而,在现实中,这些电子邮件的发件人更有可能是独立的网络犯罪分子,他们利用已建立的犯罪组织的声誉来建立信誉并似乎具有更强的威慑力。这些电子邮件通常是在第一次DDoS攻击发生前约15分钟从加密电子邮件服务(例如ProtonMail)发送的。然而,目标通常不知道勒索信,因为电子邮件可能被公司的垃圾邮件过滤器捕获,或者收件人可能很忙或正在休假而忽略了它。该电子邮件解释说,最初的小规模攻击证明了威胁行为者的能力。如果六位数的比特币赎金未在六天内支付,攻击者将发起第二轮DDoS攻击,这次攻击的威力足以破坏核心运营并造成声誉损失。除了将赎金金额发送到提供的比特币钱包外,通常没有其他途径与威胁行为者进行沟通或谈判。初始攻击在收到初始勒索电子邮件后大约十五分钟,威胁行为者通常会进行DDoS演示攻击。这些攻击的强度各不相同,从每秒几Gbps到300Gbps的峰值不等,通常持续数小时。在这些最初的攻击中,一些公司在连接到虚拟专用网络网关、电子邮件客户端、基于聊天的协作平台(如MicrosoftTeams)和其他核心服务时遇到了性能问题。这些攻击通常集中在后端基础设施上,并且来自各种攻击媒介。攻击者似乎在实时监控攻击和技巧的影响,以规避缓解措施。在某些情况下,攻击者还会尝试破坏目标的域名系统(DNS)服务器,从而破坏目标通过其设备访问Internet的能力。这种形式的攻击破坏了网站或应用程序对合法互联网流量的响应能力。DNS服务器通常由专门的提供商托管在组织外部。一些DNS提供商可能没有与公司网络相同级别的DDoS保护,而其他提供商则采用复杂的DDoS预防方法来检查入站流量、检测并丢弃恶意流量,并仅将合法流量转发给公司。攻击者还通过“引导程序”服务扩大了攻击范围,这些服务具有隐藏攻击源并提高其有效性的效果。此外,攻击者还一直在进行IP欺骗,通过导致电子邮件基础设施等服务被DDoS缓解服务不正确地列出,从看似源自目标网络内部的源地址向目标发送垃圾流量。列入黑名单并造成滋扰。如何应对勒索式DDoS攻击?通常,黑客会发送勒索通知,以即将到来的攻击威胁目标组织。他们可能会“炫耀”以前的功绩,或声称与LazarusGroup和FancyBear等黑客组织有联系。除此之外,勒索信中还提到了付款期限和付款操作说明。如果处理得当,可以遏制勒索软件攻击的不利影响。让我们来看看一些实际的行动方案:检查演示攻击:有时黑客会执行一次小型攻击来展示他们的实力。如果勒索通知中提到了同样的情况,建议组织首先检查网络日志中的任何流量峰值,以证明是小规模攻击。员工培训:勒索软件攻击是一种数字游戏。赎金通知通常会发送到大量公开可用的电子邮件地址。由于您的任何员工都可能收到此类电子邮件,因此重要的是要对他们进行教育以防他们受到威胁。此外,组织必须建立清晰的沟通和所有权,以建立快速有效的响应。永远不要支付赎金:向罪犯支付赎金永远是无效的。它可以暂时停止攻击,但不能保证以后这种敲诈勒索不会继续下去。向这些非法组织投稿,无疑会被他们贴上“软柿子”的标签,这意味着你更有可能再次被盯上。其次,向攻击者支付赎金,无异于为他们未来的犯罪活动提供资金,为验证其攻击手段开辟了先例。原则上,投入更多资金来降低风险远比支付赎金要好,因为从长远来看,这不仅对您的企业而且对整个行业都更具成本效益。处理虚假威胁:在某些情况下,赎金票据可能不可信,企业最终会无故损失大量资金。因此,强烈建议永远不要支付赎金,而是专注于加强组织的网络安全措施。话虽如此,必须认真对待任何安全威胁。做到这一点的最佳方法是投资DDoS保护工具。一般保护策略减轻勒索软件DDoS攻击涉及通过采取以下步骤保护现场服务器和网络设备:检测预警信号:为了减轻勒索软件DDoS攻击的损害,及时检测预警信号至关重要。首先,密切关注您网站的实时流量。有一些网站安全解决方案可以帮助您解决这个问题。通过打开实时设置,甚至可以使用GoogleAnalytics检查实时流量。您还可以检查您网站的数据使用统计数据,看看是否出现了峰值。如果使用率异常高,则可能表明存在攻击。安装Web应用程序防火墙:由于此攻击的目标是Web服务器,因此您可以使用Web应用程序防火墙等安全措施。您还可以在您的网站上使用防火墙插件来监控传入流量并阻止任何可疑请求。聘请专业人员实施DDoS安全措施也是有效遏制问题的好方法。扩展的DDoS缓解措施:DDoS缓解措施通常包括实施措施以保护公司的现场服务器和网络设备免受DDoS攻击,并包括检测异常流量和将恶意流量重定向到网络外部的行为。进行这些DDoS攻击的威胁参与者倾向于指定当前不在公司DDoS缓解范围内的目标IP地址。因此,一些公司发现他们可以通过将缓解措施扩展到尽可能多的公司IP地址、Web服务、面向Internet的基础设施和DNS服务器来抵御非常复杂的DDoS攻击。基于云的DDoS缓解:根据初始攻击的强度和企业有效响应的能力,一些公司已转向基于云的DDoS缓解服务。这些服务的优势在于可以“始终在线”监控网络流量、发现问题并在数秒内响应攻击。自定义DDoS缓解措施:在最近的一些攻击中,犯罪分子通过在不触发DDoS缓解阈值的情况下分散攻击来避免检测,同时造成损害。通过与缓解提供商合作定制缓解阈值以识别和防止这种特定类型的攻击,公司将能够防止这种情况发生。与ISP合作:为了应对DDoS攻击,许多公司与其Internet服务提供商(ISP)密切合作,以确保他们能够在事件期间控制网络流量。在最近的DDoS攻击中,Verizon和AT&T都能够减轻目标公司网络服务的中断。此外,ISP可能还拥有执法部门可能希望用于调查的某些取证数据。应急措施:如遇威胁,可暂时关闭网站,停止攻击。请务必采取预防措施,例如在重新启用防火墙之前安装防火墙。本文翻译自:https://wp.nyu.edu/compliance_enforcement/2020/12/23/the-rise-of-ddos-ransom-attacks-how-to-prevent-and-respond/https://万维网。infosecurity-magazine.com/blogs/ddos-ransom-attacks/如有转载请注明出处。
