这些赎金要求与以往DDoS勒索团伙使用的手段并无太大区别。具体来说:勒索信件:最初,勒索团体会发出威胁性电子邮件,警告如果不使用比特币支付的公司将受到DDoS攻击。赎金票据的措辞与过去攻击期间在媒体上公开的信件非常相似,也类似于Akamai在2019年11月记录的最近一次DDoS勒索活动。一些赎金票据警告说,如果赎金要求被公开披露(即向媒体发布),威胁中提到的攻击将立即发起。“如果你向媒体报告此事并使用我们的名义进行免费宣传而不付给我们任何费用,那么我们将继续攻击,你将被攻击很长时间。(原文如此)”-ArmadaCollective赎金票据还提到声誉,警告即将发生的攻击不仅会破坏基础设施,还会造成更大的影响。“……没有人能够访问您的网站和其他连接的服务。请注意,这也会严重影响您在客户中的声誉。[…]我们将彻底破坏您的声誉并使您的服务保持离线状态,直到您愿意付款为止。(此为原文)》——FancyBear支付赎金:Akamai观察到的ArmadaCollective赎金需求中,初始赎金为5比特币,逾期则增加至10比特币,增加5比特币FancyBear的初始赎金为20比特币,如果错过截止日期,则增加到30比特币,此后每天10比特币。大多数这些勒索要求通常要求一定数量,但威胁行为者也可以提出其他要求一时兴起的财务条款。主动攻击:这些信件识别受害组织内的目标资产,并承诺进行小型“测试”攻击以证明情况的严重性。一些赎金票据声称威胁行为者可以发起高达2Tbps的DDoS攻击.Akamai已经看到一个客户在其网络上遭受了50Gb/sec的攻击。这个流量包括基于UDP的ARMS协议反射攻击。不知道使用了多少个反射器。Akamai的SecurityIn情报响应小组怀疑赎金需求来自模仿者,他们利用知名攻击组织的声誉作为恐吓策略来加快支付速度。最近,Akamai发现北美、亚太地区以及欧洲、中东和非洲的企业收到的勒索信有所增加。虽然金融服务最初是受威胁最大的行业,但赎金票据最近针对其他行业的组织,包括商业服务、高科技、酒店、零售和旅游。迄今为止,拥有有效ProlexicDDoS缓解控制的Akamai客户尚未经历过这些威胁组威胁的服务中断。最近几周,Akamai已经缓解了超过50次与此签名匹配的攻击,并将继续与客户合作实施0秒SLA主动缓解控制,这些控制对Akamai观察到的攻击模式非常有效。如果您的企业受到RDoS威胁,Akamai建议您不要支付赎金,因为不能保证您会受到攻击,也不能保证支付赎金就能阻止DDoS攻击。您应该召集您的IT、运营、安全和客户沟通人员,以确保您已做好准备并知道在受到攻击时该怎么做。如果您需要帮助,Akamai随时为您提供帮助。Akamai提供紧急安全集成包,帮助客户快速入门。机构可拨打AkamaiDDoS热线“+86-4006091609”激活集成包。Akamai将立即采取措施对风险进行分类,使用适当的Akamai安全工具并实施我们的攻击事件响应程序。值得一提的是,近期,Akamai已成功为数十家企业启动应急启动。在这些情况下,如果提前准备好GRETunnels所需的网络前缀,则可以大大缩短上线时间。现有的Akamai客户应联系他们的客户团队或联系Akamai支持,而托管安全服务(MSS)客户应遵循与Akamai安全运营控制中心(SOCC)建立的现有流程。当SOCC评估情况并准备攻击时,任何受到威胁的客户都会立即处于“高度戒备”状态。每个客户的情况都将根据他们的业务和应用程序需求量身定制。值得注意的是,虽然Akamai迄今为止观察到的大多数威胁都已通过其ProlexicDDoS缓解服务得到缓解,但组织的最佳做法是在DNS和应用程序层部署全面的DDoS缓解措施,包括评估您自己的DNS解决方案,理想情况下,确保您拥有辅助DNS服务以防受到攻击,并在您的Web应用程序防火墙(WAF)中实施速率控制和拒绝规则以管理大规模攻击。
