自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

南非銀行分享與勒索軟件作斗爭的故事

安全
2015年11月起,南非第一國家銀行就在與垂涎金錢的網(wǎng)絡(luò)罪犯做斗爭。今時今日的勒索郵件攻擊不同于普通勒索軟件,可將公司數(shù)據(jù)當做人質(zhì),不見贖金不放數(shù)據(jù)。

2015年11月起,南非第一國家銀行就在與垂涎金錢的網(wǎng)絡(luò)罪犯做斗爭。

[[182246]]

2015年11月,南非第一國家銀行收到了來自 Armada Collective 的勒索郵件,跟著就是一波戲弄性質(zhì)的洪水攻擊,類似某種能力證明和攻擊宣言。

銀行官方?jīng)]有退縮。Radware最近發(fā)布的《全球應(yīng)用&安全》調(diào)查報告稱,勒索郵件是在下班時間發(fā)送到公司一個無人看顧的郵箱中的,銀行在官員發(fā)現(xiàn)該郵件前就檢測并緩解了試探洪水攻擊。因為有混合DDoS緩解解決方案,洪水攻擊沒有產(chǎn)生任何影響,并被快速轉(zhuǎn)移到清洗中心進行清除。

報告揭示:勒索攻擊是如今最普遍的威脅——從2015年的25%增長到2016年的41%。是什么推動了如此巨大的增長?網(wǎng)絡(luò)勒索可成為暴利“行業(yè)”。這種形式的勒索比以往更快、更簡單、更便宜,留給受害者的響應(yīng)窗口時間非常短,一晃眼就可能要承受系統(tǒng)中斷、運營停滯的慘痛損失。

今時今日的勒索郵件攻擊不同于普通勒索軟件,可將公司數(shù)據(jù)當做人質(zhì),不見贖金不放數(shù)據(jù)。

一名網(wǎng)絡(luò)架構(gòu)師在報告中解釋稱:因為銀行地處南非,與世界其他地方區(qū)隔開來,這就既蘊含了公司保護自己的能力(比如在轉(zhuǎn)移攻擊流量上的延遲),又限制了攻擊者使用大規(guī)模攻擊的能力;黑客在南非甚至搞不到半TB的流量。

試探攻擊可能有300MB的流量。作為安全預(yù)防,受到洪水攻擊和接到勒索郵件時,會在勒索截止日前,將網(wǎng)絡(luò)流量導(dǎo)引到DDoS緩解廠商的清洗中心。執(zhí)行勒索攻擊的黑客應(yīng)該會看到流量被轉(zhuǎn)移,也就明白了發(fā)起試探攻擊沒有效果。

該銀行也認為,自己向 Armada Collective 及其他勒索團伙發(fā)送了一個信號。“通過采取強力決定性行動,向黑客發(fā)出我們不會成為受害者的信息。”

2016年4月,該銀行收到聲稱來自蜥蜴小隊的勒索郵件,通過當?shù)匾粋€銀行風險管理協(xié)會,確認是模仿犯而已。因為是惡作劇,該銀行決定不轉(zhuǎn)移流量,不過,他們確實受到了小型試探攻擊,依賴Radware的應(yīng)急響應(yīng)團隊進行了處理。

2016年起,攻擊方法開始多樣化,第一銀行經(jīng)歷了四倍于過去的瞬時攻擊井噴。同時,持續(xù)時間超過1小時的攻擊在減少。趨勢似乎在漸漸轉(zhuǎn)向“打了就跑”的短時攻擊。

但也不是所有的攻擊都是瞬時攻擊。2016年9月,該銀行受到了一次較小型的攻擊(2G-3Gbps),但持續(xù)時間長達4個多小時,且漸進發(fā)展幾個階段。銀行官員注意到其中一些攻擊是ping攻擊。他們經(jīng)歷了16000個SYN連接的攻擊(在南非已算相當大了),最后是靠內(nèi)部DDoS防護應(yīng)用緩解的。

在半SYN攻擊后,HTTP洪水隨之而來,源頭約有2000個。當然,也被成功緩解了。不過,該銀行對完全HTTPS洪水就束手無策了。

加密攻擊,昭示出必須擁有專門的防護措施,來針對利用SSL標準繞過安全控制的攻擊方式。通常情況下,該銀行面對的是UDP分片攻擊后跟著DNS反射攻擊。那次案例中,卻是被典型的SSL攻擊襲擊。

一般的SSL攻擊每波只持續(xù)3-4分鐘,一波緊跟一波密集發(fā)動。但那次的攻擊持續(xù)了1.5小時,攻擊消耗掉的計算資源給銀行的防御系統(tǒng)造成了巨大壓力。該銀行產(chǎn)生了太多響應(yīng)負載,將其外出連接逼近了上限,三倍于平時吞吐量。

經(jīng)驗教訓(xùn)

2016年見證了勒索威脅的爆炸式增長,襯托得其他類型的網(wǎng)絡(luò)攻擊都不顯眼了。調(diào)查中,56%的公司都報告稱自己是網(wǎng)絡(luò)勒索的受害者,41%將勒索列為自身面臨的最大網(wǎng)絡(luò)威脅(2015年數(shù)字為25%)。可以從南非第一國家銀行的案例吸取一些經(jīng)驗:

1. 限速分析加上行為分析的好處

過去,該銀行測試了一個利用限速技術(shù)的DDoS緩解解決方案,發(fā)現(xiàn)使用行為分析能提供很大的優(yōu)勢。因為不會封住合法流量,行為分析使第一國家銀行得以維持其服務(wù)水平。

2. 時間對緩解的重要性

通過擁有實時發(fā)展攻擊特征碼的能力,該銀行能夠在20秒內(nèi)緩解攻擊。

主要威脅

Radware發(fā)現(xiàn)了幾個勒索型DoS攻擊的主要執(zhí)行團伙:

Armada Collective:或許是知名度最高的網(wǎng)絡(luò)犯罪團伙。他們喜歡在發(fā)送勒索通知時順帶一次示威攻擊,索要贖金一般在10-200比特幣(約$3,600-$70,000)。只要超過支付時限,受害者的數(shù)據(jù)中心就會被超100Gbps的流量淹沒。

明顯的模仿犯開始冒用 Armada Collective 的名號;一個早期策略曾嘗試向3家希臘銀行勒索720萬美元。

DD4BC:這個犯罪團伙的名字就是“為比特幣而來的分布式拒絕服務(wù)”,2014年年中開始發(fā)起比特幣勒索活動。最開始針對在線博彩行業(yè),此后DD4BC將目標范圍擴大到金融服務(wù)、娛樂和其他知名公司。

ezBTC Squad:該網(wǎng)絡(luò)犯罪團伙沒有使用常見的郵件消息,而是用推特作為投遞其RDoS(勒索拒絕服務(wù))的手段。

Kadyrovtsy:以車臣Kadyrov政權(quán)精英力量命名,是最新冒頭的RDoS團伙,最近剛剛威脅過兩家波蘭銀行和一家加拿大媒體公司。該團伙甚至還發(fā)動了一次15G-20Gbps的示威攻擊來證明其能力,就像 Armada Collective 一樣。

RedDoor:2016年3月第一次發(fā)動攻擊。行動模式比較標準,就是用匿名電子郵件發(fā)送勒索消息,索要3比特幣。受害公司只有24小時可以轉(zhuǎn)賬給某比特幣賬戶。

小心模仿犯:模仿犯加重了RDoS麻煩。這些人發(fā)出虛假勒索郵件,希望能用最小的付出獲得快錢。識別虛假勒索郵件有幾條建議可供參考:

  • 評估贖金要求:Armada Collective 通常索要20比特幣。其他勒索活動也在這個數(shù)量上下。虛假勒索通常贖金額度不定。事實上,低贖金索要信很有可能就是虛假勒索,希望他們的價格足夠低,讓受害者愿意支付而不是去尋求專業(yè)幫助。
  • 檢查網(wǎng)絡(luò):真黑客通過在發(fā)出勒索通知的同時進行小型攻擊,來證明自己的能力。如果網(wǎng)絡(luò)活動發(fā)生改變,勒索信和威脅就可能是真的。
  • 看看組織結(jié)構(gòu):真黑客是組織良好的。而假黑客,連網(wǎng)站都沒有,也沒有官方賬號。
  • 考慮目標:真黑客傾向于攻擊一個行業(yè)內(nèi)的多家公司。假黑客就沒那么專注,逮誰給誰發(fā)勒索信,希望能賺點外快。
責任編輯:趙寧寧 來源: 安全牛
相關(guān)推薦

2022-09-26 23:46:03

網(wǎng)絡(luò)安全數(shù)據(jù)安全漏洞

2022-09-26 00:09:37

網(wǎng)絡(luò)安全數(shù)量

2022-07-15 16:07:26

加密貨幣區(qū)塊鏈代幣

2023-12-27 11:41:21

2013-10-09 09:33:10

開源開源軟件

2021-09-17 09:51:48

勒索軟件攻擊網(wǎng)絡(luò)安全

2022-08-19 16:25:58

勒索軟件安全

2018-10-08 15:08:42

物聯(lián)網(wǎng)水災(zāi)害IOT

2024-05-13 11:34:41

2016-10-19 16:37:05

2023-09-11 10:20:25

2020-12-06 14:44:37

勒索軟件攻擊數(shù)據(jù)泄露

2023-06-06 18:57:46

2022-01-20 15:01:16

網(wǎng)絡(luò)安全勒索軟件技術(shù)

2021-12-31 10:19:50

勒索軟件惡意軟件安全

2022-06-10 12:00:40

Trellix勒索軟件

2016-03-30 11:54:20

2022-05-24 10:28:48

勒索軟件漏洞網(wǎng)絡(luò)攻擊

2020-12-07 11:11:21

勒索軟件漏洞網(wǎng)絡(luò)攻擊

2023-03-01 10:50:37

點贊
收藏

51CTO技術(shù)棧公眾號