除勒索軟件、網(wǎng)絡(luò)釣魚(yú)、商業(yè)電子郵件欺詐(BEC)和憑據(jù)填充攻擊外，過(guò)去幾個(gè)月中，另一種形式的網(wǎng)絡(luò)安全威脅正呈現(xiàn)不斷攀升的趨勢(shì)：勒索式DDoS(RDoS)攻擊。網(wǎng)絡(luò)犯罪分子要求目標(biāo)組織支付大量贖金，以換取不發(fā)動(dòng)旨在降低其網(wǎng)絡(luò)性能的分布式拒絕服務(wù)(DDoS)攻擊。

2020年發(fā)生的11起最大的DDoS勒索網(wǎng)絡(luò)攻擊事件導(dǎo)致受害組織花費(fèi)了近1.44億美元用于支付贖金、調(diào)查取證以及重建其應(yīng)用程序。鑒于攻擊媒介日趨復(fù)雜化和多樣化，2020年第三季度的DDoS勒索攻擊比2019年激增了50%。

什么是勒索式DDoS(RDoS)攻擊?

在DDoS攻擊中，網(wǎng)絡(luò)犯罪分子會(huì)將大量電子請(qǐng)求或其他網(wǎng)絡(luò)流量發(fā)送到目標(biāo)企業(yè)的網(wǎng)站、Web應(yīng)用程序或網(wǎng)絡(luò)中，目的是擊潰企業(yè)處理這些請(qǐng)求的能力，從而關(guān)閉其網(wǎng)站，以使合法用戶無(wú)法再使用該服務(wù)。如果攻擊破壞了許多終端依賴的通用服務(wù)，例如域名系統(tǒng)(DNS)服務(wù)，那么一次攻擊甚至可能會(huì)影響多個(gè)企業(yè)的網(wǎng)站或服務(wù)。

DDoS攻擊已經(jīng)存在了很長(zhǎng)時(shí)間，并且通常被用作轉(zhuǎn)移注意力的“煙幕”，旨在將注意力從單獨(dú)的攻擊中移開(kāi)或是發(fā)送政治信息。在最近的DDoS攻擊浪潮中，網(wǎng)絡(luò)犯罪分子似乎正在利用近來(lái)勢(shì)頭正盛的勒索軟件活動(dòng)來(lái)尋求直接的經(jīng)濟(jì)利益。

DDoS攻擊也正變得越來(lái)越便宜且易于實(shí)施，網(wǎng)絡(luò)犯罪分子甚至可以在暗網(wǎng)上租用DDoS服務(wù)來(lái)發(fā)動(dòng)大規(guī)模攻擊。該服務(wù)易于使用，甚至?xí)榛仡^客提供會(huì)員計(jì)劃。DDoS服務(wù)的價(jià)格因目標(biāo)資源的豐富程度而異，針對(duì)受保護(hù)網(wǎng)站的攻擊費(fèi)用也僅需400美元。

最近的DDoS勒索運(yùn)動(dòng)

在過(guò)去的幾個(gè)月中，成千上萬(wàn)的公司收到了勒索電子郵件，郵件稱“如果沒(méi)有用比特幣支付六位數(shù)的贖金，就將遭受到嚴(yán)重的DDoS攻擊”。這些攻擊通常遵循相同的模式：

電子郵件

首先，一家公司收到來(lái)自威脅參與者的電子郵件，該電子郵件聲稱與臭名昭著的復(fù)雜網(wǎng)絡(luò)犯罪組織(例如Lazarus或Fancy Bear)有從屬關(guān)系。但實(shí)際上，這些電子郵件的發(fā)件人更有可能是獨(dú)立的網(wǎng)絡(luò)犯罪分子，他們以知名犯罪組織的聲譽(yù)進(jìn)行交易，以樹(shù)立信譽(yù)并表現(xiàn)出更強(qiáng)大的威懾性。這些電子郵件通常是在首次DDoS攻擊發(fā)生前約15分鐘從加密的電子郵件服務(wù)(如ProtonMail)發(fā)送的。但是，目標(biāo)通常并不知道勒索通知，因?yàn)樵撾娮余]件可能會(huì)被公司的垃圾郵件過(guò)濾器捕獲，或是接收該電子郵件的人正在忙碌或休假而將其忽略掉。

該電子郵件解釋稱，最初的小型攻擊是威脅行為者能力的證明。如果6天內(nèi)未能支付六位數(shù)的比特幣贖金，攻擊者將發(fā)動(dòng)第二輪DDoS攻擊，這次攻擊強(qiáng)度將足以破壞企業(yè)核心運(yùn)營(yíng)并對(duì)其造成聲譽(yù)損失。除了將贖金金額發(fā)送到提供的比特幣錢(qián)包外，通常沒(méi)有其他與威脅行為者進(jìn)行溝通或協(xié)商的途徑。

初始攻擊

在收到初始勒索電子郵件后約十五分鐘，威脅行為者通常會(huì)進(jìn)行DDoS演示攻擊。這些攻擊的強(qiáng)度各不相同，范圍從每秒幾Gbps到峰值300 Gbps，通常持續(xù)幾個(gè)小時(shí)。在這些初始攻擊過(guò)程中，一些公司在連接虛擬專用網(wǎng)絡(luò)網(wǎng)關(guān)、電子郵件客戶端、基于聊天的協(xié)作平臺(tái)(例如Microsoft Teams)以及其他核心服務(wù)時(shí)會(huì)出現(xiàn)性能問(wèn)題。這些攻擊通常集中在后端基礎(chǔ)架構(gòu)上，并且來(lái)自多種攻擊媒介。攻擊者似乎正在實(shí)時(shí)監(jiān)視攻擊和攻擊技巧期間的影響，以規(guī)避緩解措施。

在一些情況下，攻擊者還將試圖破壞目標(biāo)的域名系統(tǒng)(DNS)服務(wù)器，從而損害目標(biāo)通過(guò)其設(shè)備訪問(wèn)Internet的能力。這種攻擊形式破壞了網(wǎng)站或應(yīng)用程序?qū)戏ɑヂ?lián)網(wǎng)流量的響應(yīng)能力。DNS服務(wù)器通常由專門(mén)的提供商托管在組織外部。一些DNS提供商可能沒(méi)有與公司網(wǎng)絡(luò)相同級(jí)別的DDoS防護(hù)，而其他DNS提供商則采用了完善的DDoS預(yù)防方法，該方法可以檢查入站流量，檢測(cè)和丟棄惡意流量，并且僅將合法流量轉(zhuǎn)發(fā)給公司。攻擊者還通過(guò)“booter”服務(wù)擴(kuò)大了攻擊范圍，這些服務(wù)具有隱藏攻擊源并提高其效力的作用。

此外，攻擊者還一直在進(jìn)行IP欺騙，該欺騙活動(dòng)將垃圾流量從看似來(lái)自目標(biāo)網(wǎng)絡(luò)內(nèi)部的源地址發(fā)送到目標(biāo)，從而通過(guò)使電子郵件基礎(chǔ)架構(gòu)之類的服務(wù)被DDoS緩解服務(wù)不當(dāng)?shù)亓腥牒诿麊味斐勺虜_。

如何應(yīng)對(duì)勒索式DDoS攻擊?

通常情況下，黑客會(huì)發(fā)送勒索通知，威脅目標(biāo)組織即將發(fā)生的攻擊行為。他們可能會(huì)“炫耀”之前的攻擊戰(zhàn)績(jī)，或者聲稱與Lazarus Group以及Fancy Bear等黑客組織有從屬關(guān)系。除此之外，勒索通知中還會(huì)提及付款期限和付款操作指南。

如果處理得當(dāng)，就可以遏制勒索攻擊的不利影響。讓我們看下切實(shí)可行的一些行動(dòng)方案：

檢查演示攻擊：有時(shí)候，黑客會(huì)進(jìn)行一次小型攻擊以證明其實(shí)力。如果勒索通知中提到相同的內(nèi)容，建議組織先檢查網(wǎng)絡(luò)日志中是否存在任何流量高峰，以證明是小規(guī)模攻擊。

員工培訓(xùn)：勒索攻擊是一場(chǎng)數(shù)字游戲。勒索通知通常會(huì)發(fā)送到大量公開(kāi)的電子郵件地址中。由于您的任何員工都可能收到此類郵件，因此，重要的是對(duì)他們進(jìn)行教育，以防他們受到威脅。此外，組織還必須建立清晰的溝通和所有權(quán)界定，以建立快速有效的應(yīng)對(duì)機(jī)制。

永遠(yuǎn)不要支付贖金：向犯罪分子支付贖金永遠(yuǎn)是無(wú)效的。它可以暫時(shí)地阻止攻擊，但卻不能保證這種勒索行為未來(lái)不會(huì)繼續(xù)。向這些非法組織屈服無(wú)疑于被其標(biāo)記為“軟柿子”，這也就意味著你更有可能再次淪為其目標(biāo)。其次，向攻擊者支付贖金等同于為其未來(lái)的犯罪行為提供資金支持，并為驗(yàn)證其攻擊方法有效性樹(shù)立了先例。原則上來(lái)說(shuō)，投入更多資金來(lái)減輕風(fēng)險(xiǎn)遠(yuǎn)勝于選擇支付贖金，因?yàn)殚L(zhǎng)遠(yuǎn)來(lái)看，這不僅對(duì)您的業(yè)務(wù)甚至對(duì)整個(gè)行業(yè)來(lái)說(shuō)都將變得更具成本效應(yīng)。

應(yīng)對(duì)虛假威脅：在某些情況下，勒索通知可能并不可信，企業(yè)最終無(wú)緣無(wú)故地?fù)p失了大量資金。因此，強(qiáng)烈建議永遠(yuǎn)不要支付贖金，而應(yīng)該專注于加強(qiáng)組織的網(wǎng)絡(luò)安全措施。話雖如此，任何安全威脅都必須得到認(rèn)真對(duì)待。最好的方法就是投資DDoS保護(hù)工具。

通用保護(hù)策略

減輕勒索式DDoS攻擊涉及通過(guò)采取下述步驟來(lái)保護(hù)現(xiàn)場(chǎng)服務(wù)器和網(wǎng)絡(luò)設(shè)備：

檢測(cè)預(yù)警信號(hào)：為了減輕勒索DDoS攻擊的危害，及時(shí)檢測(cè)到預(yù)警信號(hào)非常關(guān)鍵。首先，請(qǐng)密切關(guān)注網(wǎng)站的實(shí)時(shí)流量。有一些網(wǎng)站安全解決方案可以幫助您實(shí)現(xiàn)這一點(diǎn)。甚至可以通過(guò)打開(kāi)實(shí)時(shí)設(shè)置來(lái)使用Google Analytics檢查實(shí)時(shí)流量。您還可以查看網(wǎng)站的數(shù)據(jù)使用情況統(tǒng)計(jì)信息，以了解數(shù)量是否激增。如果使用率異常高，則可能表示受到了攻擊。

安裝Web應(yīng)用程序防火墻：由于此攻擊的目標(biāo)是Web服務(wù)器，因此可以使用Web應(yīng)用程序防火墻之類的安全措施。您也可以在網(wǎng)站上使用防火墻插件來(lái)監(jiān)視傳入流量并阻止任何可疑請(qǐng)求。聘請(qǐng)專業(yè)人員實(shí)施DDoS安全措施也是有效遏制問(wèn)題的好方法。

擴(kuò)展DDoS緩解措施：DDoS緩解措施通常包括實(shí)施措施，以保護(hù)公司的現(xiàn)場(chǎng)服務(wù)器和網(wǎng)絡(luò)設(shè)備免受DDoS攻擊，并包括檢測(cè)異常流量和將惡意流量重定向到網(wǎng)絡(luò)之外的行為。進(jìn)行這些DDoS攻擊的威脅行為者傾向于將目標(biāo)IP地址指定為當(dāng)前不在公司DDoS緩解范圍之內(nèi)的IP地址。因此，一些公司發(fā)現(xiàn)，通過(guò)將緩解措施擴(kuò)展到盡可能多的公司IP地址、Web服務(wù)、面向Internet的基礎(chǔ)結(jié)構(gòu)和DNS服務(wù)器，他們能夠防御非常復(fù)雜的DDoS攻擊。

基于云的DDoS緩解：根據(jù)初始攻擊的強(qiáng)度以及企業(yè)有效響應(yīng)的能力，一些公司已轉(zhuǎn)向基于云的DDoS緩解服務(wù)。這些服務(wù)具有“始終在線”監(jiān)視網(wǎng)絡(luò)流量的優(yōu)勢(shì)，可以在幾秒鐘內(nèi)發(fā)現(xiàn)問(wèn)題并響應(yīng)攻擊。

自定義DDoS緩解措施：在最近的一些攻擊中，犯罪分子通過(guò)分散攻擊而不會(huì)觸發(fā)DDoS緩解閾值，從而在造成破壞的同時(shí)避免了被發(fā)現(xiàn)。通過(guò)與緩解措施提供商合作，自定義緩解閾值以識(shí)別并防止這種特定類型的攻擊，公司將能夠防止這種情況的發(fā)生。

與ISP合作：為了應(yīng)對(duì)DDoS攻擊，許多公司已與其互聯(lián)網(wǎng)服務(wù)提供商(ISP)緊密合作，以確保他們能夠在活動(dòng)期間控制網(wǎng)絡(luò)流量。在最近的DDoS攻擊中，Verizon和AT&T都能夠減輕目標(biāo)公司網(wǎng)絡(luò)服務(wù)的中斷。此外，ISP可能還擁有執(zhí)法部門(mén)希望用于調(diào)查的某些法證數(shù)據(jù)。

緊急措施：萬(wàn)一遇到威脅，你可以暫時(shí)關(guān)閉網(wǎng)站以阻止攻擊。在重新啟用它之前，請(qǐng)務(wù)必采取預(yù)防措施，例如安裝防火墻。

本文翻譯自：https://wp.nyu.edu/compliance_enforcement/2020/12/23/the-rise-of-ddos-ransom-attacks-how-to-prevent-and-respond/ https://www.infosecurity-magazine.com/blogs/ddos-ransom-attacks/如若轉(zhuǎn)載，請(qǐng)注明原文地址。