除勒索軟件、網(wǎng)絡釣魚、商業(yè)電子郵件欺詐(BEC)和憑據(jù)填充攻擊外，過去幾個月中，另一種形式的網(wǎng)絡安全威脅正呈現(xiàn)不斷攀升的趨勢：勒索式DDoS(RDoS)攻擊。網(wǎng)絡犯罪分子要求目標組織支付大量贖金，以換取不發(fā)動旨在降低其網(wǎng)絡性能的分布式拒絕服務(DDoS)攻擊。

2020年發(fā)生的11起最大的DDoS勒索網(wǎng)絡攻擊事件導致受害組織花費了近1.44億美元用于支付贖金、調(diào)查取證以及重建其應用程序。鑒于攻擊媒介日趨復雜化和多樣化，2020年第三季度的DDoS勒索攻擊比2019年激增了50%。

什么是勒索式DDoS(RDoS)攻擊?

在DDoS攻擊中，網(wǎng)絡犯罪分子會將大量電子請求或其他網(wǎng)絡流量發(fā)送到目標企業(yè)的網(wǎng)站、Web應用程序或網(wǎng)絡中，目的是擊潰企業(yè)處理這些請求的能力，從而關閉其網(wǎng)站，以使合法用戶無法再使用該服務。如果攻擊破壞了許多終端依賴的通用服務，例如域名系統(tǒng)(DNS)服務，那么一次攻擊甚至可能會影響多個企業(yè)的網(wǎng)站或服務。

DDoS攻擊已經(jīng)存在了很長時間，并且通常被用作轉(zhuǎn)移注意力的“煙幕”，旨在將注意力從單獨的攻擊中移開或是發(fā)送政治信息。在最近的DDoS攻擊浪潮中，網(wǎng)絡犯罪分子似乎正在利用近來勢頭正盛的勒索軟件活動來尋求直接的經(jīng)濟利益。

DDoS攻擊也正變得越來越便宜且易于實施，網(wǎng)絡犯罪分子甚至可以在暗網(wǎng)上租用DDoS服務來發(fā)動大規(guī)模攻擊。該服務易于使用，甚至會為回頭客提供會員計劃。DDoS服務的價格因目標資源的豐富程度而異，針對受保護網(wǎng)站的攻擊費用也僅需400美元。

最近的DDoS勒索運動

在過去的幾個月中，成千上萬的公司收到了勒索電子郵件，郵件稱“如果沒有用比特幣支付六位數(shù)的贖金，就將遭受到嚴重的DDoS攻擊”。這些攻擊通常遵循相同的模式：

電子郵件

首先，一家公司收到來自威脅參與者的電子郵件，該電子郵件聲稱與臭名昭著的復雜網(wǎng)絡犯罪組織(例如Lazarus或Fancy Bear)有從屬關系。但實際上，這些電子郵件的發(fā)件人更有可能是獨立的網(wǎng)絡犯罪分子，他們以知名犯罪組織的聲譽進行交易，以樹立信譽并表現(xiàn)出更強大的威懾性。這些電子郵件通常是在首次DDoS攻擊發(fā)生前約15分鐘從加密的電子郵件服務(如ProtonMail)發(fā)送的。但是，目標通常并不知道勒索通知，因為該電子郵件可能會被公司的垃圾郵件過濾器捕獲，或是接收該電子郵件的人正在忙碌或休假而將其忽略掉。

該電子郵件解釋稱，最初的小型攻擊是威脅行為者能力的證明。如果6天內(nèi)未能支付六位數(shù)的比特幣贖金，攻擊者將發(fā)動第二輪DDoS攻擊，這次攻擊強度將足以破壞企業(yè)核心運營并對其造成聲譽損失。除了將贖金金額發(fā)送到提供的比特幣錢包外，通常沒有其他與威脅行為者進行溝通或協(xié)商的途徑。

初始攻擊

在收到初始勒索電子郵件后約十五分鐘，威脅行為者通常會進行DDoS演示攻擊。這些攻擊的強度各不相同，范圍從每秒幾Gbps到峰值300 Gbps，通常持續(xù)幾個小時。在這些初始攻擊過程中，一些公司在連接虛擬專用網(wǎng)絡網(wǎng)關、電子郵件客戶端、基于聊天的協(xié)作平臺(例如Microsoft Teams)以及其他核心服務時會出現(xiàn)性能問題。這些攻擊通常集中在后端基礎架構上，并且來自多種攻擊媒介。攻擊者似乎正在實時監(jiān)視攻擊和攻擊技巧期間的影響，以規(guī)避緩解措施。

在一些情況下，攻擊者還將試圖破壞目標的域名系統(tǒng)(DNS)服務器，從而損害目標通過其設備訪問Internet的能力。這種攻擊形式破壞了網(wǎng)站或應用程序?qū)戏ɑヂ?lián)網(wǎng)流量的響應能力。DNS服務器通常由專門的提供商托管在組織外部。一些DNS提供商可能沒有與公司網(wǎng)絡相同級別的DDoS防護，而其他DNS提供商則采用了完善的DDoS預防方法，該方法可以檢查入站流量，檢測和丟棄惡意流量，并且僅將合法流量轉(zhuǎn)發(fā)給公司。攻擊者還通過“booter”服務擴大了攻擊范圍，這些服務具有隱藏攻擊源并提高其效力的作用。

此外，攻擊者還一直在進行IP欺騙，該欺騙活動將垃圾流量從看似來自目標網(wǎng)絡內(nèi)部的源地址發(fā)送到目標，從而通過使電子郵件基礎架構之類的服務被DDoS緩解服務不當?shù)亓腥牒诿麊味斐勺虜_。

如何應對勒索式DDoS攻擊?

通常情況下，黑客會發(fā)送勒索通知，威脅目標組織即將發(fā)生的攻擊行為。他們可能會“炫耀”之前的攻擊戰(zhàn)績，或者聲稱與Lazarus Group以及Fancy Bear等黑客組織有從屬關系。除此之外，勒索通知中還會提及付款期限和付款操作指南。

如果處理得當，就可以遏制勒索攻擊的不利影響。讓我們看下切實可行的一些行動方案：

檢查演示攻擊：有時候，黑客會進行一次小型攻擊以證明其實力。如果勒索通知中提到相同的內(nèi)容，建議組織先檢查網(wǎng)絡日志中是否存在任何流量高峰，以證明是小規(guī)模攻擊。

員工培訓：勒索攻擊是一場數(shù)字游戲。勒索通知通常會發(fā)送到大量公開的電子郵件地址中。由于您的任何員工都可能收到此類郵件，因此，重要的是對他們進行教育，以防他們受到威脅。此外，組織還必須建立清晰的溝通和所有權界定，以建立快速有效的應對機制。

永遠不要支付贖金：向犯罪分子支付贖金永遠是無效的。它可以暫時地阻止攻擊，但卻不能保證這種勒索行為未來不會繼續(xù)。向這些非法組織屈服無疑于被其標記為“軟柿子”，這也就意味著你更有可能再次淪為其目標。其次，向攻擊者支付贖金等同于為其未來的犯罪行為提供資金支持，并為驗證其攻擊方法有效性樹立了先例。原則上來說，投入更多資金來減輕風險遠勝于選擇支付贖金，因為長遠來看，這不僅對您的業(yè)務甚至對整個行業(yè)來說都將變得更具成本效應。

應對虛假威脅：在某些情況下，勒索通知可能并不可信，企業(yè)最終無緣無故地損失了大量資金。因此，強烈建議永遠不要支付贖金，而應該專注于加強組織的網(wǎng)絡安全措施。話雖如此，任何安全威脅都必須得到認真對待。最好的方法就是投資DDoS保護工具。

通用保護策略

減輕勒索式DDoS攻擊涉及通過采取下述步驟來保護現(xiàn)場服務器和網(wǎng)絡設備：

檢測預警信號：為了減輕勒索DDoS攻擊的危害，及時檢測到預警信號非常關鍵。首先，請密切關注網(wǎng)站的實時流量。有一些網(wǎng)站安全解決方案可以幫助您實現(xiàn)這一點。甚至可以通過打開實時設置來使用Google Analytics檢查實時流量。您還可以查看網(wǎng)站的數(shù)據(jù)使用情況統(tǒng)計信息，以了解數(shù)量是否激增。如果使用率異常高，則可能表示受到了攻擊。

安裝Web應用程序防火墻：由于此攻擊的目標是Web服務器，因此可以使用Web應用程序防火墻之類的安全措施。您也可以在網(wǎng)站上使用防火墻插件來監(jiān)視傳入流量并阻止任何可疑請求。聘請專業(yè)人員實施DDoS安全措施也是有效遏制問題的好方法。

擴展DDoS緩解措施：DDoS緩解措施通常包括實施措施，以保護公司的現(xiàn)場服務器和網(wǎng)絡設備免受DDoS攻擊，并包括檢測異常流量和將惡意流量重定向到網(wǎng)絡之外的行為。進行這些DDoS攻擊的威脅行為者傾向于將目標IP地址指定為當前不在公司DDoS緩解范圍之內(nèi)的IP地址。因此，一些公司發(fā)現(xiàn)，通過將緩解措施擴展到盡可能多的公司IP地址、Web服務、面向Internet的基礎結構和DNS服務器，他們能夠防御非常復雜的DDoS攻擊。

基于云的DDoS緩解：根據(jù)初始攻擊的強度以及企業(yè)有效響應的能力，一些公司已轉(zhuǎn)向基于云的DDoS緩解服務。這些服務具有“始終在線”監(jiān)視網(wǎng)絡流量的優(yōu)勢，可以在幾秒鐘內(nèi)發(fā)現(xiàn)問題并響應攻擊。

自定義DDoS緩解措施：在最近的一些攻擊中，犯罪分子通過分散攻擊而不會觸發(fā)DDoS緩解閾值，從而在造成破壞的同時避免了被發(fā)現(xiàn)。通過與緩解措施提供商合作，自定義緩解閾值以識別并防止這種特定類型的攻擊，公司將能夠防止這種情況的發(fā)生。

與ISP合作：為了應對DDoS攻擊，許多公司已與其互聯(lián)網(wǎng)服務提供商(ISP)緊密合作，以確保他們能夠在活動期間控制網(wǎng)絡流量。在最近的DDoS攻擊中，Verizon和AT&T都能夠減輕目標公司網(wǎng)絡服務的中斷。此外，ISP可能還擁有執(zhí)法部門希望用于調(diào)查的某些法證數(shù)據(jù)。

緊急措施：萬一遇到威脅，你可以暫時關閉網(wǎng)站以阻止攻擊。在重新啟用它之前，請務必采取預防措施，例如安裝防火墻。

本文翻譯自：https://wp.nyu.edu/compliance_enforcement/2020/12/23/the-rise-of-ddos-ransom-attacks-how-to-prevent-and-respond/ https://www.infosecurity-magazine.com/blogs/ddos-ransom-attacks/如若轉(zhuǎn)載，請注明原文地址。