最近,世界各地数千家企业和机构受到了影响DDoS攻击威胁,勒索比特币。阿卡迈科技有限公司是一家智能边缘平台,负责提供安全数字体验(Akamai Technologies)所监测到的来自声称是Armada Collective、Cozy Bear、Fancy Bear和Lazarus Group组织的攻击越来越多。这些勒索要求和DDoS勒索组过去使用的方法没有太大区别。具体来说:
勒索信:
一开始,勒索组织会发出威胁性的电子邮件,警告公司如果不支付比特币,就会发起DDoS攻击。勒索信的措辞与媒体在过去的攻击活动中公开的信件非常相似,并且与媒体上公开的信件非常相似Akamai最近一次记录在2019年11月DDoS类似的勒索活动。
一些勒索信会警告说,如果公开披露勒索要求(即向媒体发布),威胁中提到的攻击将立即发动。
“如果你以我们的名义向媒体报道并免费宣传,而不支付任何费用,那么我们将继续发起攻击,你将承受长期的攻击。(原文)”——Armada Collective
勒索信还提到了声誉,警告即将到来的攻击不仅会破坏基础设施,还会产生更大的影响。
“……没有人能访问你的网站和其他网络服务。请注意,这也会严重影响你在客户眼中的声誉。[……]我们愿意付钱之前,我们会彻底毁掉你的声誉,让你的服务离线。(原文即此)”——Fancy Bear
支付赎金:
在Akamai观察到的Armada Collective在勒索要求中,最初的赎金是5比特币,如果错过了最后期限,每天增加到10比特币。Fancy Bear最初的赎金是20比特币,如果错过了最后期限,每天增加30比特币。
大多数这样的勒索要求通常会提出一定的金额,但威胁发起人也会突然提出其他财务条件。
主动攻击:
这些信件将明确受害者机构的目标资产,并承诺进行小规模的工作“测试”攻击证明了情况的严重性。一些勒索信声称,威胁发起可以发动高达2Tbps的DDoS攻击。
Akamai发现其网络上的一位客户遭遇50Gb/sec攻击。流量包括基于的UDP的ARMS协议反射攻击。使用的反射器数量尚不清楚。
Akamai的安全情报响应小组怀疑该勒索要求来自模仿者,他们利用知名攻击组织的名声作为恐吓手段来加快付款速度。
近期,Akamai发现北美、亚太地区、欧洲、中东和非洲企业收到的勒索信越来越多。虽然金融服务业最初是最具威胁性的行业,但勒索信最近瞄准了商业服务、高科技、酒店、零售和旅游等其他行业的企业和机构。
到目前为止,采取有效措施Prolexic DDoS缓解控制措施Akamai这些威胁组织这些威胁组织的服务中断。最近几周,Akamai符合此类特征的攻击已缓解50多次,并将继续与客户合作,采取0秒SLA主动缓解控制措施可以非常有效地应对Akamai攻击模式。
若企业收到RDoS的威胁,Akamai建议不要支付赎金,因为企业可能不会受到攻击,也不能保证支付赎金可以阻止DDoS攻击。此时,企业应召集IT、操作、安全和客户沟通人员,确保自己做好准备,知道被攻击时该怎么办。
Akamai为帮助客户快速入门提供紧急安全集成包,企业机构可拨打Akamai DDoS热线启动集成包。Akamai将立即采取措施对风险进行分类,并使用适当的措施Akamai安全工具并执行我们的攻击应对程序。值得一提的是,最近,Akamai已成功推出数十家企业。在这些例子中,如果你提前准备好了GRE Tunnels所需的网络前缀可以大大缩短上线时间。
现有的Akamai客户应联系自己的客户团队或联系“Akamai支持”托管安全服务部门(MSS)客户应跟随他们Akamai安全运营控制中心(SOCC)现有的建立过程。任何受到威胁的客户都将立即进入“高度戒备”状态,SOCC评估情况并准备好应对攻击。每个客户的情况将根据其业务和应用需求进行调整。
尽管如此,值得注意的是Akamai到目前为止,观察到的大多数威胁已经被它们摧毁了Prolexic DDoS但根据最佳实践,企业也应该缓解服务缓解DNS全面、全面地部署应用层DDoS缓解措施包括评估自己DNS最理想的解决方案是确保在受到攻击时有帮助DNS服务,以及在网络应用防火墙(WAF)实施速度控制和拒绝规则,控制大规模攻击。