網(wǎng)絡(luò)犯罪分子在做生意是為了賺錢。勒索軟件和勒索拒絕服務(wù)(RDoS) 攻擊等勒索攻擊為網(wǎng)絡(luò)犯罪分子提供了一種通過攻擊獲利的直接手段。

勒索拒絕服務(wù) 攻擊是指攻擊者從目標(biāo)勒索贖金以不執(zhí)行或阻止 DDoS 攻擊的發(fā)生。由于破壞組織的網(wǎng)站和其他在線服務(wù)會花費(fèi)公司資金，因此受害者可能會出于經(jīng)濟(jì)動機(jī)支付贖金以防止或阻止攻擊。

RDoS 攻擊是如何開始的？

RDoS 攻擊始于贖金要求。通常，攻擊背后的網(wǎng)絡(luò)犯罪分子將使用注重隱私的電子郵件提供商將他們的需求發(fā)送給目標(biāo)受害者。該要求將包括贖金金額和必須支付贖金的截止日期。攻擊者可能會在規(guī)定的截止日期之前執(zhí)行DDoS 攻擊，以證明他們有能力實(shí)施威脅。

如果在截止日期之前沒有支付贖金，那么 DDoS 攻擊將認(rèn)真開始。通常，這些 DDoS 攻擊非常復(fù)雜，并且會定期更改策略以使阻止它們更加復(fù)雜。一次攻擊可能會持續(xù)數(shù)小時(shí)到數(shù)周不等，贖金需求可能會隨著未付清的時(shí)間越長而增長。

RDoS 活動的演變

與其他網(wǎng)絡(luò)威脅一樣，勒索拒絕服務(wù)攻擊者也在不斷努力改進(jìn)和改進(jìn)他們的策略和技術(shù)。這有助于他們最大限度地提高攻擊的盈利能力，并提高他們執(zhí)行勒索信中威脅的能力。

通常，RDoS 攻擊者偽裝成著名的 APT，例如 Fancy Bear、Armada Collective 或 Lazarus Group。2020 年，來自這些團(tuán)體的攻擊針對多個(gè)行業(yè)的公司進(jìn)行多階段攻擊。那些沒有滿足最初 20 BTC 贖金要求的組織在當(dāng)年晚些時(shí)候再次成為攻擊的目標(biāo)。通過重用他們現(xiàn)有的研究，威脅參與者試圖以最小的努力提取額外的價(jià)值。

2021 年，攻擊者將注意力轉(zhuǎn)向互聯(lián)網(wǎng)和云服務(wù)提供商。這些攻擊還展示了更深入的研究，僅針對未受保護(hù)的資產(chǎn)。這些更有針對性的攻擊表明，RDoS 活動背后的網(wǎng)絡(luò)犯罪分子正在努力提高成功攻擊和支付贖金的可能性。

如何響應(yīng) RDoS 威脅

勒索拒絕服務(wù)勒索信代表了可信的威脅，但也讓組織有時(shí)間為潛在的攻擊做準(zhǔn)備。公司為響應(yīng) RDoS 需求應(yīng)采取的一些步驟包括：

• 不要支付贖金：支付贖金并不能保證網(wǎng)絡(luò)犯罪分子無論如何都不會發(fā)動攻擊。此外，網(wǎng)絡(luò)犯罪分子可能會卷土重來并威脅進(jìn)行額外的攻擊以勒索未來的付款。
• 傳遞信息：RDoS 贖金票據(jù)通常會發(fā)送給組織內(nèi)的隨機(jī)人員，他們可能不知道如何處理它們。員工教育對于確保信息傳達(dá)給正確的人以進(jìn)行響應(yīng)至關(guān)重要。
• 檢查演示攻擊：攻擊者可能會在截止日期前進(jìn)行演示攻擊以證明其能力。檢查演示攻擊可以幫助確定威脅是否真實(shí)，并可以提供有用的威脅情報(bào)來處理受威脅的攻擊。
• 提醒您的安全提供商：向您的安全提供商提供有關(guān)威脅的所有可用信息，包括贖金記錄和來自演示攻擊的任何數(shù)據(jù)。這使他們能夠更好地準(zhǔn)備減輕威脅。

如何防范 RDoS 攻擊

在收到勒索拒絕服務(wù)威脅后，組織應(yīng)采取措施準(zhǔn)備并防止受到威脅的攻擊。一些最佳實(shí)踐包括：

• 了解您的攻擊面：RDoS 攻擊可能會針對暴露于 Internet 的關(guān)鍵系統(tǒng)，例如公司網(wǎng)站或 VPN 門戶。識別潛在目標(biāo)是保護(hù)它們的必要的第一步。
• 制定計(jì)劃：在 DDoS 攻擊期間，計(jì)劃響應(yīng)所花費(fèi)的時(shí)間是額外的停機(jī)時(shí)間。提前制定 DDoS 響應(yīng)計(jì)劃，以快速緩解威脅。
• 部署全面的 DDoS 保護(hù)：如果網(wǎng)絡(luò)犯罪分子無法有效地對組織執(zhí)行 DDoS 攻擊，那么 RDoS 信函就是一個(gè)空洞的威脅。部署由已知管理和阻止大規(guī)模 DDoS 和 RDoS 攻擊的供應(yīng)商提供的全面 DDoS 保護(hù)解決方案對于 RDoS 預(yù)防策略至關(guān)重要。
• 驗(yàn)證 DDoS 保護(hù) SLA：DDoS 保護(hù)供應(yīng)商應(yīng)提供至少六個(gè)關(guān)鍵 SLA。在攻擊之前，驗(yàn)證供應(yīng)商的 SLA 是否滿足業(yè)務(wù)需求。

如果您的組織收到了勒索拒絕服務(wù)威脅或認(rèn)為它可能成為 DDoS 攻擊的目標(biāo)，請聯(lián)系我們。有關(guān)減輕 RDoS 威脅的更多信息，請咨詢 Check Point 的DDoS 保護(hù)器，它提供針對復(fù)雜和零日 DDoS 攻擊的全面保護(hù)。