什么是 DDoS 勒索攻击?

在分布式拒绝服务(DDoS)勒索攻击中,恶意方企图通过威胁要摧毁目标的 Web 资产或网络来勒索金钱。

学习目标

阅读本文后,您将能够:

  • 定义 DDoS勒索(RDDoS)攻击
  • 了解为什么通过支付赎金来阻止 DDoS 攻击并非好主意
  • 说明典型 DDoS 勒索信的内容组成

复制文章链接

什么是 DDoS 勒索攻击?

DDoS 勒索(RDDoS)攻击是指恶意方企图通过以分布式拒绝服务(DDoS)攻击威胁个人或组织来勒索金钱的行为。有关恶意方可能会发动 DDoS 攻击,然后以勒索信跟进,要求目标支付赎金来停止攻击;恶意方也可能先发送勒索信,威胁要发动 DDoS 攻击。在第二种情形中,攻击者可能实际上没有能力发动攻击,但假定其只是虚言威胁并不明智。

若要防御 DDoS 勒索攻击,最佳的途径是强大的 DDoS 缓解服务。向发出威胁的个人或团体支付赎金绝非好主意。

什么是 DDoS 攻击?

A DDoS attack is an attempt to exhaust the resources of an application, website, or network so legitimate users cannot receive service. DDoS attacks send a flood of junk network traffic to their targets, much like a traffic jam clogging up a freeway. DDoS attacks are "distributed," meaning they send traffic from a variety of sources (often spoofed sources), making them more difficult to block than a denial-of-service (DoS) attack from a single source.

DDoS 攻击者使用多种不同的网络协议。在此处了解不同类型的 DDoS 攻击

DDoS 攻击可对组织运营造成严重影响。对许多企业来说,任何一次停机都意味着收入损失。如果遭遇长时间离线,组织也可能会失去信誉。

DDoS 勒索攻击如何运作?

Most DDoS ransom attacks start with a ransom note sent to the target in which the attacker threatens the business or organization. In some cases, an attacker may carry out a small demonstration attack to illustrate their seriousness before sending a ransom note. If the threat is genuine and the attacker decides to follow through with it, the attack is carried out as follows:

1. 攻击者开始向目标发送攻击流量。他们可能使用自己的僵尸网络或租用的 DDoS 服务来发动攻击。也可能是几个人一起使用 DDoS 工具来生成攻击流量。攻击流量可以针对 OSI 模型的第 3、第 4 或第 7 层。

2. 攻击流量导致目标应用程序或服务不堪重负,使其运行速度变得慢如蜗牛,甚至彻底崩溃。

3. 攻击将持续进行,直到攻击者耗尽资源或出于其他原因停止攻击,或者目标能够缓解攻击。缓解方法包括速率限制、IP 阻止、黑洞路由DDoS 防护服务;前三种方法很难针对高度分散的攻击实施。

4. 攻击者可能会重新提出赎金要求或进行后续攻击,或者两者同时进行。

了解有关 DDoS 攻击如何执行的更多细节。

典型 DDoS 勒索信会包含什么内容?

恶意方向企业发送 DDoS 勒索信以索要金钱,如不服从,恶意方将发动 DDoS 攻击。这些消息往往通过电子邮件发送。有时候,攻击者会发送多条消息,在每条消息中透露有关具体威胁或要求的更多细节。

威胁

DDoS 勒索信包含的威胁有几种不同形式:

  • 恶意方可能就之前的一次 DDoS 攻击表示负责,并威胁再次发动攻击
  • 他们可能就目标当前遭受的一次 DDoS 攻击表示负责
  • 他们可能威胁将在一个确定或未确定的时间发动 DDoS 攻击

所威胁攻击的详细信息

为了使威胁听起来更加危险,攻击者可能声称能够发动一次特定规模和持续时间的 DDoS 攻击。这些宣称不一定属实:声称能够发动一次持续 24 小时的 3 Tbps 攻击,并不表示实际上有足够的资源来付诸实施。

组织联系

To add credibility to their threats, the attacker may claim affiliation with well-known "hacker" groups such as Fancy Bear, Cozy Bear, the Lazarus Group, the Armada Collective, or others. These claims might be true but are difficult to verify. It may be a bluff or a copy-cat attempt on the part of the attacker.

付款要求和指示

勒索信通常会要求以某种形式付款。常见要求是用比特币付款,但攻击者也可能要求以其他加密货币或法定货币(美元、欧元等)支付赎金。在某个时点上,他们通常会提出具体的金额以及支付说明。

时间限制或截止时间

Finally, to give their demand urgency and increase the likelihood that the targeted party will comply, the ransom note may include a hard deadline for delivering the ransom before the threatened attack will commence, or in order for the current attack to end. Some attackers will add that the required payment amount increases every hour or day past the given deadline.

支付赎金是不是好主意?

否。支付赎金除了涉及向犯罪分子贡献金钱外,并不能保证攻击者会停止其活动。相反,支付赎金的组织是一个更理想的目标:表明其愿意满足攻击者的要求,因而日后也更可能会满足要求。

此外,攻击者获得的金钱越多,就会有越多资金来从事勒索行动,进而增强了未来发动攻击的能力。

最后,总是存在威胁并不可信的可能,企业白白支付了赎金。

企业收到 DDoS 勒索要求后,应向适当的执法机构报告并采取防范攻击的措施,以防攻击者付诸实施。例如,Cloudflare DDoS 防护是一项能够防御任何规模 DDoS 攻击的服务。

大多数 DDoS 勒索威胁都是可信的吗?

All security threats should be taken seriously. However, not all DDoS ransom threats are genuine. It is fairly easy to type and send a short email. It requires far more resources to maintain, manage, and activate a large network of compromised devices (known as a botnet) in order to carry out large DDoS attacks.

尽管如此,暗网中提供很多 DDoS 租用服务,攻击者可以租用其中之一来发动攻击。这自然需要攻击者花钱,但他们可以通过 DDoS 勒索威胁获得金钱。

通常,DDoS 勒索攻击是一种数字游戏。不论索要赎金的一方是否确有能力兑现威胁,他们只期待一小部分目标会支付赎金。

与其试图评估威胁的可信度,最安全的做法是使用 DDoS 防护服务;不管情况如何,这种服务都可以使 Web 资产或网络保持在线。

Cloudflare 如何防御 RDDoS 攻击?

所有 Cloudflare 客户(包括免费客户)都可以使用 DDoS 防护服务,即使规模非常大的 DDoS 攻击也能缓解。此外,Cloudflare Magic Transit 可为企业客户的网络基础设施提供保护,使其免受第 3 层 DDoS 攻击的危害。Cloudflare 网络的容量达到 100 Tbps,比有记录以来的最大 DDoS 攻击还要大很多倍。虽然所有安全威胁都应得到记录和监控,但这种保护级别意味着 Cloudflare 客户不必为 DDoS 勒索信和其他 DDoS 相关威胁而担忧。

如果您的组织收到了勒索信,可以从此处联系 Cloudflare

DDoS 勒索攻击和勒索软件有什么区别?

勒索软件攻击是在线勒索的另一种常见形式。勒索软件属于恶意软件,可对组织的系统和数据库进行加密,使它们无法使用。完成加密后,攻击者便会提出要求,让组织通过支付金钱来换取给系统解密。勒索软件必须以某种方式进入企业的内部系统或网络;恶意电子邮件附件与网络钓鱼攻击相结合是常见的威胁手段。

与勒索软件攻击不同,DDoS 勒索攻击不会对公司的系统进行加密;其目的只是让这些系统离线瘫痪。攻击者也不需要在发动攻击前进入企业的内部系统。但是,只要拥有了足够强大的 DDoS 防护,DDoS 勒索攻击几乎不会影响企业的运作。