使用 DDoS 威胁勒索组织

最近赎金型 DDoS 攻击呈上升趋势

世界各地针对组织的赎金型 DDoS （RDDoS）和勒索攻击正在呈上升趋势。虽然 RDDoS 威胁并不一定会真正发动攻击，但近几个月的案例表明，攻击者团伙乐意实施威胁，发动大规模 DDoS 攻击来摧毁缺乏妥善防护的组织。

在 RDDoS 攻击中，恶意攻击者向个人或组织发出威胁，除非他们支付赎金，否则会发动网络攻击来使其网络、网站或应用程序瘫痪一定时间。

根据卡巴斯基实验室的一项研究，企业遭受 DDoS 攻击的平均成本为 200 万美元。此外，23% 的公司报告收入或潜在客户减少，22% 的公司在客户中的声誉受损。面对这些可能的后果，支付赎金以消除 DDoS 攻击的威胁似乎是一个可行的选择。不过，支付赎金从来都不是一个好主意。它只是为攻击者在未来进行更多攻击提供了额外的资源。

作为 DDoS 预防解决方案的领导者，Cloudflare 有能力保护组织免受 RDDoS 攻击，并建议组织采取措施保护自己免受攻击。

目前的威胁

攻击者发起基于 DDoS 的勒索尝试时，受害组织会收到要求在特定日期和时间付款的威胁消息。如果他们拒绝支付赎金或在期限前完成支付，攻击者就会威胁要对其网络和 web 资产发动 DDoS 攻击。在很多情况下，恶意方也会发起示范攻击，以证明他们有能力发起攻击。

Cloudflare 最近发现报告 RDDoS 攻击的企业客户数量激增。声称对当前 RDDoS 攻击威胁负责的恶意团伙包括著名的“黑客”组织，例如 Cozy Bear、Fancy Bear 和 Armada Collective。

过去，我们曾看到过来自其中一些团伙的空洞威胁——攻击者希望快速赚钱，假设他们威胁的组织中有一定比例的组织无论如何都会支付赎金。然而，最近的攻击表明，这些威胁可以并且已经实施——尽管采用 DDoS 缓解措施的组织仍然受到保护。

这些攻击如何与 DDoS 趋势保持一致

DDoS 攻击始终是一种威胁，但近年来 DDoS 活动有所增加。在整个 Cloudflare 网络中，第 3 层和第 4 层 DDoS 攻击数量季度环比增长超过一倍。此外，Cloudflare 还见证我们缓解了一些最大规模的 DDoS 攻击，其中有一个攻击峰值达到将近 2 Tbps。

这一趋势持续到 2022 年。随着 DDoS 攻击的不断增加，RDDoS 勒索尝试也越来越流行不足为奇。

由于疫情，组织比以往任何时候都更加依赖于保持在线。这种对互联网的依赖使组织容易受到攻击威胁或敲诈勒索。显然，这些攻击者团伙正在寻找易受攻击的组织，无论其规模大小或属于什么行业，因为我们已经看到各种各样的组织成为目标。

谁（声称是）这些勒索 DDoS 威胁的幕后黑手？

最近一波勒索 DDoS 攻击背后的犯罪分子声称代表了几个不同的团伙，包括 Cozy Bear、Fancy Bear 和 Armada Collective。虽然他们的说法可能是真实的，但难以验证，而且 DDoS 勒索者伪造与知名“黑客”组织的联系以增加他们的威胁的重要性已成为一种常见做法。

Armada Collective

多年来，各种犯罪团伙都使用“Armada Collective”的名号来运作。2015 年，一个名为“Armada Collective”的组织发动了几次 DDoS 攻击。在 2016年，他们重新出现并通过威胁 DDoS 攻击从一些受害者勒索到金钱，声称能发起“超过每秒 1 Tbps ”的攻击。这是否与 2015 年发动攻击的 Armada Collective 属于同一人或组织，尚不得而知。根据我们的研究，该组织在 2016 年收到几笔赎金，但似乎并未实际发动任何 DDoS 攻击。

2020 年，Armada Collective 再次活跃——尽管仍然很难辨别这是同一个团体还是声称同一名字的不同团体。与 2016 年 Armada Collective 的“攻击”相反，这个攻击者或组织会实际发动针对 DDoS 目标的威胁，就像 2015 年时一样。

Fancy Bear

Fancy Bear 是一个俄罗斯组织，从事网络犯罪和间谍活动。过去，Fancy Bear 曾以政府、政治人物和记者为目标，主要使用鱼叉式网络钓鱼攻击和恶意软件攻击。该组织最出名的一次攻击可能是在 2016 年入侵美国民主党全国委员会的服务器和网络。

目前还没有任何关于 Fancy Bear 使用 DDoS 攻击来实现其目标的可信报告。勒索 DDoS 攻击者实际代表 Fancy Bear 的可能性不大——他们很可能只是在冒充 Fancy Bear。

Cozy Bear

Cozy Bear 是另一个俄罗斯网络间谍组织，其目标是政治人物或团体。他们开发了自己的恶意软件工具集，并结合鱼叉式网络钓鱼攻击来破坏网络和服务器。与 Fancy Bear 的情况一样，没有关于 Cozy Bear 使用 DDoS 作为攻击方法的可信报告。

如果您的组织收到了威胁使用 DDoS 攻击的勒索信，您应该怎么做？

第一步：不要支付赎金

满足攻击者的要求并不能阻止潜在的攻击，因为它不会给犯罪团伙任何信守诺言的动力。支付赎金的组织可能被视为更理想的目标，因为他们已表现出遵从非法要求的意愿。

第二步：通知相关执法机构

勒索是犯罪。如果有人试图通过威胁进行 DDoS 攻击来向您的组织中勒索金钱，请务必向报告有关当局。

第三步：部署 DDoS 保护

DDoS 赎金威胁似乎令人生畏，但大多数 DDoS 防护供应商可以提供足够保护来抵御所威胁的攻击。历史上已公开披露的最大规模 DDoS 攻击发生在 2017 年 9 月，攻击速度为 2.54 TB/s (Tbps)，并得到缓解。

在 Cloudflare 的帮助下保持在线

虽然勒索 DDoS 攻击呈上升趋势，但 DDoS 防护可以帮助您的组织保持安全。如果您的组织受到攻击，请联系 Cloudflare 以获得即时保护 —— 无需签订合同，受到攻击的公司数小时内获得保护。

Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章，本文为其一。

关键要点

阅读本文后，您将能够了解：

• RDDoS 威胁最近激增

• RDDoS 如何与 DDoS 趋势保持一致

• 威胁背后的组织

• 受到 RDDoS 威胁时怎么办

相关资源

• 缓解 DDoS 攻击的五种最佳实践

• 博客：一次接近 2 Tbps 的多手段 DDoS 攻击

• 2021 年第三季度 DDoS 攻击趋势

• 立即获得 Cloudflare 的帮助