什麼是 DDoS 勒索攻擊?

在分散式阻斷服務 (DDoS) 勒索攻擊中,惡意方企圖透過威脅要摧毀其目標的 Web 資產或網路來勒索金錢。

學習目標

閱讀本文後,您將能夠:

  • 定義 DDoS (RDDoS) 勒索攻擊
  • 瞭解爲什麽支付贖金來阻止 DDoS 攻擊並非好主意
  • 説明典型 DDoS 勒索信的組成部份

複製文章連結

什麼是 DDoS 勒索攻擊?

DDoS 勒索 (RDDoS) 攻擊是指惡意方透過以分散式阻斷服務 (DDoS) 攻擊威脅個人或組織來勒索金錢的行為。涉及的惡意方可能會發動 DDoS 攻擊,然後以勒索信跟進,要求目標支付贖金來停止攻擊;或者,也可能先寄送威脅即將發動 DDoS 攻擊的勒索信。在第二種情形中,攻擊者可能實際上沒有發動攻擊的能力,雖然假定他們在憑空製造威脅並非明智之舉。

若要抵禦 DDoS 勒索攻擊,最好的保護是強大的 DDoS 緩解服務。向提出威脅的個人或團體支付贖金絕非好主意。

什麼是 DDoS 攻擊?

A DDoS attack is an attempt to exhaust the resources of an application, website, or network so legitimate users cannot receive service. DDoS attacks send a flood of junk network traffic to their targets, much like a traffic jam clogging up a freeway. DDoS attacks are "distributed," meaning they send traffic from a variety of sources (often spoofed sources), making them more difficult to block than a denial-of-service (DoS) attack from a single source.

DDoS 攻擊者使用多種不同的網路通訊協定。從此處瞭解不同類型的 DDoS 攻擊。

DDoS 攻擊可以對組織營運造成重大影響。對許多企業而言,任何停機都會帶來收入損失。如果長時間離線,組織也可能會失去信譽。

DDoS 勒索攻擊如何運作?

Most DDoS ransom attacks start with a ransom note sent to the target in which the attacker threatens the business or organization. In some cases, an attacker may carry out a small demonstration attack to illustrate their seriousness before sending a ransom note. If the threat is genuine and the attacker decides to follow through with it, the attack is carried out as follows:

1. 攻擊者開始向目標發送攻擊流量。他們可能使用自己的殭屍網路或雇用的 DDoS 服務來發動攻擊。也可能是幾個人一起使用 DDoS 工具來產生攻擊流量。攻擊流量可以針對 OSI 模型的第 3、第 4 或第 7 層。

2. 目標應用程式或服務被攻擊流量壓垮,變得無比緩慢或徹底崩潰。

3. 攻擊將持續進行,直到攻擊者耗盡資源或出於其他原因停止攻擊,或者目標能夠緩解攻擊。緩解方法包括限速、IP 封鎖、黑洞路由傳送DDoS 保護服務;前三種方法很難針對高度分散的攻擊實施。

4. 攻擊者可能會重新提出贖金要求或進行後續攻擊,或者兩者同時進行。

瞭解有關如何發動 DDoS 攻擊的更多資訊。

典型的 DDoS 勒索信由哪些要素構成?

DDoS 勒索信是惡意方寄送給企業以索要金錢的訊息,若企業不順從要求,惡意方將發動 DDoS 攻擊。這些訊息通常透過電子郵件寄送。有時候,攻擊者會寄送多條訊息,在每條訊息中透露一些具體威脅或要求的更多細節。

威脅

DDoS 勒索信所含的威脅可以採取幾種不同形式:

  • 惡意方可能會以之前的 DDoS 攻擊為憑藉,威脅再次發動攻擊
  • 他們可能會以正在針對目標開展的 DDoS 攻擊為憑藉
  • 他們可能會威脅即將發動 DDoS 攻擊,攻擊時間可以是已確定或不確定

所威脅攻擊的詳細資訊

為了使威脅聽起來更加危險,攻擊者可能聲稱能夠發動特定規模和持續時間的 DDoS 攻擊。這些說法不一定真實:僅因為有人聲稱能夠進行持續 24 小時的 3 Tbps 攻擊,並不表示他們實際上有足夠的資源來展開這樣的攻擊。

隸屬關係

To add credibility to their threats, the attacker may claim affiliation with well-known "hacker" groups such as Fancy Bear, Cozy Bear, the Lazarus Group, the Armada Collective, or others. These claims might be true but are difficult to verify. It may be a bluff or a copy-cat attempt on the part of the attacker.

付款要求和支付說明

勒索信通常會要求以某種形式付款。常見要求是用比特幣付款,但攻擊者也可能會要求以其他加密貨幣或法定貨幣 (美元、歐元等) 支付贖金。在某個時間點上,他們通常會提出具體的金額要求,並提供支付贖金的說明。

時間限制或截止時間

Finally, to give their demand urgency and increase the likelihood that the targeted party will comply, the ransom note may include a hard deadline for delivering the ransom before the threatened attack will commence, or in order for the current attack to end. Some attackers will add that the required payment amount increases every hour or day past the given deadline.

支付贖金是不是好主意?

否。支付贖金除了涉及向犯罪分子貢獻金錢外,也不能保證攻擊者會停止其活動。相反,支付贖金的組織是一個更合攻擊者心意的目標:這表示該組織願意滿足攻擊者的要求,因此以後滿足要求的可能性也更高。

此外,攻擊者獲得的金錢越多,就能有更多的資金來從事勒索行動,進而增強了未來的攻擊能力。

最後,總會有威脅並不可信的可能,企業白白支付了贖金。

企業收到 DDoS 勒索要求後,應向適當的執法部門舉報並採取防範攻擊的措施,以防攻擊者確實發動攻擊。例如,Cloudflare DDoS 保護是一項能夠防禦各種規模的 DDoS 攻擊的服務。

是不是大多數 DDoS 勒索威脅都或有可信度?

All security threats should be taken seriously. However, not all DDoS ransom threats are genuine. It is fairly easy to type and send a short email. It requires far more resources to maintain, manage, and activate a large network of compromised devices (known as a botnet) in order to carry out large DDoS attacks.

儘管如此,暗網中提供了許多 DDoS 租用服務,攻擊者可以承包其中之一來進行攻擊。自然,這需要攻擊者花錢,但他們可以透過 DDoS 勒索威脅獲得這些金錢。

通常,DDoS 勒索攻擊是一種數字遊戲。不論索要贖金的一方是否確有能力兌現威脅,他們只能指望一小部份目標會支付贖金。

最安全的方法不是試圖評估威脅的可信度,而是使用 DDoS 保護服務;不管情況如何,這種服務都可以使 Web 資產或網路保持連線。

Cloudflare 如何防禦 RDDoS 攻擊?

所有 Cloudflare 客戶 (包括免費客戶) 都可以使用 DDoS 保護服務,即使規模非常大的 DDoS 攻擊也能緩解。此外,Cloudflare Magic Transit 可為企業客戶的網路基礎結構提供保護,使其免受第 3 層 DDoS 攻擊的危害。Cloudflare 網路的處理能力達到了 67 Tbps,比史上最大的 DDoS 攻擊還要大很多倍。雖然所有安全性威脅都應得到記錄和監控,但這種保護級別意味著 Cloudflare 客戶不必為 DDoS 勒索信和其他 DDoS 相關威脅而擔憂。

如果您的組織收到了勒索信,可以從此處連絡 Cloudflare

DDoS 勒索攻擊和勒索軟體有什麼區別?

勒索軟體攻擊是線上勒索的另一種常見形式。勒索軟體屬於惡意軟體,可對組織的系統和資料庫進行加密,使它們無法使用。完成加密後,攻擊者便會提出要求,讓組織支付金錢來換取為系統解密。勒索軟體必須以某種方式進入企業的內部系統或網路;惡意電子郵件附件與網路釣魚攻擊相結合是常見的威脅手段。

與勒索軟體攻擊不同,DDoS 勒索攻擊不會對公司的系統進行加密;其目的只是讓這些系統離線癱瘓。攻擊者也不需要在發動攻擊前進入企業的內部系統。但是,只要設置了足夠強大的 DDoS 保護,DDoS 勒索攻擊幾乎不會影響企業的運作。