什麼是 DDoS 勒索攻擊?

在分散式阻斷服務 (DDoS) 勒索攻擊中,惡意方企圖透過威脅要摧毀其目標的 Web 資產或網路來勒索金錢。

學習目標

閱讀本文後,您將能夠:

  • 定義 DDoS (RDDoS) 勒索攻擊
  • 瞭解爲什麽支付贖金來阻止 DDoS 攻擊並非好主意
  • 説明典型 DDoS 勒索信的組成部份

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是 DDoS 勒索攻擊?

勒索 DDoS 攻擊圖:攻擊者向受害者傳送垃圾網路流量和勒索信

DDoS 勒索 (RDDoS) 攻擊是指惡意方透過以分散式阻斷服務 (DDoS) 攻擊威脅個人或組織來勒索金錢的行為。涉及的惡意方可能會發動 DDoS 攻擊,然後以勒索信跟進,要求目標支付贖金來停止攻擊;或者,也可能先寄送威脅即將發動 DDoS 攻擊的勒索信。在第二種情形中,攻擊者可能實際上沒有發動攻擊的能力,雖然假定他們在憑空製造威脅並非明智之舉。

若要抵禦 DDoS 勒索攻擊,最好的保護是強大的 DDoS 緩解服務。向提出威脅的個人或團體支付贖金絕非好主意。

什麼是 DDoS 攻擊?

DDoS 攻擊是企圖耗盡應用程式、網站或網路的資源,以使合法使用者無法取得服務的行為。DDoS 攻擊向目標傳送大量垃圾網路流量,就像交通擁堵使高速公路堵塞一樣。DDoS 攻擊是「分散式的」;這意味著攻擊從多個來源(通常是欺詐性來源)傳送流量,比單一來源的阻斷服務 (DoS) 攻擊更難以封鎖。

DDoS 攻擊者使用多種不同的網路通訊協定。從此處瞭解不同類型的 DDoS 攻擊。

DDoS 攻擊可以對組織營運造成重大影響。對許多企業而言,任何停機都會帶來收入損失。如果長時間離線,組織也可能會失去信譽。

DDoS 勒索攻擊如何運作?

大多數 DDoS 勒索攻擊從攻擊者向目標寄送威脅企業或組織的勒索信開始。在某些情況下,攻擊者可能會在寄送勒索信之前發起一次小規模的示範攻擊來說明其嚴重性。如果威脅是真實的,並且攻擊者決定繼續下去,則會按照如下所述來展開攻擊:

1. 攻擊者開始向目標發送攻擊流量。他們可能使用自己的殭屍網路或雇用的 DDoS 服務來發動攻擊。也可能是幾個人一起使用 DDoS 工具來產生攻擊流量。攻擊流量可以針對 OSI 模型的第 3、第 4 或第 7 層。

2. 目標應用程式或服務被攻擊流量壓垮,變得無比緩慢或徹底崩潰。

3. 攻擊將持續進行,直到攻擊者耗盡資源或出於其他原因停止攻擊,或者目標能夠緩解攻擊。緩解方法包括限速、IP 封鎖、黑洞路由傳送DDoS 保護服務;前三種方法很難針對高度分散的攻擊實施。

4. 攻擊者可能會重新提出贖金要求或進行後續攻擊,或者兩者同時進行。

瞭解有關如何發動 DDoS 攻擊的更多資訊。

典型的 DDoS 勒索信由哪些要素構成?

DDoS 勒索信是惡意方寄送給企業以索要金錢的訊息,若企業不順從要求,惡意方將發動 DDoS 攻擊。這些訊息通常透過電子郵件寄送。有時候,攻擊者會寄送多條訊息,在每條訊息中透露一些具體威脅或要求的更多細節。

威脅

DDoS 勒索信所含的威脅可以採取幾種不同形式:

  • 惡意方可能會以之前的 DDoS 攻擊為憑藉,威脅再次發動攻擊
  • 他們可能會以正在針對目標開展的 DDoS 攻擊為憑藉
  • 他們可能會威脅即將發動 DDoS 攻擊,攻擊時間可以是已確定或不確定

所威脅攻擊的詳細資訊

為了使威脅聽起來更加危險,攻擊者可能聲稱能夠發動特定規模和持續時間的 DDoS 攻擊。這些說法不一定真實:僅因為有人聲稱能夠進行持續 24 小時的 3 Tbps 攻擊,並不表示他們實際上有足夠的資源來展開這樣的攻擊。

隸屬關係

為了增加威脅的可信度,攻擊者可能會聲稱與 Fancy Bear、Cozy Bear、Lazarus Group 和 Armada Collective 等臭名昭著的「駭客」組織存在隸屬關係。這些說法可能是真的,但難以核實。這可能是攻擊者的虛張聲勢或模仿嘗試。

付款要求和支付說明

勒索信通常會要求以某種形式付款。常見要求是用比特幣付款,但攻擊者也可能會要求以其他加密貨幣或法定貨幣 (美元、歐元等) 支付贖金。在某個時間點上,他們通常會提出具體的金額要求,並提供支付贖金的說明。

時間限制或截止時間

最後,為了賦予其要求的迫切性並增加目標方順從的可能性,勒索信可能會包括支付贖金的截止時間,並表示過期會開始發動所威脅的攻擊,或支付贖金後便停止目前的攻擊。一些攻擊者會補充說,在給定的截止日期之後,所需的付款金額每小時或每天都會增加。

支付贖金是不是好主意?

否。支付贖金除了涉及向犯罪分子貢獻金錢外,也不能保證攻擊者會停止其活動。相反,支付贖金的組織是一個更合攻擊者心意的目標:這表示該組織願意滿足攻擊者的要求,因此以後滿足要求的可能性也更高。

此外,攻擊者獲得的金錢越多,就能有更多的資金來從事勒索行動,進而增強了未來的攻擊能力。

最後,總會有威脅並不可信的可能,企業白白支付了贖金。

企業收到 DDoS 勒索要求後,應向適當的執法部門舉報並採取防範攻擊的措施,以防攻擊者確實發動攻擊。例如,Cloudflare DDoS 保護是一項能夠防禦各種規模的 DDoS 攻擊的服務。

是不是大多數 DDoS 勒索威脅都或有可信度?

所有安全性威脅都應慎重對待。但是,並非所有 DDoS 勒索威脅都是真實的。輸入和寄送簡短電子郵件是很容易的事。但要發動大型 DDoS 攻擊,需要遠多於此的資源來維護、管理和啟用由被入侵裝置構成的大型網路 (稱為殭屍網路)。

儘管如此,暗網中提供了許多 DDoS 租用服務,攻擊者可以承包其中之一來進行攻擊。自然,這需要攻擊者花錢,但他們可以透過 DDoS 勒索威脅獲得這些金錢。

通常,DDoS 勒索攻擊是一種數字遊戲。不論索要贖金的一方是否確有能力兌現威脅,他們只能指望一小部份目標會支付贖金。

最安全的方法不是試圖評估威脅的可信度,而是使用 DDoS 保護服務;不管情況如何,這種服務都可以使 Web 資產或網路保持連線。

Cloudflare 如何防禦 RDDoS 攻擊?

所有 Cloudflare 客戶(包括免費客戶)都可以使用 DDoS 防護服務,即使規模非常大的 DDoS 攻擊也能緩解。此外,Cloudflare Magic Transit 可為企業客戶的網路基礎架構提供保護,使其免受第 3 層 DDoS 攻擊的危害。Cloudflare 網路的處理能力達到了 296 Tbps,比史上最大的 DDoS 攻擊還要大很多倍。雖然所有安全性威脅都應得到記錄和監控,但這種保護級別意味著 Cloudflare 客戶不必為 DDoS 勒索信和其他 DDoS 相關威脅而擔憂。

如果您的組織收到了勒索信,可以從此處連絡 Cloudflare

DDoS 勒索攻擊和勒索軟體有什麼區別?

勒索軟體攻擊是線上勒索的另一種常見形式。勒索軟體屬於惡意軟體,可對組織的系統和資料庫進行加密,使它們無法使用。完成加密後,攻擊者便會提出要求,讓組織支付金錢來換取為系統解密。勒索軟體必須以某種方式進入企業的內部系統或網路;惡意電子郵件附件與網路釣魚攻擊相結合是常見的威脅手段

與勒索軟體攻擊不同,DDoS 勒索攻擊不會對公司的系統進行加密;其目的只是讓這些系統離線癱瘓。攻擊者也不需要在發動攻擊前進入企業的內部系統。但是,只要設置了足夠強大的 DDoS 保護,DDoS 勒索攻擊幾乎不會影響企業的運作。