分析根据The Daily Swig对一系列安全供应商的调查,去年与赎金相关的 DDoS (RDDoS) 攻击的增长伴随着攻击媒介的日益复杂和多样化。
分布式拒绝服务 ( DDoS ) 攻击的类型可以包括容量攻击、基于协议和基于应用程序的攻击。许多是从所谓的受感染计算机、移动设备或物联网设备的僵尸网络中释放出来的。
手段、动机和机会
发起 DDoS 和干扰对手/竞争对手的网络性能的最常见动机包括勒索受害者以获得经济利益或作为另一次网络攻击的诱饵策略。
AT&T 网络安全主管 Bindu Sundaresan 告诉The Daily Swig:“今天的动机可能包括对获得经济奖励、发表意识形态声明、创造地缘政治优势或对特定政府行为、企业活动或政策立场进行报复的兴趣。”
支付或告别您的网络资源
云和网络设备安全供应商 Imperva 边缘服务的高级产品经理 David Elmaleh 告诉The Daily Swig,以经济利益为动机的 RDDoS 活动在 2020 年大幅增加。
“我们看到 RDDoS 威胁针对全球数以千计的大型商业组织,尤其是金融服务行业,”Elmaleh 解释说。
“在我们监测到的 RDDoS 中,勒索者在他们的赎金信息中利用知名威胁组织的名称来要求以比特币支付,以防止对其目标网络的 DDoS 攻击。”
阅读更多最新的 DDoS 攻击新闻
例如,Imperva 报告称,一个名为“Lazarus”的组织威胁说,如果在六天内没有支付赎金,将对整个网络发起 DDoS 攻击。
“一旦攻击开始,支付 30 比特币(约 328,000 美元)将阻止它,如果赎金仍未支付,每天需要额外支付 10 比特币(110,000 美元),”Imperva 的 Elmaleh 表示。
“勒索者还威胁要立即对公司的主要 IP 地址进行小型 DDoS 攻击,以证明威胁不是骗局。”
DDoS 作为烟幕
有时可以部署 DDoS 攻击来分散对更邪恶活动的注意力。
SentinelOne 的首席信息安全官 Chris Bates 警告说:“DDoS 攻击是一个完美的烟幕弹:老练的攻击者可以利用它们来转移安全团队的注意力,而入侵者则以另一种方式渗透到组织中。”
例如,在 2020 年 8 月,一个伪装成 Armada Collective 和 APT28(Fancy Bear)的 DDoS 勒索团伙连续几天对新西兰证券交易所(NZX)进行了攻击。
Digital Shadows 的高级网络威胁情报分析师 Chris Morgan 告诉The Daily Swig: “这导致运营关闭和交易停止,该活动还针对其他几家金融机构。”
“尽管大多数 DDoS 勒索者通常以受害者的公共网站为目标,但在这一活动中,后端基础设施、API 端点、DNS 服务器,甚至 NZX 互联网服务提供商一再成为攻击目标。”
“这种向后端系统的转变可能解释了与这些攻击相关的长期中断,”他补充道。
勒索软件 + DDoS 部署在组合攻击中
相反,还观察到不太复杂的勒索软件运营商使用 DDoS 攻击作为敲诈勒索的额外方法。
2020 年出现的一种趋势是勒索软件运营商利用 DDoS 迫使目标重新谈判。
“如果加密没有给目标留下深刻印象,并且泄露数据的威胁没有说服目标支付,勒索软件运营商就会开始 DDoS 攻击,以进一步恐吓目标并诱使他们屈服于需求,”威胁情报总监 Pascal Geenens DDoS 缓解供应商 Radware 告诉The Daily Swig。
例如,据报道,如果目标公司拒绝进入勒索谈判,Avaddon 勒索软件运营商会使用 DDoS 破坏目标公司的网络。
据 Digital Shadows 称,这还具有中断任何补救活动的次要影响,例如处理受影响数据的备份。
了解最新的勒索软件攻击新闻
SecureWorks 的 IT 安全高级主管 Don Smith 补充说:“如果数据加密和泄露的威胁不足以说服受害者支付赎金,那么可能会因 DDoS 攻击而导致面向互联网的服务器和设备丢失” .
其他勒索软件运营商,包括 SunCrypt 和 RagnarLocker,也被观察到发起 DDoS 攻击。
据史密斯称,去年入侵后勒索软件的格局出现了多样化,一些玩家现在运行勒索软件即服务附属模型。
“附属机构进行的勒索软件操作反映在威胁参与者的剧本和行为的多样化上;它反映在赎金要求上,实际上反映在罪犯的专业精神上,”他告诉The Daily Swig。
网络安全和数据保护供应商 Acronis 负责网络保护研究的副总裁 Candid Wüest 补充说:“DDoS 服务很容易通过地下站点的僵尸网络租用,这使其成为勒索软件集团的一个简单扩展。”
SY4 Security 的网络威胁情报分析师 Natalie Page 也指出,主要以加密挖矿业务而闻名的组织,如 TeamTNT 和 Lucifer,正在储备 DDoS 攻击工具。
TTPs
F5 报告称,大多数报告的 DDoS 攻击都是容量大的,垃圾数据包使网络带宽饱和,从而阻塞了合法用户的连接。
常见的、省力的勒索 DDoS 攻击使用放大向量,例如 DNS 响应、SSDP、NTP 或 Memcache。例如,DNS 放大攻击涉及欺骗 DNS 请求,以便用垃圾流量淹没受害者。
“2020 年上半年,针对网站和应用程序的 DDoS 攻击也有所增加。2019 年,向 F5 SIRT 报告的 DDoS 攻击中有 4.2% 被确定为针对 Web 应用程序。然而,这一数字在 2020 年增加了 6 倍,达到 26%,” F5 实验室主管雷蒙德·蓬蓬( Raymond Pompon) 表示。
Neustar指出,早在 7 月,FBI 就警告说,黑客滥用 ARMS(Apple 远程管理服务)、WS-DD(Web 服务动态发现)和 CoAP(受限应用协议)等常见网络协议进行 DDoS 反射和放大。攻击——同时警告说禁用它们可能会导致业务生产力和连接性的损失。
Radware 的 Geenens 补充说:“虽然已经有许多新协议在 DoS 攻击向量中被武器化,例如 RDP、ARMS、WS-DD、CoAP,但基本技术仍然是欺骗和放大。”
Geenens 表示,虽然 WS-DD 和 CoAP 在不安全的物联网部署和连接设备中容易受到攻击,但 RDP(远程桌面协议)成为一种流行的攻击媒介,因为组织在大流行期间匆忙部署了远程访问解决方案以支持远程工作。
NXNS攻击
一些新技术,如特拉维夫大学研究人员发现的NXNSAttack,利用了常见 DNS 软件中的漏洞。
NXNSAttack 技术可以使 DNS 服务器在黑客的机器每次发送一个请求时执行数十万个请求,有效地放大了攻击者的火力。这意味着攻击者必须破坏相对较少的机器才能产生巨大影响——这在以前需要创建一个巨大的僵尸网络。
短而不甜
趋势也是攻击持续时间更短,但每秒数据包的攻击量更大。
网络风险和隐私管理公司 IT Governance 的创始人兼执行主席 Alan Calder 告诉The Daily Swig,“在过去的 12 个月中,DDoS 攻击的数量和支持它们的技术专长显着增加”。
他警告说:“攻击者 [正在] 执行高速、短时间、多向量的攻击,防御起来极具挑战性。”
相关的 DDoS 攻击在 2020 年第三季度数量更多、种类更多,但规模更小
卡巴斯基 DDoS 防御服务的系统分析师亚历山大·古特尼科夫告诉The Daily Swig:“2020 年,平均持续时间比 2019 年减少了约三分之一;而最大长度增加。与此同时,所谓的“智能”攻击(需要复杂技能且通常针对应用程序级别的攻击)的份额几乎没有变化(2019 年为 39%,2020 年为 37%),以及它们的最大长度.
“这表明短攻击越来越短,长攻击越来越长;我们在 2020 年第四季度也观察到了类似的趋势,”他补充道。
5G未来
据 AT&T Cybersecurity 的 Sundaresan 称,DDoS 攻击变得越来越强大,因为它们变得越来越复杂,使用许多不同的设备,并针对受害者网络的其他部分。
迄今为止,规模最大的 DDoS 攻击被认为是 2017 年针对谷歌的 2.5 TB 每秒 (Tbps) 攻击和2018 年针对亚马逊的2.3 Tbps 攻击。5G的到来可能会迎来更加凶猛的攻击。
安全供应商 CyberArk 的咨询服务总监 Bryan Murphy 警告说:“通过增加可用的整体带宽,5G 允许连接数量惊人的物联网设备。然而,作为集结僵尸网络军队的一部分,这些设备通常很容易受到攻击和控制,因为物联网安全仍然没有标准。”
