勒索信:
一开始,勒索组织会发出威胁性的电子邮件,警告如果公司不支付比特币,则将对公司发起DDoS攻击。勒索信的措辞与过去攻击活动中在媒体上公开的信件内容非常相似,并且与Akamai在2019年11月记录的最近一次DDoS勒索活动相似。
有些勒索信会警告说,如果公开披露勒索要求(即向媒体发布),则将立即发起威胁中所提到的攻击。
“如果你向媒体报道此事并用我们的名字进行免费宣传,而不付给我们任何费用,那么我们会一直发起攻击,你们将承受很长时间的攻击。(原文即此)”——Armada Collective
勒索信还会提到声誉,警告即将发起的攻击不但会破坏基础设施,而且还会造成更大的影响。
“……没有人能够访问你的网站和其他联网服务。请注意,这还会严重影响你在客户心目中的声誉。[……]我们会完全毁掉你的声誉并让你的服务一直离线,直到你肯付钱为止。(原文即此)”——Fancy Bear
支付赎金:
在Akamai观察到的Armada Collective勒索要求中,最开始的赎金为5比特币,如果错过了最后期限,则增加到10比特币,此后每天增加5比特币。Fancy Bear最开始的赎金为20比特币,如果错过了最后期限,则增加到30比特币,此后每天增加10比特币。
大多数此类勒索要求一般会提出一定的金额,但威胁发起者也会心血来潮地提出其他财务条件。
主动攻击:
这些信件会明确受害者机构内的目标资产并承诺会进行一次小的“测试”攻击来证明情况的严重性。一些勒索信中声称,威胁发起者可以发动高达2Tbps的DDoS攻击。
Akamai发现其网络上的一家客户遭到50Gb/sec的攻击。该流量包括基于UDP的ARMS协议反射攻击。目前尚不清楚所使用的反射器数量。
Akamai的安全情报响应小组怀疑该勒索要求来自模仿者,他们利用知名攻击组织的名声作为恐吓手段来加快付款速度。
近期,Akamai发现北美、亚太地区以及欧洲、中东和非洲企业收到的勒索信日益增加。尽管一开始金融服务业是受威胁最大的行业,但勒索信最近将目标对准了其他行业的企业机构,包括商业服务、高科技、酒店、零售和旅游。
迄今为止,采取有效Prolexic DDoS缓解控制措施的Akamai客户并未经历这些威胁组织所威胁的服务中断。最近几周,Akamai缓解了50多次符合此类特征的攻击,并将继续与客户合作,采取0秒SLA主动缓解控制措施,这些措施能够非常有效地应对Akamai所观察到的攻击模式。
如果企业受到RDoS的威胁,Akamai建议不要支付赎金,因为企业不一定会遭到攻击,也无法保证支付赎金就能阻止DDoS攻击。此时,企业应该召集IT、运营、安全和客户沟通人员,确保自己做好准备并知道在遭到攻击时该怎么做。
Akamai提供用于帮助客户快速入门的紧急安全集成包,企业机构可拨打Akamai DDoS热线启动该集成包。Akamai将立即采取措施对风险进行分类,使用合适的Akamai安全工具并执行我们的攻击事件应对程序。值得一提的是,近期,Akamai已成功地为数十家企业进行了紧急上线。在这些实例中,如果事先准备好GRE Tunnels所需的网络前缀,就能大大缩短上线时间。
现有的Akamai客户应联系自己的客户团队或联系“Akamai支持”部门,而托管式安全服务(MSS)客户应遵循他们与Akamai安全运营控制中心(SOCC)建立的现有流程。任何受到威胁的客户都将立即进入“高度戒备”状态,SOCC将对情况进行评估并作好应对攻击的准备。每个客户的情况都将根据其业务和应用需求加以调整。
值得注意的是,尽管Akamai迄今为止所观察到的大多数威胁均已被其Prolexic DDoS缓解服务所缓解,但根据最佳实践,企业还应在DNS和应用层部署综合全面的DDoS缓解措施,包括评估自身的DNS解决方案,最理想的是确保在遭到攻击时拥有辅助DNS服务,以及在网络应用防火墙(WAF)中落实速率控制和拒绝规则以管控大规模攻击。