DDoS-атака с целью получения выкупа: пролог из трех эпизодов


This post is also available in: Английский Французский Немецкий Итальянский Португальский, Бразилия Испанский

Распределенные атаки типа «отказ в обслуживании» (DDoS) становятся элементом атак с целью получения выкупа. Вместо взлома защищенных ресурсов компаний злоумышленники выбирают другой путь: они организуют DDoS-атаки для демонстрации своих возможностей и требуют выплатить им определенную сумму. Понимание принципов DDoS-атак с целью получения выкупа — необходимое условие для разработки эффективного плана защиты.

Наш сюжет начинается в августе 2020 года и включает в себя три эпизода, развивавшиеся на протяжении года.

Эпизод первый

В августе 2020 года была зафиксирована первая волна атак вымогателей, называвших себя Lazarus group. Они отправляли организациям из сферы финансов, e-commerce и туризма электронные письма с требованием выкупа в размере 10 биткоинов (примерно 100 000 долларов). Через несколько дней после этого преступники проводили DDoS-атаку мощностью свыше 200 Гбит/с, которая длилась девять часов и вызывала серьезные сбои в обслуживании.

В электронных письмах (см. пример ниже) вымогатели предоставляли жертвам семь дней на покупку биткоинов и уплату выкупа, прежде чем начать DDoS-атаку. При этом каждый день задержки увеличивал сумму на один биткоин.

Fancy Lazarus extortion letter

Образец письма от Fancy Lazarus, отправленный их жертвам.

[Понравилась статья? Подпишитесь, чтобы каждую неделю получать свежие статьи Radware, а также иметь доступ к премиум-материалам Radware.]

Эпизод второй

В январе 2021 года началась вторая волна вымогательств. Киберпреступники отправляли повторные письма со следующим текстом: «Возможно, вы про нас забыли, но мы про вас помним. Нас отвлекли более перспективные проекты, но теперь мы снова с вами». На этот раз они требовали пять биткоинов (стоимость биткоина превышала 30 000 долларов).

Мораль ясна: никогда не платите выкуп! Однажды заплатив, вы будете снова и снова попадать в эту ситуацию до бесконечности.

Эпизод третий

С июня 2021 года началась новая волна преступной кампании, затронувшая все секторы и начавшаяся с поставщиков интернет-услуг и операторов связи в Ирландии и Дании. Злоумышленники переименовали себя в Fancy Lazarus. На этот раз сумма выкупа была гораздо ниже — половина биткоина (18 500 долларов США), два биткоина (75 000 долларов США) или пять биткоинов (185 000 долларов США) в зависимости от размера компании, — а мощность атак составляла до 200 Гбит/с.

По мере развития DDoS-атак преступники использовали новые тактики: поиск незащищенных целей, включая общедоступные облачные ресурсы, компрометацию DNS-служб и перегрузку каналов связи. Это показывает, что злоумышленники готовились заранее, выявляя слабые места в обороне жертв.

Компании, ставшие объектами повторных атак, подтверждают, что в основном полагались на защиту, предоставляемую поставщиками интернет-услуг и операторами связи. При этом они не были готовы к масштабным DDoS-атакам по нескольким векторам, включая DDoS-атаки на приложения.

Дополнительная информация: Хакерский альманах: руководство по тактикам, технологиям и векторам атак.

Ron Meyran

Ron Meyran leads the marketing activities, partner strategy and Go-to-Market plans for Radware’s alliance and application partners. He also works to develop joint solutions that add value proposition and help drive sales initiatives – designed to increase visibility and lead generation. Mr. Meyran is a security and SDN industry expert who represents Radware at various industry events and training sessions. His thought leadership and opinion pieces have been widely published in leading IT & security industry magazines and he holds a B.Sc. degree in Electrical Engineering from Ben-Gurion University and a MBA from Tel Aviv University.

Contact Radware Sales

Our experts will answer your questions, assess your needs, and help you understand which products are best for your business.

Already a Customer?

We’re ready to help, whether you need support, additional services, or answers to your questions about our products and solutions.

Locations
Get Answers Now from KnowledgeBase
Get Free Online Product Training
Engage with Radware Technical Support
Join the Radware Customer Program

CyberPedia

An Online Encyclopedia Of Cyberattack and Cybersecurity Terms

CyberPedia
What is WAF?
What is DDoS?
Bot Detection
ARP Spoofing

Get Social

Connect with experts and join the conversation about Radware technologies.

Blog
Security Research Center