DDoS-атака с целью получения выкупа: пролог из трех эпизодов

0
206

This post is also available in: Английский Французский Немецкий Итальянский Португальский, Бразилия Испанский

Распределенные атаки типа «отказ в обслуживании» (DDoS) становятся элементом атак с целью получения выкупа. Вместо взлома защищенных ресурсов компаний злоумышленники выбирают другой путь: они организуют DDoS-атаки для демонстрации своих возможностей и требуют выплатить им определенную сумму. Понимание принципов DDoS-атак с целью получения выкупа — необходимое условие для разработки эффективного плана защиты.

Наш сюжет начинается в августе 2020 года и включает в себя три эпизода, развивавшиеся на протяжении года.

Эпизод первый

В августе 2020 года была зафиксирована первая волна атак вымогателей, называвших себя Lazarus group. Они отправляли организациям из сферы финансов, e-commerce и туризма электронные письма с требованием выкупа в размере 10 биткоинов (примерно 100 000 долларов). Через несколько дней после этого преступники проводили DDoS-атаку мощностью свыше 200 Гбит/с, которая длилась девять часов и вызывала серьезные сбои в обслуживании.

В электронных письмах (см. пример ниже) вымогатели предоставляли жертвам семь дней на покупку биткоинов и уплату выкупа, прежде чем начать DDoS-атаку. При этом каждый день задержки увеличивал сумму на один биткоин.

Fancy Lazarus extortion letter

Образец письма от Fancy Lazarus, отправленный их жертвам.

[Понравилась статья? Подпишитесь, чтобы каждую неделю получать свежие статьи Radware, а также иметь доступ к премиум-материалам Radware.]

Эпизод второй

В январе 2021 года началась вторая волна вымогательств. Киберпреступники отправляли повторные письма со следующим текстом: «Возможно, вы про нас забыли, но мы про вас помним. Нас отвлекли более перспективные проекты, но теперь мы снова с вами». На этот раз они требовали пять биткоинов (стоимость биткоина превышала 30 000 долларов).

Мораль ясна: никогда не платите выкуп! Однажды заплатив, вы будете снова и снова попадать в эту ситуацию до бесконечности.

Эпизод третий

С июня 2021 года началась новая волна преступной кампании, затронувшая все секторы и начавшаяся с поставщиков интернет-услуг и операторов связи в Ирландии и Дании. Злоумышленники переименовали себя в Fancy Lazarus. На этот раз сумма выкупа была гораздо ниже — половина биткоина (18 500 долларов США), два биткоина (75 000 долларов США) или пять биткоинов (185 000 долларов США) в зависимости от размера компании, — а мощность атак составляла до 200 Гбит/с.

По мере развития DDoS-атак преступники использовали новые тактики: поиск незащищенных целей, включая общедоступные облачные ресурсы, компрометацию DNS-служб и перегрузку каналов связи. Это показывает, что злоумышленники готовились заранее, выявляя слабые места в обороне жертв.

Компании, ставшие объектами повторных атак, подтверждают, что в основном полагались на защиту, предоставляемую поставщиками интернет-услуг и операторами связи. При этом они не были готовы к масштабным DDoS-атакам по нескольким векторам, включая DDoS-атаки на приложения.

Дополнительная информация: Хакерский альманах: руководство по тактикам, технологиям и векторам атак.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here