Распределенные атаки типа «отказ в обслуживании» (DDoS) становятся элементом атак с целью получения выкупа. Вместо взлома защищенных ресурсов компаний злоумышленники выбирают другой путь: они организуют DDoS-атаки для демонстрации своих возможностей и требуют выплатить им определенную сумму. Понимание принципов DDoS-атак с целью получения выкупа — необходимое условие для разработки эффективного плана защиты.
Наш сюжет начинается в августе 2020 года и включает в себя три эпизода, развивавшиеся на протяжении года.
Эпизод первый
В августе 2020 года была зафиксирована первая волна атак вымогателей, называвших себя Lazarus group. Они отправляли организациям из сферы финансов, e-commerce и туризма электронные письма с требованием выкупа в размере 10 биткоинов (примерно 100 000 долларов). Через несколько дней после этого преступники проводили DDoS-атаку мощностью свыше 200 Гбит/с, которая длилась девять часов и вызывала серьезные сбои в обслуживании.
В электронных письмах (см. пример ниже) вымогатели предоставляли жертвам семь дней на покупку биткоинов и уплату выкупа, прежде чем начать DDoS-атаку. При этом каждый день задержки увеличивал сумму на один биткоин.
Образец письма от Fancy Lazarus, отправленный их жертвам.
[Понравилась статья? Подпишитесь, чтобы каждую неделю получать свежие статьи Radware, а также иметь доступ к премиум-материалам Radware.]
Эпизод второй
В январе 2021 года началась вторая волна вымогательств. Киберпреступники отправляли повторные письма со следующим текстом: «Возможно, вы про нас забыли, но мы про вас помним. Нас отвлекли более перспективные проекты, но теперь мы снова с вами». На этот раз они требовали пять биткоинов (стоимость биткоина превышала 30 000 долларов).
Мораль ясна: никогда не платите выкуп! Однажды заплатив, вы будете снова и снова попадать в эту ситуацию до бесконечности.
Эпизод третий
С июня 2021 года началась новая волна преступной кампании, затронувшая все секторы и начавшаяся с поставщиков интернет-услуг и операторов связи в Ирландии и Дании. Злоумышленники переименовали себя в Fancy Lazarus. На этот раз сумма выкупа была гораздо ниже — половина биткоина (18 500 долларов США), два биткоина (75 000 долларов США) или пять биткоинов (185 000 долларов США) в зависимости от размера компании, — а мощность атак составляла до 200 Гбит/с.
По мере развития DDoS-атак преступники использовали новые тактики: поиск незащищенных целей, включая общедоступные облачные ресурсы, компрометацию DNS-служб и перегрузку каналов связи. Это показывает, что злоумышленники готовились заранее, выявляя слабые места в обороне жертв.
Компании, ставшие объектами повторных атак, подтверждают, что в основном полагались на защиту, предоставляемую поставщиками интернет-услуг и операторами связи. При этом они не были готовы к масштабным DDoS-атакам по нескольким векторам, включая DDoS-атаки на приложения.
Дополнительная информация: Хакерский альманах: руководство по тактикам, технологиям и векторам атак.