Что такое DDoS-атака с целью выкупа
RDDoS (Ransom DDoS) - это DDoS-атака, за прекращение которой организатор требует денежный выкуп.
Вымогательская DDoS-атака бывает двух типов:
- Когда самой атаки еще не происходит, но злоумышленники заранее связываются с владельцем сайта и угрожают ее осуществить, нарушив рабочие процессы. Цифровые рэкетиры обещают, что в случае выплаты им выкупа, они не тронут сайт.
- Когда на сайт действительно происходит DDoS-атака, и уже в ее процессе злоумышленники присылают владельцу предложение заплатить, чтобы остановить вредоносный процесс. Этот вариант чаще используется против интернет-магазинов в ходе распродаж.
Краткая история RDDoS-атак
Феномен вымогательских DDoS-атак впервые возник еще в 90-х годах. Тогда они были еще не так опасны, потому что не затрагивали непосредственно сервис услуг, однако все равно косвенно могли мотивировать клиентов уйти к конкуренту.
Этот тип атак вновь обрел популярность в районе 2014 года, когда был зарегистрирован первый крупный инцидент подобного рода: массовая атака от группировки DDoS for Bitcoin (DD4BC). Как можно догадаться по названию, злоумышленники требовали выкуп в биткоинах. Их мишенями изначально были компании, связанные с гэмблингом и криптовалютами, но после того, как такая «бизнес-модель» показала успех, DD4BC распространили атаки на развлекательные сайты, финансовые организации и энергетический сектор.
В 2015 году у группировки появились подражатели, например, Armada Collective, которые атаковали, в том числе, защищенные почтовые сервисы Hushmail и ProtonMail.
К 2017 году приобрела популярность тактика предупреждений с угрозой выкупа без осуществления самих атак, так как еще не все хакерские группировки успели освоить использование ботнетов (без них сегодня не обходится ни одна крупная DDoS-атака).
С наступлением 2020-х технологию освоили все, и число RDDoS-атак уже на основе ботнетов значительно возросло. Их одновременно устраивало сразу несколько группировок, в том числе Fancy Bear, Cozy Bear и Lazarus Group.
В 2023 году наблюдалось значительное увеличение вымогательских DDoS-атак (около 60% за год), наиболее часто их целью становятся финансовые организации.
Почему DDoS-атаки с выкупом остаются актуальными
- RDDoS требует меньше усилий от хакеров, чем, к примеру, использование традиционных вирусов-вымогателей (ransomware), которые должны сначала проникнуть внутрь атакуемой системы.
- RDDoS практически ничего не стоит организовать с развитием современных технологий — и не стоит вообще ничего, если изначально угроза такой атаки была блефом.
- Рост стоимости криптовалют со временем делает только более ценным выкуп, полученный в этом формате (в другом злоумышленники не принимают платежи, чтобы их не отследили).
Как работает DDoS-атака с целью выкупа
Здесь есть два варианта: либо все начинается с записки с требованием выкупа, либо сначала происходит атака, а потом (в процессе или после) злоумышленник присылает свое письмо.
Есть также вариант, когда изначально организуется DDoS-атака небольшой мощности, а в своем письме хакеры называют ее демонстрационной и обещают, что следующая будет гораздо сильнее и выведет сайт из строя (при этом не факт, что злоумышленники правда располагают такими ресурсами).
В зависимости от специфики хакерской группы, они могут использовать собственный ботнет или арендованный сервис для DDoS. Атака может происходить, как правило, на один из трех уровней: 3 и 4 по системе OSI (сеть) или 7 (уровень приложений).
В случае успешной DDoS-атаки сайт временно прекращает свое функционирование.
Что входит в сообщение с требованием выкупа
Типичная записка о требовании выкупа (ransom note) при RDDoS состоит из нескольких компонентов. Они все могут содержаться в одном сообщении или в серии сообщений, чаще всего послание приходит на официальную электронную почту атакуемого сайта.
Из чего, как правило, состоит такая записка:
- Угроза — Злоумышленник либо угрожает организовать атаку на сайт, либо берет на себя ответственность за атаку, которая уже произошла (или происходит в данный момент).
- Технические детали — хакеры могут пообещать, что в случае отказа платить на сайт будет организована атака определенной силы и продолжительности (указываются, как правило, завышенные значения, чтобы припугнуть жертву).
- Принадлежность к группировке — для более драматического эффекта злоумышленник может заявить о принадлежности к одной из известных хакерских групп, попадавших ранее в новости. У вас не будет никакой возможности проверить, правда это или нет, и отправитель прекрасно об этом знает.
- Требование выкупа и инструкция — ключевая часть, ради которой все затевалось: требование определенной суммы, как правило, в криптовалюте, и инструкции, куда ее переводить.
- Дедлайн — письмо заканчивается установкой жестких временных рамок для проведения платежа (чаще всего 24 или 36 часов). Возможны дополнительные угрозы, что сумма выкупа будет увеличиваться по мере течения времени.
В чем разница между RDDoS и программами-вымогателями
Это два разных типа киберугроз.
Ransomware — программы, которые, попадая внутрь системы (например, через фишинговое вложение в электронной почте), шифруют все значимые файлы. После этого работа с ними становится невозможной. После окончания шифрования на экран выводится надпись, аналогичная по содержанию вымогательской записке, приведенной выше, с предложением расшифровать файлы за выкуп.
При этом ransomware более опасны, так как блеф со стороны хакеров в данном случае исключен, и сделать что-то постфактум, когда заражение и шифрование файлов уже произошло, гораздо труднее. Пример: ситуация в августе 2023 года, когда атака шифровальщиков парализовала работу облачного провайдера CloudNordic. В ходе ransomware-атаки все веб-сайты, системы электронной почты, клиентские системы и сайты клиентов CloudNordic были полностью выведены из строя. Компания отказалась платить выкуп вымогателям и в итоге до сих пор не возобновила работу.
Но даже учитывая такую возможность, стоит ли свеч игра с выплатой выкупа хакерам?
Стоит ли платить выкуп?
Как и в случае с заражением ransomware, выплата выкупа преступникам при RDDoS не имеет никакого смысла, и против этого есть пять железных аргументов:
Первый. Ваши деньги пойдут на финансирование киберпреступников, скорее всего — на расширение их технических мощностей, чтобы они могли еще более эффективно атаковать и шантажировать других жертв. Считаете ли вы, что это этично? Например, хактивисты из Anonymous Sudan фактически ведут террористическую деятельность против западных компаний.
Второй. У вас нет никаких гарантий, что, получив деньги, злоумышленники действительно не будут устраивать DDoS-атаку. В конце концов, что их останавливает? Ransomware-мошенники, например, практикуют неоднократные требования выкупа подряд от одной и той же жертвы, утверждая, что названной изначально суммы было недостаточно или выдвигая новые требования (впервые это было зафиксировано в 2019 году с группировкой TA2102). Ту же модель могут применить и RDDoS-аттакеры.
Третий. Заплатив выкуп, вы продемонстрируете злоумышленнику свою психологическую уязвимость и достаточную финансовую состоятельность. Поэтому выплата выкупа, наоборот, увеличивает вероятность дальнейших кибератак на сайт. По данным американской инфосек-фирмы Cybereason, около 80% компаний, заплативших выкуп вымогателям, уже в течение месяца снова стали жертвами шантажистов.
Четвертый. Хакеры могут блефовать — на самом деле никакой угрозы может и не быть. Либо, если хакеры все же попытаются вас атаковать, их мощностей может оказаться недостаточно, чтобы серьезно нарушить работу сайта. В таком случае, вы отдаете деньги незнакомым людям, которые угрожали впустую. Либо угроза может оказаться слабее, чем заявлялось: например, в июне 2023 года хакеры из Killnet угрожали обрушить банковскую систему Европы и даже действительно начали проводить атаки — но как мы видим, почти полгода спустя она продолжает работать.
Пятый. Выплата выкупа это временное решение, которое не снимает проблему кибербезопасности. Завтра, через неделю или через месяц может возникнуть новая аналогичная угроза. Один раз заплатив выкуп, вы просто откладываете решение вопроса кибербезопасности, который обязательно встанет вновь.
Что делать, если вам угрожают DDoS-атакой
Если вам угрожают DDoS-атакой и требуют выкуп, даже если сама атака не началась — самое время проверить, насколько вы к ней готовы, и провести быструю проверку безопасности. Произойдет ли атака сегодня или нет, не так важно. Важно — позаботиться о безопасности сайта.
Обратите также внимание, что предприятия, которые получают требования о выкупе от DDoS, могут обратиться в правоохранительные органы.
Такие случаи вполне могут заканчиваться приговором для хакера. Например, в феврале 2023 года за DDoS-вымогательство был осужден 29-летний житель города Харабали Астраханской области.
Как предотвратить DDoS-атаки с выкупом и смягчить последствия
Предотвратить DDoS-атаку, с выкупом или без, не в ваших силах — это полностью зависит от внешних факторов. Но вы можете смягчить ее последствия. Для этого рекомендуется:
- Использовать межсетевой экран. Это поможет отфильтровать хотя бы часть вредоносного трафика.
- Оптимизировать структуру сайта, позаботиться о надежном хостинге и регулярно обновлять ПО.
- Закрыть уязвимые места, например, доступ к базам данных, и устранить известные уязвимости, которые хакеры атакуют прежде всего.
- Подключить сеть доставки контента (CDN) для общего ускорения работы сайта, это поможет в ситуации его перегрузки.
- Ликвидировать очевидные бреши, например, добавив капчу в формы обратной связи, чтобы боты не могли их использовать для массового спама.
Подключение постоянной специализированной защиты от DDoS-атак сделает любые попытки хакеров шантажировать вас атакой бессмысленными.
Как DDoS-Guard защищает от RDDoS-атак
DDoS-Guard предлагает надежную защиту для сайтов и сетей, которая поможет отбить любую кибератаку — вымогательскую или нет.
Система внешней фильтрации трафика, функционирующая в режиме 24/7, успешно справится даже с интенсивными DDoS-атаками на всех уровнях системы OSI.
Не платите выкуп хакерам — лучше подключите защиту от DDoS-Guard прямо сейчас. Это не только обойдется дешевле, чем средняя сумма выкупа, но и обеспечит ваш сайт защитой от таких инцидентов.