勒索攻击卷土重来:传统攻击者针对金融和零售业发起全新 DDoS 勒索威胁
更新日期:2020 年 8 月 24 日
如下所述,Akamai SIRT 一直在追踪称为 Armada Collective 和 Fancy Bear 的攻击者发起的攻击,这些攻击者向金融、旅游和电子商务等各行各业的企业发出了大量的勒索信。
除了我们先前公告中分享的信息之外,我们还可以确认,我们现在观察到接近 200 GB/秒的攻击流量峰值,利用的主要攻击媒介包括 ARMS、DNS 泛洪攻击、GRE 协议泛洪攻击、SNMP 泛洪攻击、SYN 泛洪攻击和 WSDiscovery 泛洪攻击。我们尚未观察到这些勒索攻击以特定地区为目标的情况。英国、美国和亚太地区均有机构收到了勒索信。
目前尚未发现在要求的赎金支付截止时间过后,发起先前作为威胁的后续攻击的情况。我们从中汲取的教训是,无论成为勒索目标的组织是否支付对方所要求的赎金,结果都不会改变。因此,Akamai 仍然鼓励那些收到勒索要求的人不要支付赎金。
同样,我们仍然认为实施这些勒索攻击的攻击者力求在付出的努力最小的情况下,快速获得金钱。
原博文发布于:2020 年 8 月 17 日
TL;DR:
Akamai 意识到,那些自称为 Fancy Bear 和 Armada Collective 的攻击者正在制造新的威胁。他们目前瞄准了多个行业,包括银行、金融及零售业。Akamai 将继续监测这些恶意活动,并且继续致力保护客户免受攻击侵扰。
概述:
Akamai 安全智能研究团队 (SIRT)在过去一周左右的时间里一直在调查近期针对多个行业企业发起的一系列 DDoS 攻击。勒索要求与 DDoS 勒索团体过去使用过的要求相似。
信函:
最初的联络始于一封威胁电子邮件,警告他们的公司即将遭受 DDoS 攻击,除非用比特币支付赎金。勒索信的措辞与过去的攻击活动期间媒体公布的信件非常相似,也与 Akamai 在 2019 年 11 月记录的 上一次 DDoS 勒索活动 十分相似。
有些此类勒索信警告说,如果公开披露收到勒索要求(比如透露给媒体),那么他们会立即发起其声称的攻击。
“如果你们将此事透露给媒体,试图借我们的名字来蹭热度,而不是付钱给我们,那么攻击就会接连不断地开始,并且一直持续下去。(勒索新原文如此)”- Armada Collective
“...你们的网站和其他关联服务将彻底不可用,没人再能正常访问。友情提醒,这一定会严重破坏你们在客户间的声誉。[...]我们会毁掉你们的声誉,让你们的服务无法上线,直到你们付钱为止。(勒索信原文如此)”
-Fancy Bear
付款:
在 Akamai 观察到的 Armada Collective 发起的勒索要求中,赎金最初是 5 个比特币,如果没能如期支付赎金,则立即增加到 10 个比特币,之后每天递增 5 个比特币。。另一方面,Fancy Bear 的起始勒索赎金是 20 个比特币,如果没能如期支付赎金,则立即增加到 30 个比特币,之后每天递增 10 个比特币。
虽然大多数此类勒索要求在赎金要求方面往往遵循一个固定的数额,但威胁发起者自身可能会一时心血来潮,调整财务这方面的元素。
活动攻击:
这些信件确定了受害者组织中的目标资产,并信誓旦旦地说会发起一次小规模的“示威”攻击,以证明情况的严重性。有些勒索信声称威胁发起者有能力发动高达 2Tbps 量级的 DDoS 攻击。
我们注意到一项针对 Akamai 网络上的客户发起的 50 Gb/秒的攻击。流量包括基于 UDP 的 ARMS 协议反射攻击;目前我们还不确定使用的反射器数量。
Akamai SIRT 怀疑这一勒索要求来自效仿者,他们利用已知攻击组织的恶名作为恐吓手段,从而更快地获得赎金。
如果您的组织收到勒索信,Akamai 建议您不要支付 赎金,因为即便支付,也不能保证对方会停止攻击。此外,支付赎金只会加强犯罪集团的财务实力。
客户:可以采取的做法
Akamai 安全运营中心全天候开放,我们基于云的庞大攻击缓解平台随时待命,以应对这些威胁。但是,您还可以主动采取以下做法:
与 IT 和安全人员一起查阅您的行动手册,确保做好充分准备,了解在发生攻击时应采取哪些措施。
确保所有关键员工随时待命 - 如果员工休病假或事假,应确保安排其他人员接替其职责。
与 Akamai SOC 保持密切联系。
