DDoS入侵愈加强烈 成本低、手段多、回报高

勒索软件占据网络犯罪生态中心舞台位置，仅去年就造成10亿+美元的全球损失，为网络罪犯赚取几亿美元的利润。同时，传统上被用来勒索企业的分布式拒绝服务(DDoS)攻击亦卷土重来。勒索软件组织甚至使用DDoS攻击增加受害者支付赎金的压力。

 

根据近期多家内容分发网络和DDoS缓解提供商的年度报告，2020年是DDoS攻击破纪录的一年，攻击数量、攻击规模和所用攻击方法数量均突破历史记录。DDoS勒索的死灰复燃可能是受新冠肺炎疫情的驱动：疫情迫使公司为其大多数员工启用远程办公功能，导致公司更易遭受业务运营中断威胁，在攻击者眼中也就成了更愿意支付勒索费的目标。

2021年延续了这一趋势。今年2月，阿卡迈录得六起史上最大规模DDoS攻击中的三起，2021年头三个月里超过50Gbps的DDoS攻击数量就已经比2019年全年还多了。阿卡迈估测，没有设置DDoS缓解措施的绝大多数在线服务，遭遇50Gbps以上的攻击时，会因带宽饱和而掉线。

▶ DDoS勒索回归

DDoS攻击背后的动机各种各样：从无良企业主想要中断竞争对手的服务，到激进黑客想要向自己反对的组织表明主张，再到不同团体之间的竞争而造成的单纯破坏行为。然而，勒索一直是推动此类非法活动的最大因素，而且可以说是最赚钱的一个因素，因为发起DDoS攻击实在要不了多少投资。DDoS租赁服务的费用甚至低到每次攻击仅7美元，几乎任何人都负担得起。

事实上，应用和网络性能监测公司Netscout Systems的数据表明，网络罪犯向潜在客户展示其DDoS能力才是此类攻击的头号动机，其次是与在线游戏相关的动机(疫情期间很多人都靠这个打发时间)，然后才是勒索。攻击者也常常用DDoS攻击作为伪装，让公司IT和安全团队无暇顾及检测其网络上的其他恶意活动，比如基础设施入侵和数据渗漏。

2020年8月开始，勒索DDoS(RDDoS)事件案例激增，原因是多个勒索软件团伙将DDoS用作额外的勒索技术，但也有部分原因在于某个网络犯罪团伙在伪装俄罗斯奇幻熊(Fancy Bear)或朝鲜Lazarus Group等黑客国家队发起攻击。这个名为Lazarus Bear Armada (LBA)的网络犯罪团伙首先针对选定目标发起一波范围在50Gbps到300Gbps之间的演示性DDoS攻击。然后，该团伙发出勒索电子邮件，宣称拥有2Tbps规模DDoS攻击的能力，以此勒索目标公司支付比特币。在这些电子邮件中，攻击者宣称自己隶属常见诸于新闻报道的几个著名网络犯罪组织，借此提高自身可信度。很多案例中，即使目标公司未支付赎金，该团伙也没有继续发起更多攻击，但有时候确实会再次攻击。而且，一段时间后，他们还会回过头来再咬一口之前的受害者。

该团伙主要针对世界范围内金融、零售、旅游和电子商务行业的企业，似乎还会做侦察和规划。他们会识别受害公司可能监测的非通用电子邮件地址，并以关键但不明显的应用、服务和虚拟用网集线器为目标，表明其规划水平比较高级。多家安全供应商和美国联邦调查局(FBI)已经就该团伙的活动发布过警示。

不同于仅依赖RDDoS从企业勒索金钱的LBA等团伙，勒索软件犯罪组织将DDoS作为说服受害者支付原始赎金的额外砝码，与使用数据泄露作为威胁的方式异曲同工。换句话说，一些勒索软件攻击目前已经演变为综合了加密、数据盗窃和DDoS攻击的三重威胁。以这种方式使用或声称要使用DDoS攻击的一些勒索软件团伙包括Avaddon、SunCrypt、Ragnar Locker和REvil。

与勒索软件攻击的情况类似，我们很难说清楚到底有多少RDDoS受害者支付了赎金，但此类攻击的数量、规模和频率一直在上升的事实，充分说明了这一活动足够有利可图。这或许是因为DDoS租赁服务遍地开花且不需要很多技术知识，导致其准入门槛比勒索软件本身要低得多。Cloudflare在最近的报告中写道：“2021年第一季度，遭遇DDoS攻击的受访Cloudflare客户中，有13%表示遭到RDDoS攻击勒索，或提前收到了威胁。”

阿卡迈观测到，遭攻击公司的数量比去年同期增加了57%;Netscout则报告称，年度DDoS攻击数量首次超过了1000万的阈值。

上月，阿卡迈研究人员在报告中称：“坚守可获得巨额比特币支付的希望，网络罪犯已经开始加大努力和扩展攻击带宽，使得DDoS勒索已成旧闻的说法通通烟消云散。”最近一次勒索攻击的峰值超过800Gbps，目标是一家欧洲赌博公司，这是自2020年8月中旬勒索攻击普遍回归以来，我们见过的规模最大、最复杂的一次。自那次攻击开始，武力展示型攻击已从8月的200+Gbps增长到9月中旬的500+Gbps，然后在2021年2月膨胀到800+Gbps。”