南非一家银行讲述了它对抗赎金袭击的故事

编者注意：由于源的错误，银行的名称已被删除。

2015年11月，南非的银行收到了来自Armada Collective的赎金电子邮件，这很快跟随银行积极减轻的洪水攻击。在船头上排出的射击，以确保银行知道罪犯是严肃的。

银行官员没有退缩。根据一字不差的Radware最近发布的全球应用与安全调查这封邮件是在该公司关闭期间发送到一个无人管理的邮箱里的。由于采用了混合DDoS缓解解决方案，洪水攻击没有产生影响，并立即转移到清洗中心进行清理。

报告显示，赎金攻击是目前最普遍的威胁，从2015年的25%增长到2016年的41%。是什么推动了这一增长?网络勒索可以是一项非常有利可图的“生意”。执行这种形式的勒索比以往任何时候都更快、更容易、更便宜，这让受害者在遭受可能对系统和日常运营造成毁灭性破坏之前，有非常短的响应时间。

请记住，这些勒索电子邮件攻击不同于目前常见的勒索软件，后者可以将公司的数据作为人质，直到支付赎金。

一位高级网络架构师在报告中解释说，由于该银行位于南非，该组织在地理上与世界其他地方分离。这对组织的自我保护能力有影响(例如，转移时间的延迟)，也限制了黑客使用容量攻击的能力;黑客在南非连半兆位字节的流量都得不到。

“对我们来说，急转攻击可能会带来300兆字节的交通。作为安全预防措施，当我们收到洪水攻击和赎金说明时，我们将网络流量转移到我们的DDOS缓解供应商Radware的擦洗中心，在赎金中截止日期之前。网络建筑师表示，我们相信执行赎金攻击的黑客将遵守流量转移，并将实现发动攻击的徒劳，“网络架构师表示。

该银行还认为，这是在向Armada Collective和其他勒索组织发出信号。“通过采取有力和果断的行动，我们发出了我们不会成为受害者的信息。”

2016年4月，该银行收到了另一封据称来自Lizard Squad的勒索邮件。该银行通过当地银行风险管理协会得知，这些电子邮件来自一个模仿者。由于这是一个骗局，银行决定不分流交通。然而，他们确实收到了一个小的挑逗攻击和依赖Radware的紧急反应小组的支持。

自2016年初以来，攻击向量的多样性增加，银行遭受的突发攻击增加了4倍。与此同时，持续一个小时以上的攻击正在减少。这种趋势似乎正在向非常短的“打了就跑”的攻击转变。

Radware

然而，并非所有的攻击都是突发攻击。2016年9月，该银行遭受了一次规模相对较小的攻击(仅为2G-3Gbps)，但持续了4个多小时，并逐渐演变为多个阶段。首先，银行官员注意到一些攻击是反向攻击。他们经历了16000个SYN连接的攻击——这对南非来说很大——通过我们的内部DDoS保护设备缓解了攻击。

半syn攻击后，出现HTTP flood攻击，约有2000个源，也被成功缓解。然而，该银行很难缓解HTTPS flood攻击。

“这是我们第一次遭遇加密攻击，突显了针对利用SSL标准逃避安全控制的加密攻击的专门保护的必要性。通常情况下，银行面临UDP分片攻击，然后是DNS反射攻击。在这种情况下，我们受到了典型的SSL攻击，我们还没有准备好减轻这种攻击。”

一般来说，攻击只持续三到四分钟，并且立即相互跟踪，但这种SSL攻击持续了一个半小时，由于攻击消耗了计算资源，使银行的防御系统承受了巨大的压力。银行产生了如此多的响应负载，以至于它将其出站连接推到了极限;这是我们平时产量的三倍。

经验教训

2016年，勒索威胁呈爆炸性增长，超过了大多数其他类型的网络攻击。Radware在其调查中发现，56%的组织报告称自己是网络赎金攻击的受害者，41%的组织将赎金视为其组织面临的最大网络威胁(2015年为25%)。以下是该行的一些经验教训:

1.行为分析比速率限制分析的好处。

过去，该银行测试了一种利用了限速技术的DDoS缓解解决方案，并发现使用行为分析提供了显著的优势。由于它不阻断合法的通信，它使银行能够维持其服务水平。

2.时间对于缓解的重要性。

通过实时开发攻击特征的能力，这家银行能够在短短20秒内减轻攻击。

主要演员

Radware已经确定了一些实施勒索DoS攻击的主要组织:

无敌舰队集体:Armada Collective可以说是最有名的——也是被模仿最多的——网络犯罪团伙。该团伙通常要求10至200比特币(约合3600至7万美元)的赎金，他们通常会在索要赎金的同时进行简短的“演示”或“预告”攻击。当付款时间到期时，Armada Collective会以流量通常超过100Gbps的方式关闭受害者的数据中心。雷竞技电脑网站

显然，模仿者已经开始使用Armada Collective的名称;早期的一项策略是试图从三家希腊银行敲诈约720万美元。

DD4BC:这个网络犯罪组织的名字是“分布式拒绝比特币服务”的缩写，从2014年年中开始发起比特币勒索活动。Radware称，DD4BC最初的目标是在线博彩业，后来扩大了目标，包括金融服务、娱乐和其他知名公司。

ezBTC阵容:这群网络罪犯不再使用电子邮件信息，而是使用Twitter作为发送srdos威胁的工具。其他国家也纷纷效仿。

Kadyrovtsy:Radware以卡德罗夫(Kadyrov)政府在车臣的精英部队命名，他说这是RDoS领域最新出现的组织之一。它最近威胁了两家波兰银行和一家加拿大媒体公司。该组织甚至发起了演示攻击(15G-20Gbps)，以证明其能力，很像无敌舰队集体。

RedDoor:红门在2016年3月发布了第一个威胁。根据“标准”，这些罪犯使用匿名电子邮件服务发送信息，要求3个比特币的赎金。目标企业只有24小时的时间将款项电汇到个人比特币账户。

当心模仿者:Radware报告称，“模仿者”加剧了RDoS的头痛。这些玩家发行假信件，希望用最少的努力迅速获利。以下是一些侦查假勒索信的技巧:

1. 评估的要求。Armada Collective通常要求20个比特币。其他运动要求的数额也在这一数额之上或之下。假黑客通常要求不同数额的钱。事实上，较低的比特币勒索信很可能来自虚假群体，他们希望自己的价格低到有人愿意支付赎金，而不是寻求专业人士的帮助。
2. 检查网络。真正的黑客通过在发送勒索信的同时进行小型攻击来证明自己的能力。如果网络活动发生了变化，那么信件和威胁很可能是真实的。
3. 寻找结构。真正的黑客是有组织的。另一方面，假黑客不会链接到网站，他们也没有官方账号。
4. 考虑其他目标。真正的黑客往往会攻击同一领域的许多公司。假黑客的目标不那么明确，他们的目标是每个人，希望能快速地赚到钱。

这个故事，“南非银行讲述它对抗赎金袭击的故事”最初是由方案 ．