除勒索软件、网络钓鱼、商业电子邮件欺诈 (BEC) 和凭据填充攻击外，过去几个月中，另一种形式的网络安全威胁正呈现不断攀升的趋势：勒索式 DDoS(RDoS)攻击。网络犯罪分子要求目标组织支付大量赎金，以换取不发动旨在降低其网络性能的分布式拒绝服务 (DDoS) 攻击。

2020 年发生的 11 起最大的 DDoS 勒索网络攻击事件导致受害组织花费了近 1.44 亿美元用于支付赎金、调查取证以及重建其应用程序。鉴于攻击媒介日趋复杂化和多样化，2020 年第三季度的 DDoS 勒索攻击比 2019 年激增了 50%。

什么是勒索式 DDoS(RDoS) 攻击?

在 DDoS 攻击中，网络犯罪分子会将大量电子请求或其他网络流量发送到目标企业的网站、Web 应用程序或网络中，目的是击溃企业处理这些请求的能力，从而关闭其网站，以使合法用户无法再使用该服务。如果攻击破坏了许多终端依赖的通用服务，例如域名系统 (DNS) 服务，那么一次攻击甚至可能会影响多个企业的网站或服务。

DDoS 攻击已经存在了很长时间，并且通常被用作转移注意力的“烟幕”，旨在将注意力从单独的攻击中移开或是发送政治信息。在最近的 DDoS 攻击浪潮中，网络犯罪分子似乎正在利用近来势头正盛的勒索软件活动来寻求直接的经济利益。

DDoS 攻击也正变得越来越便宜且易于实施，网络犯罪分子甚至可以在暗网上租用 DDoS 服务来发动大规模攻击。该服务易于使用，甚至会为回头客提供会员计划。DDoS 服务的价格因目标资源的丰富程度而异，针对受保护网站的攻击费用也仅需 400 美元。

最近的 DDoS 勒索运动

在过去的几个月中，成千上万的公司收到了勒索电子邮件，邮件称“如果没有用比特币支付六位数的赎金，就将遭受到严重的 DDoS 攻击”。这些攻击通常遵循相同的模式：

电子邮件

首先，一家公司收到来自威胁参与者的电子邮件，该电子邮件声称与臭名昭著的复杂网络犯罪组织 (例如 Lazarus 或 Fancy Bear) 有从属关系。但实际上，这些电子邮件的发件人更有可能是独立的网络犯罪分子，他们以知名犯罪组织的声誉进行交易，以树立信誉并表现出更强大的威慑性。这些电子邮件通常是在首次 DDoS 攻击发生前约 15 分钟从加密的电子邮件服务 (如 ProtonMail) 发送的。但是，目标通常并不知道勒索通知，因为该电子邮件可能会被公司的垃圾邮件过滤器捕获，或是接收该电子邮件的人正在忙碌或休假而将其忽略掉。

该电子邮件解释称，最初的小型攻击是威胁行为者能力的证明。如果 6 天内未能支付六位数的比特币赎金，攻击者将发动第二轮 DDoS 攻击，这次攻击强度将足以破坏企业核心运营并对其造成声誉损失。除了将赎金金额发送到提供的比特币钱包外，通常没有其他与威胁行为者进行沟通或协商的途径。

初始攻击

在收到初始勒索电子邮件后约十五分钟，威胁行为者通常会进行 DDoS 演示攻击。这些攻击的强度各不相同，范围从每秒几 Gbps 到峰值 300 Gbps，通常持续几个小时。在这些初始攻击过程中，一些公司在连接虚拟专用网络网关、电子邮件客户端、基于聊天的协作平台 (例如 Microsoft Teams) 以及其他核心服务时会出现性能问题。这些攻击通常集中在后端基础架构上，并且来自多种攻击媒介。攻击者似乎正在实时监视攻击和攻击技巧期间的影响，以规避缓解措施。

在一些情况下，攻击者还将试图破坏目标的域名系统 (DNS) 服务器，从而损害目标通过其设备访问 Internet 的能力。这种攻击形式破坏了网站或应用程序对合法互联网流量的响应能力。DNS 服务器通常由专门的提供商托管在组织外部。一些 DNS 提供商可能没有与公司网络相同级别的 DDoS 防护，而其他 DNS 提供商则采用了完善的 DDoS 预防方法，该方法可以检查入站流量，检测和丢弃恶意流量，并且仅将合法流量转发给公司。攻击者还通过“booter”服务扩大了攻击范围，这些服务具有隐藏攻击源并提高其效力的作用。

此外，攻击者还一直在进行 IP 欺骗，该欺骗活动将垃圾流量从看似来自目标网络内部的源地址发送到目标，从而通过使电子邮件基础架构之类的服务被 DDoS 缓解服务不当地列入黑名单而造成滋扰。

如何应对勒索式 DDoS 攻击?

通常情况下，黑客会发送勒索通知，威胁目标组织即将发生的攻击行为。他们可能会“炫耀”之前的攻击战绩，或者声称与 Lazarus Group 以及 Fancy Bear 等黑客组织有从属关系。除此之外，勒索通知中还会提及付款期限和付款操作指南。

如果处理得当，就可以遏制勒索攻击的不利影响。让我们看下切实可行的一些行动方案：

检查演示攻击：有时候，黑客会进行一次小型攻击以证明其实力。如果勒索通知中提到相同的内容，建议组织先检查网络日志中是否存在任何流量高峰，以证明是小规模攻击。

员工培训：勒索攻击是一场数字游戏。勒索通知通常会发送到大量公开的电子邮件地址中。由于您的任何员工都可能收到此类邮件，因此，重要的是对他们进行教育，以防他们受到威胁。此外，组织还必须建立清晰的沟通和所有权界定，以建立快速有效的应对机制。

永远不要支付赎金：向犯罪分子支付赎金永远是无效的。它可以暂时地阻止攻击，但却不能保证这种勒索行为未来不会继续。向这些非法组织屈服无疑于被其标记为“软柿子”，这也就意味着你更有可能再次沦为其目标。其次，向攻击者支付赎金等同于为其未来的犯罪行为提供资金支持，并为验证其攻击方法有效性树立了先例。原则上来说，投入更多资金来减轻风险远胜于选择支付赎金，因为长远来看，这不仅对您的业务甚至对整个行业来说都将变得更具成本效应。

应对虚假威胁：在某些情况下，勒索通知可能并不可信，企业最终无缘无故地损失了大量资金。因此，强烈建议永远不要支付赎金，而应该专注于加强组织的网络安全措施。话虽如此，任何安全威胁都必须得到认真对待。最好的方法就是投资 DDoS 保护工具。

通用保护策略

减轻勒索式 DDoS 攻击涉及通过采取下述步骤来保护现场服务器和网络设备：

检测预警信号：为了减轻勒索 DDoS 攻击的危害，及时检测到预警信号非常关键。首先，请密切关注网站的实时流量。有一些网站安全解决方案可以帮助您实现这一点。甚至可以通过打开实时设置来使用 Google Analytics 检查实时流量。您还可以查看网站的数据使用情况统计信息，以了解数量是否激增。如果使用率异常高，则可能表示受到了攻击。

安装 Web 应用程序防火墙：由于此攻击的目标是 Web 服务器，因此可以使用 Web 应用程序防火墙之类的安全措施。您也可以在网站上使用防火墙插件来监视传入流量并阻止任何可疑请求。聘请专业人员实施 DDoS 安全措施也是有效遏制问题的好方法。

扩展 DDoS 缓解措施：DDoS 缓解措施通常包括实施措施，以保护公司的现场服务器和网络设备免受 DDoS 攻击，并包括检测异常流量和将恶意流量重定向到网络之外的行为。进行这些 DDoS 攻击的威胁行为者倾向于将目标 IP 地址指定为当前不在公司 DDoS 缓解范围之内的 IP 地址。因此，一些公司发现，通过将缓解措施扩展到尽可能多的公司 IP 地址、Web 服务、面向 Internet 的基础结构和 DNS 服务器，他们能够防御非常复杂的 DDoS 攻击。

基于云的 DDoS 缓解：根据初始攻击的强度以及企业有效响应的能力，一些公司已转向基于云的 DDoS 缓解服务。这些服务具有“始终在线”监视网络流量的优势，可以在几秒钟内发现问题并响应攻击。

自定义 DDoS 缓解措施：在最近的一些攻击中，犯罪分子通过分散攻击而不会触发 DDoS 缓解阈值，从而在造成破坏的同时避免了被发现。通过与缓解措施提供商合作，自定义缓解阈值以识别并防止这种特定类型的攻击，公司将能够防止这种情况的发生。

与 ISP 合作：为了应对 DDoS 攻击，许多公司已与其互联网服务提供商 (ISP) 紧密合作，以确保他们能够在活动期间控制网络流量。在最近的 DDoS 攻击中，Verizon 和 AT&T 都能够减轻目标公司网络服务的中断。此外，ISP 可能还拥有执法部门希望用于调查的某些法证数据。

紧急措施：万一遇到威胁，你可以暂时关闭网站以阻止攻击。在重新启用它之前，请务必采取预防措施，例如安装防火墙。