Các cuộc tấn công từ chối dịch vụ (DDoS) bắt đầu mạnh mẽ trong năm nay, khác với việc làm gián đoạn hoạt động của Website như trước đây, tính chất và quy mô của RDDos còn mang tính đòi tiền chuộc, yêu cầu nạn nhân trả tiền để không bị tấn công.
Công ty dịch vụ bảo mật Internet Akamai đã đối phó với cuộc tấn công DDoS (RDDoS) đòi tiền chuộc lớn nhất được biết đến, cũng phức tạp hơn so với các sự cố cùng loại đã thấy trước đây.
Tấn công RDDoS là gì?
Chúng ta từng nghe nói đến Ransomware – mã độc đòi tiền chuộc, thì nay lại có Ransom DDoS (RDDoS), tấn công DDOS đòi tiền chuộc
Các cuộc tấn công từ chối dịch vụ phân tán tiền chuộc (RDDoS) là các cuộc tấn công DDoS dựa trên mã độc tống tiền được thực hiện vì lợi ích tài chính:
- Tội phạm mạng thường gửi thông báo đòi tiền chuộc đe dọa thực hiện các cuộc tấn công DDoS, trừ khi tiền chuộc được trả trước thời hạn nhất định.
- Đôi khi, khuyết trương thanh thế, các cuộc tấn công DDoS được thực hiện vào nạn nhân trước hoặc sau khi gửi thông báo đòi tiền chuộc.
Cuộc tấn công DDOS, kẻ tấn công thường quyền kiểm soát trái phép nhiều máy tính bị dính mã độc, có thể được khai thác như một mạng máy tính ma (botnet) để khởi động một cuộc tấn công DoS.
Lịch sử về RDDoS
Các cuộc tấn công RDDoS đã tồn tại từ cuối những năm 1990. Trong giai đoạn này, các công ty chủ yếu lo lắng về cách thức các cuộc tấn công RDDoS vào trang web của họ dẫn đến mất khách hàng vì không truy cập được vào Website, thay vào đó, khách hàng sẽ được hướng đến trang web của đối thủ cạnh tranh. Mặc dù các cuộc tấn công như vậy là phổ biến, nhưng tác động của chúng đối với các doanh nghiệp là tương đối nhỏ – do thời điểm đó, mua sắm trực tuyến chưa phổ biến. Tuy nhiên, có những nhà cái, công ty cờ bạc ở Anh được báo cáo là đã bị thiệt hại lớn về doanh thu sau khi họ bị đánh sập bởi các cuộc tấn công RDDoS.
Sự phức tạp của các cuộc tấn công RDDoS đã thay đổi đáng kể vào giữa năm 2014, khi một nhóm tội phạm mạng DD4BC (hay “DDoS cho Bitcoin”), thể hiện trình độ kỹ thuật cao và sử dụng tiền điện tử, bắt đầu thực hiện các cuộc tấn công RDDoS trên quy mô lớn. Ban đầu nhắm mục tiêu vào các tổ chức trong ngành công nghiệp cờ bạc trực tuyến và trao đổi Bitcoin, các hoạt động tấn công trên không gian mạng của DD4BC hướng tới công ty trong lĩnh vực tài chính, giải trí và năng lượng, bao gồm một số tập đoàn nổi tiếng.
Phương thức hoạt động của DD4BC thường liên quan đến việc phát động các cuộc tấn công DDoS quy mô nhỏ chống lại các trang web của nạn nhân trong tối đa một giờ và sau đó gửi các thông báo yêu cầu tiền chuộc đe dọa các cuộc tấn công lâu hơn và mạnh hơn trừ khi số tiền chuộc bằng Bitcoin, dao động trong khoảng từ 200 USD đến 25.000 USD, thanh toán ngay trong ngày.
Các thông báo đòi tiền chuộc tiếp theo với các lời đe dọa về một cuộc tấn công DDoS khác lớn hơn và các yêu cầu đòi tiền chuộc cao hơn sau đó đã được gửi đến những nạn nhân trả tiền và nếu đang thực hiện các biện pháp phòng thủ. Những điều này cũng đi kèm với các làn sóng tấn công DDoS quy mô nhỏ, đôi khi kéo dài vài ngày. Nếu các cuộc tấn công DDoS đã được nạn nhân ngăn chặn thành công, DD4BC sẽ từ bỏ và chuyển sang các mục tiêu mới.
RDDoS lớn hơn, phức tạp hơn nhiều
Akamai cho biết, họ đã đối phó với “ba trong sáu cuộc tấn công DDoS có quy mô lớn nhất” mà công ty từng ghi nhận.
Hai trong số này là các cuộc tấn công DDoS đòi tiền chuộc lớn nhất được biết đến và gần đây nhất trong số chúng đạt đỉnh 800Gbps (100Gb/s) nhắm mục tiêu vào một công ty cờ bạc ở châu Âu và cũng là vụ phức tạp nhất mà Akamai nhìn thấy kể từ khi DDoS tống tiền bắt đầu.
“Kể từ khi bắt đầu chiến dịch [đòi tiền chuộc DDoS], các cuộc tấn công phô trương sức mạnh đã tăng từ 200+ Gbps vào tháng 8 lên 500+ Gbps vào giữa tháng 9, sau đó tăng lên 800+ Gbps vào tháng 2 năm 2021” – Akamai
Theo Akamai, thủ phạm đã sử dụng một vectơ tấn công DDoS mới: một giao thức mạng được gọi là Giao thức kiểm soát tắc nghẽn Datagram (Datagram Congestion Control Protocol – DCCP) hoặc giao thức 33.
Việc tận dụng DCCP cho DDoS dẫn đến một cuộc tấn công theo khối lượng và có thể vượt qua các biện pháp phòng thủ được thiết lập cho các luồng lưu lượng TCP và UDP thường thấy trong các sự cố này.
Có mục tiêu và dai dẵng
Công ty chống DDoS Radware đã chứng kiến làn sóng tống tiền mới xảy ra vào cuối năm 2020 và vào tuần đầu tiên của tháng một năm nay. Một số công ty đã bị đe dọa tấn công DDoS vào tháng 8 và tháng 9 năm 2020 đã nhận được thư đòi tiền chuộc mới yêu cầu 10 bitcoin để ngăn chặn cuộc tấn công.
Radware các công ty bị nhận thư tống tiền nhưng không công bố cho giới truyền thông biết. Theo điều tra, một tổ chức Hacker đã gửi nhiều email đến nhiều công ty để đe dọa đòi tiền chuộc.
Hacker bắt đầu chứng minh rằng họ không đưa ra những lời đe dọa suông chỉ vài giờ sau khi gửi thư. Các nạn nhân đã trải qua hơn 9 giờ tấn công DDoS không ngừng, vượt quá 200Gbps và đạt đỉnh 237Gbps.
“Những kẻ tấn công đã không ngừng tìm kiếm những điểm yếu trong phòng thủ để khai thác, cũng như thử các cách kết hợp véc tơ tấn công khác nhau. Trong một cuộc tấn công, các tác nhân đe dọa đã nhắm mục tiêu gần chục IP và xoay vòng qua nhiều vectơ tấn công DDoS cố gắng tăng khả năng phá vỡ các môi trường back-end ”- Akamai
Akamai xác nhận khách hàng của họ đã trải qua những giai đoạn tương tự, công ty cho biết “các chiến dịch DDoS năm 2021 đã trở nên có mục tiêu hơn và dai dẵng hơn nhiều so với trước đây”.
Akamai đã chứng kiến nhiều chiến dịch DDoS kéo dài trong vài ngày và nhắm mục tiêu vào một loạt địa chỉ IP, cho thấy rằng những kẻ tấn công quyết tâm thực hiện DDoS chứ không phải dọa suông.
Một xu hướng khác được các nhà nghiên cứu quan sát thấy trong năm nay là sự gia tăng của các cuộc tấn công DDoS trên 50Gbps. Mặc dù có vẻ nhiều nhưng lượng dữ liệu rác này có thể khiến nhiều dịch vụ “rớt mạng”.
Trong vòng chưa đầy ba tháng, Akamai đã ghi nhận nhiều vụ tấn công có cường độ này hơn so với toàn bộ năm 2019 và số lượng của chúng dự kiến sẽ tăng đáng kể trong năm nay.