Đại dịch COVID-19 buộc các doanh nghiệp và tổ chức phải chuyển sang làm việc tại nhà. Những kẻ xấu đã nắm bắt cơ hội thực hiện các cuộc tấn công từ chối dịch vụ (DDoS) phân tán với số lượng lớn chưa từng có. Các cuộc tấn công này bao gồm một chiến dịch tấn công tống tiền DDoS (DDoS Extortion) được gọi là Lazarus Bear Armada, được thực hiện bởi một nhóm các phần tử xấu bắt đầu từ giữa tháng 8 năm 2020.
Tấn công DDoS Extortion là gì?
Còn được gọi là các cuộc tấn công Ransom DDoS (RDDoS), DDoS Extortion xảy ra khi tội phạm mạng đe dọa các cá nhân hoặc tổ chức sẽ thực hiện một cuộc xâm nhập DDoS, nếu một yêu cầu tống tiền không được đáp ứng. Những yêu cầu này buộc nạn nhân thanh toán bằng tiền điện tử để tránh bị các cơ quan thực thi pháp luật truy xuất nguồn gốc.
Tấn công DDoS Extortion không giống với các cuộc tấn công Ransomware, trong đó phần mềm độc hại mã hóa hệ thống và cơ sở dữ liệu của tổ chức, ngăn chủ sở hữu và người dùng hợp pháp truy cập chúng cho đến khi tiền chuộc được trả.
Các dấu hiệu của một cuộc tấn công DDoS Extortion là gì?
Các tác nhân đe dọa đằng sau những chiến tấn công DDoS Extortion sử dụng một số phương pháp. Một số cuộc tấn công bắt đầu bằng một cuộc tấn công DDoS thử, nhằm vào một phần tử cụ thể của cơ sở hạ tầng phân phối ứng dụng/dịch vụ trực tuyến của một tổ chức để chứng minh mối đe dọa là có thật. Cuộc tấn công này ngay lập tức được kèm theo một thư tống tiền hoặc email đe dọa rằng một cuộc tấn công lớn hơn sẽ xảy ra nếu việc thanh toán không được thực hiện.
Các cuộc tấn công khác trước tiên gửi thư hoặc email tống tiền nêu rõ mối đe dọa đối với doanh nghiệp và đặt ra yêu cầu tống tiền, hình thức thanh toán và thời hạn thanh toán trước khi cuộc tấn công được thực hiện. Những kẻ tấn công thường tuyên bố rằng chúng có khả năng tấn công DDoS lên đến 3Tbps nếu yêu cầu không được đáp ứng.
Những kẻ tấn công có thể không phải lúc nào cũng phát động các cuộc tấn công đe dọa và một số thậm chí không có đủ năng lực để làm điều đó. vì vậy, các tổ chức không nên sợ hãi trước những mối đe dọa không có thực.
Như đúng với tất cả các cuộc tấn công DDoS, DDoS Extortion nhắm vào một ứng dụng hoặc dịch vụ, áp đảo nó với lưu lượng tấn công khiến dịch vụ cuối cùng bị chậm hoặc sập hoàn toàn.
Tại sao các cuộc tấn công DDoS Extortion lại nguy hiểm?
Giống như bất kỳ cuộc tấn công DDoS nào, một cuộc tấn công DDoS Extortion ngăn chặn các yêu cầu mạng hợp pháp đi qua, điều này có thể làm gián đoạn hoạt động, gây tốn kém tiền bạc và tổn hại đến danh tiếng của doanh nghiệp.Chấp nhận việc thanh toán theo yêu cầu tống tiền là điều không nên, vì không có gì đảm bảo những kẻ tấn công sẽ không quay lại yêu cầu các khoản thanh toán khác trong tương lai.
Ngoại trừ những trường hợp trong đó một cuộc tấn công thử được diễn ra trước, rất khó để biết liệu mối đe dọa có thực sự là thật hay không. Những kẻ tấn công có thể tuyên bố đã liên kết với các nhóm tấn công nổi tiếng đã được các phương tiện truyền thông đưa tin để tạo thêm uy lực cho cuộc tấn công. Bởi vì nhiều chuyên gia bảo mật đã nghe nói về các cuộc tấn công lớn của những nhóm như “Armada Collective”, nên cái tên này được cho là có thể nâng cao mức độ nghiêm trọng của mối đe dọa, từ đó buộc mục tiêu phải thanh toán. Điều quan trọng cần lưu ý là các mối đe dọa vẫn có thể là thật.
Thông thường, những kẻ tấn công mạng đã tiến hành trinh sát trước khi đưa ra mối đe dọa của chúng. Loại thăm dò này tìm kiếm các điểm yếu để khai thác, chẳng hạn như những ứng dụng và dịch vụ công khai được bảo vệ không đầy đủ. Đôi khi, các cuộc tấn công nhắm vào những nhà cung cấp dịch vụ chuyển tiếp lưu lượng upstream. Bằng cách tấn công các ISP cung cấp kết nối Internet, những kẻ tấn công có thể khiến các tổ chức mục tiêu bị gián đoạn đáng kể.
Nhà chức trách khuyến cáo rằng các tổ chức không nên trả tiền chuộc, vì không có gì đảm bảo rằng các yêu cầu tiếp theo sẽ không được đưa ra. Tuy nhiên, nên áp dụng các biện pháp giảm thiểu DDoS mạnh mẽ để ngăn chặn những kẻ tấn công thực hiện mối đe dọa. Nếu tội phạm mạng không thể tiến hành cuộc tấn công vì các biện pháp ngăn chặn, thì những mối đe dọa về cơ bản đã được vô hiệu hóa.