DDoS váltságdíjas támadásról beszélhetünk, amikor egy számítógépes bűnöző pénzt zsarol ki egy szervezetből azzal, hogy annak webalkalmazásait fenyegeti. A 2020-as esztendő 11 legnagyobb DDoS váltságdíjas kiberrohamának eredményeként az áldozattá vált szervezetek csaknem 144 millió dollárt költöttek váltságdíj fizetésére, az alkalmazások kivizsgálására és újjáépítésére. 2019-hez képest 2020 harmadik negyedévében a kifinomult és diverzifikált támadási vektorok növekedése a DDoS váltságdíjas támadások 50%-os megugrásához vezetett.
Hogyan működik a DDoS zsarolóvirusos támadás (DDoS Ransom Attack)?
A támadás végrehajtása érdekében a hackerek túlterhelés céljából nagy mennyiségű bejövő forgalommal árasztanak el egy hálózatot. A szerver rövid időn belül kimerül, megakadályozva a webalkalmazás hatékony működését. A támadásokhoz a hackerek előzetesen létrehozzák az eszközök „elosztott” hálózatát, amelyeket rosszindulatú programokkal fertőznek meg, és így kéréseket küldenek a megcélzott alkalmazásnak. Manapság a számítógépes támadók olcsó botnet-szolgáltatásokat vásárolhatnak a dark weben, hogy ugyanezt tegyék.
Néhány észlelt nemzetközi és hazai DDoS váltságdíjas támadás
2020 augusztusában az új-zélandi tőzsde többszöri kiesés szenvedett többszöri támadás miatt. 2020 novemberében a SunCrypt ransomware-rel megtámadták a Glex Dimplex ír háztartási gépeket gyártó céget, arra kényszerítve őket, hogy folytassák a tárgyalásokat a hackerekkel és váltságdíjat fizessenek. Példátlan méretű támadást időzítettek a hazai infrastruktúra ellen az európai Szuperkupa döntő napjára. Az időzített támadás elsősorban hazai pénzügyi szolgáltatók ellen irányult és több külföldi szerveren keresztül érte el Magyarországot, elsősorban Oroszország, Kína és Vietnám irányából. A Nemzeti Kibervédelmi Intézet értesülései szerint az érintett pénzintézeteket korábban meg is zsarolták, az előzőeknél nagyobb léptékű támadást helyezve kilátásba. Az NKI már a támadássorozatot megelőzően figyelmeztetést adott ki, amelyben magyarországi célpontok elleni potenciális DDoS támadásokra hívták fel figyelmet, ezt leginkább arra alapozva, hogy az utóbbi időszakban számos európai uniós országból is érkeztek jelentések hasonló esetekről. Ezek során előfordult, hogy akár másodpercenkénti 500 Gbps forgalommal, több mint 200 ezer forrásból küldött adatcsomaggal próbálták megbénítani a támadók a célba vett intézményeket vagy szolgáltatókat.
Hogyan reagáljunk a DDoS Ransom támadásra?
A hackerek támadással fenyegetnek és váltságdíjat követelnek. A váltságdíjas támadás kedvezőtlen hatásait fékezni lehet, ha gyorsan kezelik. Vizsgáljuk meg a lehetséges teendőket:
Ellenőrizze, hogy van-e előkészítő támadás: néha a hackerek kisebb támadást hajtanak végre, hogy bemutassák képességeiket. Ha a váltságdíjas megjegyzés ugyanazt említi, célszerű ellenőrizni a hálózati naplókban, hogy vannak-e olyan forgalmi csúcsok, amelyek egy kis támadást indokolnak.
Képezze és tájékoztassa a munkaerőt: A gyakran a nyilvánosan elérhető e-mail címek nagy részére küldik el a hackerek a zsarolóvírust tartalmazó leveleket. Mivel a szervezetek bármelyik munkatársai kaphat ilyen levelet, fontos, hogy tájékoztassuk őket arról, hogy mit tegyenek fenyegetés esetén. A szervezeteknek a kommunikáció és a tulajdonlás világos vonalát is létre kell hozniuk a gyors megküzdési mechanizmus kialakítása érdekében.
Ne fizesse meg a váltságdíjat: nem hatékony váltságdíjat fizetni a bűnözőknek. Átmenetileg megállíthatja a támadást, de nincs garancia arra, hogy az ilyen zsarolás a jövőben sem folytatódna. Az ilyen illegális követeléseknek engedő szervezetet puha célpontnak tekintik, ami azt jelenti, hogy nagyobb valószínűséggel célozzák meg újra. Ráadásul váltságdíjat fizetve a támadóknak csak tovább finanszírozzák jövőbeni bűncselekményeiket, és precedenst teremtenek megközelítésük érvényesítésére. Elvileg jobb, ha többet fizet a szervezet a kockázat mérsékléséért, mint a váltságdíj fizetését, mivel hosszú távon ez költséghatékonyabb lesz nemcsak a szervezet, hanem az ország egésze számára is.
Hamis fenyegetés kezelése: egyes esetekben előfordulhat, hogy a váltságdíj nem hiteles, és egy cég végül ok nélkül fizet ki pénzt. Ezért mindig tanácsos elkerülni a váltságdíj-fizetést. Inkább a szervezet kiberbiztonsági intézkedéseinek megerősítésére kell összpontosítani. Ennek ellenére minden biztonsági fenyegetést komolyan kell venni és ki kell vizsgálni.
Közös védelmi stratégiák
A Ransom támadáscsökkentés magában foglalja a helyszíni szerverek és hálózati berendezések védelmét a következő lépések végrehajtásával:
1. A korai figyelmeztető jelek észlelése: A váltságdíjas szolgáltatásmegtagadási támadás enyhítése érdekében fontos észrevenni a korai figyelmeztető jeleket. Először is figyeljük a webhelyeink valós idejű forgalmát. Vannak olyan webhely-biztonsági megoldások, amelyek segíthetnek ebben. Még a Google Analytics is használható a valós idejű forgalom ellenőrzésére a valós idejű beállítások bekapcsolásával. A webhely adatfelhasználási statisztikáit is ellenőrizheti a számok esetleges emelkedése szempontjából, amelyek rendellenessége támadást mutathat.
2. Webalkalmazás tűzfalának telepítése: mivel ez a támadás egy webkiszolgálót céloz meg, olyan biztonsági intézkedések alkalmazhatók, mint egy webalkalmazás tűzfala. A webhelyen tűzfal plugint is használhat a bejövő forgalom figyelemmel kísérésére és a gyanús kérések blokkolására. Szakember felvétele, vagy a DDoS biztonsági intézkedések végrehajtására szintén jó módszer a probléma megelőzésére, amelyet napjainkban már szolgáltatásként is igénybe lehet venni.
3. Sürgősségi intézkedések: Ha vihar közepette találja magát, ideiglenesen leállíthatja a webhelyet a támadás leállításához. Mielőtt újra működésbe hozná, hajtson végre megelőző intézkedéseket, például telepítsen a tűzfalat.
Növekvő gyakoriságukkal és súlyosságukkal a DDoS váltságdíj-támadások elleni védelem kiemelten szükséges a szervezetek számára. A legjobb módszer erre a DDoS védelmi eszközökbe történő befektetés és alkalmazásuk, vagy azok szolgáltatásként való igénybevétele.
Források:
- DDoS Ransom Attacks: What You Need to Know (25 FEB 2021)
- DDoS attack statistics and facts for 2018-2021
- DDoS: Nemzetközi támadáshullám érte el Magyarországot is
- Tájékoztatás kormányzati és pénzügyi szektorokat érintő DDoS támadásokkal kapcsolatban
- Ransomware Prevention – Why Web Security Is Important?