2015年11月起，南非第一國家銀行就在與垂涎金錢的網(wǎng)絡罪犯做斗爭。

2015年11月，南非第一國家銀行收到了來自 Armada Collective 的勒索郵件，跟著就是一波戲弄性質的洪水攻擊，類似某種能力證明和攻擊宣言。

銀行官方?jīng)]有退縮。Radware最近發(fā)布的《全球應用&安全》調查報告稱，勒索郵件是在下班時間發(fā)送到公司一個無人看顧的郵箱中的，銀行在官員發(fā)現(xiàn)該郵件前就檢測并緩解了試探洪水攻擊。因為有混合DDoS緩解解決方案，洪水攻擊沒有產(chǎn)生任何影響，并被快速轉移到清洗中心進行清除。

報告揭示：勒索攻擊是如今最普遍的威脅——從2015年的25%增長到2016年的41%。是什么推動了如此巨大的增長？網(wǎng)絡勒索可成為暴利“行業(yè)”。這種形式的勒索比以往更快、更簡單、更便宜，留給受害者的響應窗口時間非常短，一晃眼就可能要承受系統(tǒng)中斷、運營停滯的慘痛損失。

今時今日的勒索郵件攻擊不同于普通勒索軟件，可將公司數(shù)據(jù)當做人質，不見贖金不放數(shù)據(jù)。

一名網(wǎng)絡架構師在報告中解釋稱：因為銀行地處南非，與世界其他地方區(qū)隔開來，這就既蘊含了公司保護自己的能力(比如在轉移攻擊流量上的延遲)，又限制了攻擊者使用大規(guī)模攻擊的能力；黑客在南非甚至搞不到半TB的流量。

試探攻擊可能有300MB的流量。作為安全預防，受到洪水攻擊和接到勒索郵件時，會在勒索截止日前，將網(wǎng)絡流量導引到DDoS緩解廠商的清洗中心。執(zhí)行勒索攻擊的黑客應該會看到流量被轉移，也就明白了發(fā)起試探攻擊沒有效果。

該銀行也認為，自己向 Armada Collective 及其他勒索團伙發(fā)送了一個信號。“通過采取強力決定性行動，向黑客發(fā)出我們不會成為受害者的信息。”

2016年4月，該銀行收到聲稱來自蜥蜴小隊的勒索郵件，通過當?shù)匾粋€銀行風險管理協(xié)會，確認是模仿犯而已。因為是惡作劇，該銀行決定不轉移流量，不過，他們確實受到了小型試探攻擊，依賴Radware的應急響應團隊進行了處理。

2016年起，攻擊方法開始多樣化，第一銀行經(jīng)歷了四倍于過去的瞬時攻擊井噴。同時，持續(xù)時間超過1小時的攻擊在減少。趨勢似乎在漸漸轉向“打了就跑”的短時攻擊。

但也不是所有的攻擊都是瞬時攻擊。2016年9月，該銀行受到了一次較小型的攻擊(2G-3Gbps)，但持續(xù)時間長達4個多小時，且漸進發(fā)展幾個階段。銀行官員注意到其中一些攻擊是ping攻擊。他們經(jīng)歷了16000個SYN連接的攻擊(在南非已算相當大了)，最后是靠內部DDoS防護應用緩解的。

在半SYN攻擊后，HTTP洪水隨之而來，源頭約有2000個。當然，也被成功緩解了。不過，該銀行對完全HTTPS洪水就束手無策了。

加密攻擊，昭示出必須擁有專門的防護措施，來針對利用SSL標準繞過安全控制的攻擊方式。通常情況下，該銀行面對的是UDP分片攻擊后跟著DNS反射攻擊。那次案例中，卻是被典型的SSL攻擊襲擊。

一般的SSL攻擊每波只持續(xù)3-4分鐘，一波緊跟一波密集發(fā)動。但那次的攻擊持續(xù)了1.5小時，攻擊消耗掉的計算資源給銀行的防御系統(tǒng)造成了巨大壓力。該銀行產(chǎn)生了太多響應負載，將其外出連接逼近了上限，三倍于平時吞吐量。

經(jīng)驗教訓

2016年見證了勒索威脅的爆炸式增長，襯托得其他類型的網(wǎng)絡攻擊都不顯眼了。調查中，56%的公司都報告稱自己是網(wǎng)絡勒索的受害者，41%將勒索列為自身面臨的最大網(wǎng)絡威脅(2015年數(shù)字為25%)?？梢詮哪戏堑谝粐毅y行的案例吸取一些經(jīng)驗：

1. 限速分析加上行為分析的好處

過去，該銀行測試了一個利用限速技術的DDoS緩解解決方案，發(fā)現(xiàn)使用行為分析能提供很大的優(yōu)勢。因為不會封住合法流量，行為分析使第一國家銀行得以維持其服務水平。

2. 時間對緩解的重要性

通過擁有實時發(fā)展攻擊特征碼的能力，該銀行能夠在20秒內緩解攻擊。

主要威脅

Radware發(fā)現(xiàn)了幾個勒索型DoS攻擊的主要執(zhí)行團伙：

Armada Collective：或許是知名度最高的網(wǎng)絡犯罪團伙。他們喜歡在發(fā)送勒索通知時順帶一次示威攻擊，索要贖金一般在10-200比特幣(約$3,600-$70,000)。只要超過支付時限，受害者的數(shù)據(jù)中心就會被超100Gbps的流量淹沒。

明顯的模仿犯開始冒用 Armada Collective 的名號；一個早期策略曾嘗試向3家希臘銀行勒索720萬美元。

DD4BC：這個犯罪團伙的名字就是“為比特幣而來的分布式拒絕服務”，2014年年中開始發(fā)起比特幣勒索活動。最開始針對在線博彩行業(yè)，此后DD4BC將目標范圍擴大到金融服務、娛樂和其他知名公司。

ezBTC Squad：該網(wǎng)絡犯罪團伙沒有使用常見的郵件消息，而是用推特作為投遞其RDoS(勒索拒絕服務)的手段。

Kadyrovtsy：以車臣Kadyrov政權精英力量命名，是最新冒頭的RDoS團伙，最近剛剛威脅過兩家波蘭銀行和一家加拿大媒體公司。該團伙甚至還發(fā)動了一次15G-20Gbps的示威攻擊來證明其能力，就像 Armada Collective 一樣。

RedDoor：2016年3月第一次發(fā)動攻擊。行動模式比較標準，就是用匿名電子郵件發(fā)送勒索消息，索要3比特幣。受害公司只有24小時可以轉賬給某比特幣賬戶。

小心模仿犯：模仿犯加重了RDoS麻煩。這些人發(fā)出虛假勒索郵件，希望能用最小的付出獲得快錢。識別虛假勒索郵件有幾條建議可供參考：