DDoS-атака с шантажом. Что делать, если хакеры требуют выкуп

DDoS-атаки для киберпреступника  — это не только способ дестабилизировать жертву, но и отличный повод пополнить свой кошелёк с биткоинами. Здесь всё как в рэкете 1990-х. Злоумышленники требуют от жертвы денег, и если им не заплатить, то вам обещают два варианта событий: первый — они начнут вас атаковать, второй — не прекратят это делать.

В этой статье мы рассмотрим план действий на случай, если вас уже шантажируют DDoS-атакой. А заодно обсудим меры и инструменты, которые помогут защитить компанию от подобных угроз.

Что такое Ransom DDoS

Всё, о чем мы поговорим сегодня, связано с Ransom DDoS (RDDoS). Этим термином принято называть случаи вымогательства, связанные с DDoS-угрозами.

Читайте также: что такое DDoS-атака.

Как инциденты RDDoS выглядят на практике? Злоумышленники обычно связываются с жертвой по email. Далее возможны два основных сценария. В одном случае хакеры уже начали атаку и требуют выкуп, чтобы её остановить. В другом они только угрожают атакой, требуя деньги заранее.

По данным Kaspersky, в 2023 году размеры выкупа за прекращение DDoS-атак варьировались от нескольких тысяч до миллионов долларов. Обычно сумма зависит от масштабов бизнеса и критичности атакуемых ресурсов. И чаще всего счёт выставляется в биткоинах.

Гарантии в киберпреступном мире, конечно же, призрачны. В ситуации с RDDoS вы получаете типичную историю с рэкетом из 1990-х. Даже если заплатите выкуп, нет никаких гарантий, что злоумышленники оставят вас в покое. И точно так же, как в 1990-е, преступники любят держать потенциальных жертв в страхе. Например, могут сначала провести небольшие предупредительные атаки на компанию, а уже потом выходить на переговоры.

А жертвы кто?

Публично известных примеров RDDoS-атак с каждым годом становится всё больше. Злоумышленники активно нацеливаются на крупные международные корпорации. В топ-список хакеров входят крупнейшие ритейлеры, финансовые учреждения и ИТ-гиганты.

В каждом случае DDoS-атаки не только наносят серьёзный ущерб бизнесу, но и привлекают огромное внимание СМИ. Среди громких инцидентов последних лет отметим:

• Google (2017)
  Одна из крупнейших DDoS-атак в истории киберпреступности. Хакеры потребовали выкуп в размере 200 BTC, что на тот момент составляло более 2 млн долларов. Бомбардировка онлайн-ресурсов запросами продолжалась несколько дней, а пиковая нагрузка на сеть достигала 2,5 Тбит/с. Несмотря на угрозы, Google отказалась заплатить выкуп, и благодаря мощной внутренней защите отбила атаку без серьёзных последствий.
• New Zealand Exchange (2020)
  В августе 2020 года Новозеландская фондовая биржа (NZX) подвергалась нескольким массированным DDoS-атакам. В итоге ей пришлось остановить торги на несколько дней. Всё это время хакеры требовали от жертвы выкуп, угрожая тем, что будут продолжать атаки. К слову, злоумышленники были очень настойчивы. Сами атаки были настолько мощными, что биржа не справилась с ними самостоятельно — ей пришлось привлечь международных экспертов по кибербезопасности.
• Amazon AWS (2020)
  В том же году с RDDoS столкнулась одна из крупнейших облачных платформ в мире. Мощность атаки на веб-ресурсы Amazon AWS в пиковые моменты достигала 2,3 Тбит/с. Хакеры почти сразу вышли на связь и потребовали выкуп. Несмотря на масштаб инцидента, компания смогла предотвратить серьёзные сбои своих приложений. Как заверяют в Amazon AWS, отразить DDoS-атаку и минимизировать последствия удалось благодаря мощным инструментам защиты, которые использовались здесь на тот момент.
• Cloudflare (2021)
  Компания Cloudflare, лидер в области защиты от DDoS-атак, неоднократно сталкивалась с инцидентами RDDoS. Во всех случаях компания не поддавалась на шантаж. Один из примеров — атака в 2021 году. Тогда вымогатели пытались перегрузить сеть Cloudflare трафиком в несколько терабит в секунду. Но ни сломать защиту, ни получить деньги они не смогли.

Что делать жертве RDDoS

Самое главное — сохранять спокойствие и не принимать поспешных решений. Мы рекомендуем не платить выкуп. Даже если вы перечислите деньги, хакеры могут не прекратить атаку, а повторить её или потребовать ещё больше. Кроме того, такими выплатами вы поощряете преступную деятельность.

Второй совет — сразу обратитесь к сервис-провайдеру DDoS-защиты. Такие компании предоставляют специализированные решения для фильтрации вредоносного трафика и минимизации ущерба DDoS-атак для бизнеса. Сервисы анализируют трафик в режиме реального времени и блокируют аномальные запросы ещё до того, как они перегрузят систему. Но самое ценное — защиту можно подключить прямо во время атаки.

Что важно сделать ещё:

• сообщите правоохранительным органам. Регистрация инцидента как преступления поможет пресечь следующие атаки — виновные должны быть привлечены к ответственности;
• проведите срочный аудит текущей защиты. Это поможет выявить слабые места в защите ваших систем: от уязвимостей до незакрытых хостов. Чем быстрее вам удастся устранить проблемы в системе безопасности, тем выше шансы предотвратить новые инциденты. Запустите регулярные тесты на устойчивость ресурсов к DDoS-атакам и проверку настроек ваших средств защиты, если их ещё нет;
• подключите WAF (Web Application Firewall). Файрвол для веб-приложений фильтрует входящий трафик, блокируя вредоносные запросы до того, как они достигнут ваших веб-ресурсов. С его помощью вы сможете защититься не только от DDoS-угроз, но и от других популярных кибератак;
• активируйте CDN (Content Delivery Network). Он помогает распределять входящий трафик между разными серверами, что снижает риск их перегрузки в случае атаки;
• запустите мониторинг сетевого трафика. Регулярное отслеживание позволяет вовремя заметить признаки надвигающейся DDoS-атаки и спрогнозировать масштабы проблемы;
• подготовьте план реагирования на инциденты. Обычно он включает алгоритм мер, которые необходимо предпринять в случае DDoS-атаки. В таком документе, к примеру, фиксируют правила координации действий с провайдерами и уведомления клиентов о произошедшем. Чёткое планирование помогает минимизировать ущерб и быстрее восстанавливать работу сервисов;
• регулярно обучайте сотрудников. Человеческий фактор часто становится слабым звеном в защите компании. Обучение сотрудников правилам кибербезопасности поможет минимизировать риски и избежать типичных ошибок, которые допускаются в процессе DDoS-атак и лишь усугубляют тяжёлую ситуацию.

И наконец, не стоит игнорировать очевидный факт — 100%-ной защиты от RDDoS-атак нет. Даже если вы абсолютно уверены в своей безопасности, киберпреступники могут угрожать вам потенциальными атаками. И пусть на деле вся эта бравада — чаще лишь пустые обещания, вы потратите самый важный на сегодня ресурс — своё время.

Помните: многие атаки вымогателей начинаются с разведки. В случае с DDoS-атаками злоумышленники легко выясняют, какую защиту использует их цель. Лучше, если хакеры сразу наткнутся на непробиваемую стену — специализированную защиту от DDoS-атак. В этом случае риск встретится с вымогателями будет значительно ниже, а ваши нервы — целее.