從去年9月份開始,名為DD4BC的黑客組織開始用發(fā)送勒索郵件的方式對(duì)一些網(wǎng)站的負(fù)責(zé)人進(jìn)行敲詐。估計(jì)他們自己也沒想到,這種方式竟然會(huì)因?yàn)樗麄冏兊昧餍衅饋?。同期涌現(xiàn)出了很多模仿這種方式進(jìn)行勒索的組織,Armada Collective就是其中之一,而Armada Collective最著名的勒索事件,就是強(qiáng)迫Proton Mail的供應(yīng)商花6000美元來終止針對(duì)他們的大型DDoS攻擊。
歐洲刑警組織實(shí)際在去年冬天就逮捕了DD4BC組織的關(guān)鍵負(fù)責(zé)人,繼負(fù)責(zé)人被抓之后,這種勒索方式似乎告一段落。直到2016年初,又開始有很多公司收到類似的勒索郵件,郵件內(nèi)容都是:除非支付贖金,不然就會(huì)遭到DDoS攻擊(DDoS-for-Bitcoin)。
Armada Collective模仿者的崛起
最近,來自南非伊麗莎白港的Etienne Delpor是這種郵件勒索事件最新的受害者,她還是Alpha Bookkeeping Services網(wǎng)站的站長(zhǎng)。9月5號(hào),她在Twitter上po出了一封郵件,內(nèi)容就是來自Armada Collective組織的勒索信。
這封勒索信的具體內(nèi)容如下:請(qǐng)盡快支付1比特幣(約610美元)到指定賬戶,否則你的網(wǎng)站將在明天遭到10-300Gbps的DDoS攻擊。一旦DDoS攻擊開始之后,就必須要20比特幣(約12,150美元)的贖金,才能停止攻擊。
其實(shí)早在今年4月,提供網(wǎng)絡(luò)安全業(yè)務(wù)的公司Cloudflare就提到,當(dāng)時(shí)出現(xiàn)了一個(gè)新興DDoS勒索組織。這個(gè)組織一直按照一封含有特定比特幣地址的郵件來進(jìn)行敲詐勒索,郵件的署名都是Armada Collective和LizardSquad——這兩家都是曾經(jīng)發(fā)起過大規(guī)模DDoS攻擊的組織。事實(shí)上,并沒有證據(jù)證明這家新興勒索組織真的發(fā)起過DDoS攻擊。很顯然,他們就是想通過這樣的化名來引起更多的關(guān)注,增加一定的威懾力。
雖然安全研究人員無法確定攻擊是否來自真正的Armada Collective組織,但真正的Armada Collective組織過去發(fā)起的DDoS攻擊,都是針對(duì)一些有能力支付贖金的大型企業(yè)。不像最近,這些自稱是Armada Collective的組織完全變成了無差別攻擊,各種規(guī)模的網(wǎng)站站長(zhǎng)和企業(yè)負(fù)責(zé)人都會(huì)收到這樣的勒索郵件,收到郵件的受害者數(shù)目也呈指數(shù)型增長(zhǎng)。
Delpor收到的勒索郵件中支付比特幣的地址是:1Pnv9xaEdBFGXzhX6EDo2XAgrDxxdg25WU,如果用Google搜索該地址,還會(huì)發(fā)現(xiàn)一大堆新的受害人。他們都收到過類似的勒索信,信里面的贖金支付賬戶也都是同樣的地址。從時(shí)間上來看,第一封這樣的勒索信可以追溯到幾個(gè)月以前。巧合的是,這個(gè)賬戶地址也與今年4月份CloudFlare發(fā)現(xiàn)的那家、既用Armada Collective又用LizardSquad做化名發(fā)送勒索郵件的組織相同。
因此CloudFlare在其初始報(bào)告中就聲稱,這個(gè)模仿組織只是徒有虛名,只會(huì)發(fā)發(fā)威脅郵件,實(shí)際上并沒有發(fā)起DDoS攻擊的能力。
看起來,要分辨郵件是否來自真正的Armada Collective組織還是很困難的。
所謂的Armada Collective敲詐組織很業(yè)余
從Delport剛剛收到的勒索郵件可以看出,郵件背后的組織還在攻擊策略中結(jié)合了新元素,這個(gè)新元素就是Cerber。
Cerber勒索軟件起源于俄羅斯,一開始還沒有跟DDoS一起結(jié)合使用。Cerber攻擊通常都發(fā)生的十分突然,其特色在于會(huì)將勒索內(nèi)容逐字逐句大聲讀出來給受到攻擊的人聽,告訴你需要支付贖金來解鎖你的文件。Cerber本身也是種“Ransomware-as-a-Service”型產(chǎn)品,想要發(fā)起勒索的人只需要將贖金按照一定的百分比上繳給軟件開發(fā)商,就可以隨意部署勒索軟件了。
如今,勒索組織越來越多,勒索軟件也越來越流行。所以這個(gè)自稱是Armada Collective的組織也認(rèn)為,將勒索軟件附在郵件里是提高知名度的好辦法。
這家組織的勒索軟件是這么寫的:“網(wǎng)絡(luò)中的所有電腦都會(huì)被攻擊——即加密了的Cerber勒索軟件。”(All the computers on your network will be attacked for Cerber – Crypto-Ransomware)
看到這封郵件的第一感覺,應(yīng)該是這個(gè)組織很明顯不是來自英語母語國(guó)家,其次,他們應(yīng)該根本就不懂Cerber代表著什么。
DDoS攻擊并不能將勒索軟件部署到網(wǎng)絡(luò)中。而且Web服務(wù)是基于Linux系統(tǒng)的,Cerber勒索軟件也無法感染Linux設(shè)備。如果真的要將Cerber裝上去,攻擊者必須入侵服務(wù)器。如果攻擊的黑客技術(shù)高到可以直接侵入你的服務(wù)器、進(jìn)入內(nèi)部網(wǎng)絡(luò),那他完全可以直接將內(nèi)部數(shù)據(jù)放到暗網(wǎng)拍賣,又何必要閑著沒事發(fā)封勒索軟件給你,難道就是為了炫耀么?這個(gè)組織大概只是想發(fā)發(fā)這種新的威脅郵件,來嚇唬一下受害者。
支付還是拒付,這是一個(gè)問題
9月份Delport收到勒索郵件之后,IBTimes(International Business Times)還為她做了一個(gè)專訪。Delport在采訪中回應(yīng),沒有要付贖金的打算。這家媒體還提到了另外一個(gè)收到勒索郵件的受害人,一位叫做Michael O’Connor的職業(yè)音樂家,他的選擇是直接將郵件上傳到英國(guó)警方的防欺詐網(wǎng)站上。
如果去查下勒索信里的比特幣賬戶,就會(huì)發(fā)現(xiàn)還沒有任何贖金的支付記錄。
我們的建議是,一旦網(wǎng)站的負(fù)責(zé)人收到類似的郵件,可以尋求DDoS緩解服務(wù)的幫助,畢竟不怕一萬,只怕萬一。從執(zhí)法機(jī)關(guān)的角度來說,無論是在現(xiàn)實(shí)生活中還是在網(wǎng)絡(luò)上,這種勒索要求贖金的案件都是最好不要支付贖金,不要滿足勒索者的要求。
像是Delport的情況,攻擊者就沒能像他們威脅的那樣對(duì)她的網(wǎng)站發(fā)起DDoS攻擊。下面就是勒索郵件的完整內(nèi)容。