Skydda både digitala tillgångar och bankkonton — så fungerar ransom DDoS

Cyberbrottslingar hittar ständigt nya sätt att öka effektiviteten och genomslagskraften på attacker.

Skydda både digitala tillgångar och bankkonton — så fungerar ransom DDoS

Dels utvecklas nya tekniker — men en annan tydlig trend är hur olika typer av befintliga internetattacker kombineras i helt nya sammansättningar.

Ransom DDoS är ett sådant exempel där en utpressningsattack (ransom) kombineras med en överbelastningsattack (DDoS/Distributed Denial of Service). Låt oss dyka ner i hur en typisk ransom DDoS-attack kan gå till.

Webinar: Trendspaningar kring internetsäkerhet

Ransomware vs Ransom DDoS
Ransom DDoS för tankarna till en cyberattack med ett liknande namn: ransomware. Ransomware är typ av attack där offret pressas på en lösensumma för att häva en oönskad kryptering av dess data och enheter. Ransom i ransom DDoS kommer från just utpressningsfaktorn och kravet på lösensumma. Även vid en ransom DDoS-attack kräver cyberbrottslingar pengar i utbyte mot att offret blir lämnade i fred — med skillnaden att en DDoS-attack används som hållhake istället för en malware-attack.

Attacken föregås av hot
Det hela börjar ofta med ett e-postmeddelande. Meddelandet skickas vanligtvis från en krypterad e-posttjänst — som t ex ProtonMail — cirka 15 minuter före en första DDoS-attack inleds. Vanligt förekommande är att den utsatta organisationen inte ens är medvetna om kravet på lösensumma då e-postmeddelandet ofta fastnar i företagets skräppostfilter eller att den som tar emot e-postmeddelandet ignorerar det, är upptagen eller är på semester. Lösensumman varierar beroende på angriparens avancemang men för de flesta ligger den mellan från 1 bitcoin (ca 270 kSEK) till över 20 bitcoin (ca 5,1 mSEK), med belopp som ökar om tidsfristen missas.

Den första attacken statuerar exempel
Den första attacken är vanligen en demonstration av cyberbrottslingens förmåga och den inträffar ofta redan 15 minuter efter hotet mottagits. Flera enheter används samtidigt för att kunna generera så stora mängder trafik mot en specifik webbplats eller server att de helt lamslås. Dessa attacker varierar i styrka. Vi har på Baffin Bay Networks observerat allt från några få Gbps till toppar på över 200 Gbps och de varar vanligtvis i ett par timmar.

Under dessa första attacker brukar oskyddade organisationer rapportera om prestandaproblem när de ansluter till virtuella privata nätverksgateways, e-postklienter, chattbaserade samarbetsplattformar (t.ex. Microsoft Teams) och andra viktiga tjänster. Attackerna riktas ofta mot infrastruktur och kommer från flera attackvektorer. Angripare övervakar dessutom ibland deras inverkan under attackens gång och “finjusterar” i realtid för att orsaka så stor skada som möjligt.

Om lösensumman inte betalas inom X antal dagar hotar cyberbrottslingen med en andra DDoS-attack som avser att allt kraftigare störa organisationens kärnverksamheten. Det finns sällan en kommunikationsväg eller möjlighet att förhandla med angriparen — utöver den som används för att skicka lösensumman till en bitcoinplånbok.

Så förhåller vi oss till ransom DDoS
Ransom DDoS är inget nytt i sig — men vi har däremot registrerat en ökning av dessa attacker under de senaste månaderna. Angriparna riktar sig mot organisationer som verkar i flera olika branscher, men i synnerhet utsatta är bolag inom finans, resor och e-handel. En anledning till att ransom DDoS ökar i popularitet hos cyberbrottslingar är att många företag än idag står med otillräckligt skydd för att kunna proaktivt stoppa en attack, och tvingas därför betala hundratusentals kronor i bitcoin. Det är helt enkelt lukrativt.

Nyckeln för att skydda sig mot ransom DDoS är att ha en intelligent skydd som med snabb, men hög precision kan skilja på bra och dålig trafik — även i väldigt stora mängder. Angriparna kan ibland försöka störa företags DNS-server och därmed äventyra dess förmåga att komma åt Internet. DNS-serverar hanteras ofta utanför organisationen av dedikerade leverantörer. Vissa DNS-leverantörer kanske inte har samma nivå av DDoS-skydd som företagets eget nätverk, medan andra DNS-leverantörer har sofistikerade förebyggande metoder på plats som inspekterar inkommande trafik, stoppar skadlig trafik och vidarebefordrar endast legitim trafik till organisationen.

Eftersom DDoS-attacker genererar så pass stora mängder trafik är det nödvändigt att skilja mellan normala och onormala trafikmönster. Dessa attacker måste snabbt identifieras och stoppas på baserat på data om normala trafikmönster och storlekar. Detta görs bäst av en molnbaserad threat protection service så att man säkerställa samma höga kvalité på skydd, oavsett var du lagrar dina tillgångar.

Stay safe out there!

Gästskribent: Ola Björling, Baffin Bay Networks