南非银行分享与勒索软件作斗争的故事

简介:

2015年11月起,南非第一国家银行就在与垂涎金钱的网络罪犯做斗争。

南非银行分享与勒索软件作斗争的故事

2015年11月,南非第一国家银行收到了来自 Armada Collective 的勒索邮件,跟着就是一波戏弄性质的洪水攻击,类似某种能力证明和攻击宣言。

银行官方没有退缩。Radware最近发布的《全球应用&安全》调查报告称,勒索邮件是在下班时间发送到公司一个无人看顾的邮箱中的,银行在官员发现该邮件前就检测并缓解了试探洪水攻击。因为有混合DDoS缓解解决方案,洪水攻击没有产生任何影响,并被快速转移到清洗中心进行清除。

报告揭示:勒索攻击是如今最普遍的威胁——从2015年的25%增长到2016年的41%。是什么推动了如此巨大的增长?网络勒索可成为暴利“行业”。这种形式的勒索比以往更快、更简单、更便宜,留给受害者的响应窗口时间非常短,一晃眼就可能要承受系统中断、运营停滞的惨痛损失。

今时今日的勒索邮件攻击不同于普通勒索软件,可将公司数据当做人质,不见赎金不放数据。

一名网络架构师在报告中解释称:因为银行地处南非,与世界其他地方区隔开来,这就既蕴含了公司保护自己的能力(比如在转移攻击流量上的延迟),又限制了攻击者使用大规模攻击的能力;黑客在南非甚至搞不到半TB的流量。

试探攻击可能有300MB的流量。作为安全预防,受到洪水攻击和接到勒索邮件时,会在勒索截止日前,将网络流量导引到DDoS缓解厂商的清洗中心。执行勒索攻击的黑客应该会看到流量被转移,也就明白了发起试探攻击没有效果。

该银行也认为,自己向 Armada Collective 及其他勒索团伙发送了一个信号。“通过采取强力决定性行动,向黑客发出我们不会成为受害者的信息。”

2016年4月,该银行收到声称来自蜥蜴小队的勒索邮件,通过当地一个银行风险管理协会,确认是模仿犯而已。因为是恶作剧,该银行决定不转移流量,不过,他们确实受到了小型试探攻击,依赖Radware的应急响应团队进行了处理。

2016年起,攻击方法开始多样化,第一银行经历了四倍于过去的瞬时攻击井喷。同时,持续时间超过1小时的攻击在减少。趋势似乎在渐渐转向“打了就跑”的短时攻击。

但也不是所有的攻击都是瞬时攻击。2016年9月,该银行受到了一次较小型的攻击(2G-3Gbps),但持续时间长达4个多小时,且渐进发展几个阶段。银行官员注意到其中一些攻击是ping攻击。他们经历了16000个SYN连接的攻击(在南非已算相当大了),最后是靠内部DDoS防护应用缓解的。

在半SYN攻击后,HTTP洪水随之而来,源头约有2000个。当然,也被成功缓解了。不过,该银行对完全HTTPS洪水就束手无策了。

加密攻击,昭示出必须拥有专门的防护措施,来针对利用SSL标准绕过安全控制的攻击方式。通常情况下,该银行面对的是UDP分片攻击后跟着DNS反射攻击。那次案例中,却是被典型的SSL攻击袭击。

一般的SSL攻击每波只持续3-4分钟,一波紧跟一波密集发动。但那次的攻击持续了1.5小时,攻击消耗掉的计算资源给银行的防御系统造成了巨大压力。该银行产生了太多响应负载,将其外出连接逼近了上限,三倍于平时吞吐量。

经验教训

2016年见证了勒索威胁的爆炸式增长,衬托得其他类型的网络攻击都不显眼了。调查中,56%的公司都报告称自己是网络勒索的受害者,41%将勒索列为自身面临的最大网络威胁(2015年数字为25%)。可以从南非第一国家银行的案例吸取一些经验:

1. 限速分析加上行为分析的好处

过去,该银行测试了一个利用限速技术的DDoS缓解解决方案,发现使用行为分析能提供很大的优势。因为不会封住合法流量,行为分析使第一国家银行得以维持其服务水平。

2. 时间对缓解的重要性

通过拥有实时发展攻击特征码的能力,该银行能够在20秒内缓解攻击。

主要威胁

Radware发现了几个勒索型DoS攻击的主要执行团伙:

Armada Collective:或许是知名度最高的网络犯罪团伙。他们喜欢在发送勒索通知时顺带一次示威攻击,索要赎金一般在10-200比特币(约$3,600-$70,000)。只要超过支付时限,受害者的数据中心就会被超100Gbps的流量淹没。

明显的模仿犯开始冒用 Armada Collective 的名号;一个早期策略曾尝试向3家希腊银行勒索720万美元。

DD4BC:这个犯罪团伙的名字就是“为比特币而来的分布式拒绝服务”,2014年年中开始发起比特币勒索活动。最开始针对在线博彩行业,此后DD4BC将目标范围扩大到金融服务、娱乐和其他知名公司。

ezBTC Squad:该网络犯罪团伙没有使用常见的邮件消息,而是用推特作为投递其RDoS(勒索拒绝服务)的手段。

Kadyrovtsy:以车臣Kadyrov政权精英力量命名,是最新冒头的RDoS团伙,最近刚刚威胁过两家波兰银行和一家加拿大媒体公司。该团伙甚至还发动了一次15G-20Gbps的示威攻击来证明其能力,就像 Armada Collective 一样。

RedDoor:2016年3月第一次发动攻击。行动模式比较标准,就是用匿名电子邮件发送勒索消息,索要3比特币。受害公司只有24小时可以转账给某比特币账户。

小心模仿犯:模仿犯加重了RDoS麻烦。这些人发出虚假勒索邮件,希望能用最小的付出获得快钱。识别虚假勒索邮件有几条建议可供参考:

  • 评估赎金要求:Armada Collective 通常索要20比特币。其他勒索活动也在这个数量上下。虚假勒索通常赎金额度不定。事实上,低赎金索要信很有可能就是虚假勒索,希望他们的价格足够低,让受害者愿意支付而不是去寻求专业帮助。
  • 检查网络:真黑客通过在发出勒索通知的同时进行小型攻击,来证明自己的能力。如果网络活动发生改变,勒索信和威胁就可能是真的。
  • 看看组织结构:真黑客是组织良好的。而假黑客,连网站都没有,也没有官方账号。
  • 考虑目标:真黑客倾向于攻击一个行业内的多家公司。假黑客就没那么专注,逮谁给谁发勒索信,希望能赚点外快。


作者:nana

来源:51CTO

相关文章
「镁客早报」AMD上线区块链专题页面;苹果遭起诉,被指控侵犯11项视频专利权
谷歌修复Pixel 3系列无线充电速度提示不准确的问题;吉尔吉斯斯坦太空计划首次卫星发射,由女性主导众筹。
327 0
|
云安全 机器学习/深度学习 人工智能
金融安全资讯精选 2017年第十期 中国台湾远东银行遭黑客入侵被盗六千万美元,GDPR成了欧洲企业“最担心的挑战”,CISO在企业中的位置会变得更加重要
中国台湾远东银行遭黑客入侵被盗六千万美元,GDPR成了欧洲企业“最担心的挑战”,CISO在企业中的位置会变得更加重要,DNSMASQ多高危漏洞公告,阿里云安全数据智能团队负责人观点:安全算法,时代风口的交叉点
2128 0
|
安全
火眼急眼 将披露其产品漏洞的公司告上法庭
本文讲的是火眼急眼 将披露其产品漏洞的公司告上法庭,这场两个安全公司之间的口水战显示出漏洞提交是一件非常敏感的事,尤其是流行软件产品的漏洞。
1183 0
|
云安全 安全 网络安全
金融安全资讯精选 2017年第四期:全球安全支出走高,外国银行再遭黑客袭击
Gartner:全球安全支出2017年可达864亿美元;匈牙利三大国有银行连遭黑客网络钓鱼攻击;开源CMS Drupal 8发布更新修复多处高危漏洞补丁;IDC云安全评估: 阿里云为最重视安全建设的云服务提供商
2331 0
下一篇
无影云桌面