Как реагировать на DDoS-вымогательства?

Распределенные атаки по типу отказ оборудования, направленные на подавление и отключение критически важных сетевых систем организации-жертвы, достигли в 2020 году беспрецедентного распространения. Впервые в истории ежегодное количество DDoS-атак превысило 10-миллионный порог. Группа разработки и реагирования ATLAS компании NETSCOUT (ASERT) за год зафиксировала 10 089 687 атак, что почти на 1,6 миллиона больше, чем в 2019 году, когда их было 8,5 миллиона.

В середине августа 2020 года злоумышленники организовали другую DDoS активность – глобальную кампанию по вымогательству Lazarus Bear Armada (LBA), также известную как «DDoS с выкупом», или RDDoS. В этом типе атаки киберпреступники угрожают запустить DDoS-атаку если требование выкупа не будет выполнено к указанному сроку. Иногда злоумышленники, чтобы показать свою мощь, инициируют демонстрационную DDoS-атаку против отдельных сервисов или приложений.

Количество DDoS-вымогательств растет и вместе с этим растут риски для неподготовленных организаций. Поскольку такая атака может нанести вред онлайн-приложениям и сервисам, то лучше всего защитить жизненно важные активы и принять меры прежде, чем случится сама атака. Правоохранительные органы и специалисты по безопасности советуют не платить выкуп. Вместо этого деньги лучше потратить на создание надежной службы защиты от DDoS-атак.

Как защититься от DDoS-вымогательства

Большинство методов и целей DDoS-атак хорошо известны, поэтому организации могут предотвратить атаку, соблюдая профилактические меры защиты и борьбы с DDoS. Опять же, лучше всего принять меры по смягчению последствий до возникновения угрозы.

Специалисты рекомендуют следующие шаги:

Компании с важными для бизнеса общедоступными интернет-ресурсами должны обеспечивать внедрение всей соответствующей сетевой инфраструктуры, архитектуры и передовых методов эксплуатации (BCP – best current practices), включая ситуативно специфичные политики доступа к сети, которые допускают интернет-трафик только по определённым IP-протоколам и портам. Доступ в Интернет к сетевому трафику со стороны персонала организации должен быть отделен от Интернет-трафика общедоступных Интернет-ресурсов и обслуживаться через отдельные восходящие транзитные каналы Интернет.
Критически важные вспомогательные услуги, вроде надёжного DNS, должны быть спроектированы, развернуты и эксплуатироваться в соответствии со всеми соответствующими методами эксплуатации BCP.
После получения любых требований о платежах за DDoS-вымогательство организации-жертвы должны немедленно связаться со своими партнерами, транзитными интернет-провайдерами или другими организациями, предоставляющими важные интернет-сервисы (например, авторизованные DNS-хосты), а также с соответствующими правоохранительными организациями. Все, кто контактировал с организацией-жертвой должны убедиться, что их защитные программы от DDoS-атак работают и проверены, а их IT-службы наготове.
Важно периодически проводить проверку защиты от DDoS-атак, чтобы гарантировать добавление в план защиты любых изменений на серверах, в службах или приложениях. Интеллектуальные возможности по смягчению последствий DDoS-атак должны быть объединены с облачными или транзитными сервисами, чтобы обеспечить максимальную скорость и гибкость во время атаки.
Все организации должны ознакомиться с подробностями предыдущих наиболее известных кампаний по DDoS-вымогательству, чтобы подготовиться к будущим угрозам как можно лучше.

Как гласит старая пословица, унция профилактики стоит фунта лечения.

Появились вопросы или нужна консультация? Обращайтесь!

Антон Кочуков