內建勒索信的 DDoS 攻擊,以每秒多達 250 萬個請求的洪流襲捲歐美上市公司

作者 | 發布日期 2022 年 03 月 08 日 8:45 | 分類 網路 , 資訊安全 Telegram share ! follow us in feedly


愈來愈多駭客透過大量連網在線裝置集結而成的 Botnet 殭屍網路,發動勒索式 DDoS 攻擊,這已成為當前最常見的惡意攻擊型式之一。日前網路安全公司 Imperva 宣布,成功緩解一起對某個不知名網站發動每秒請求數達驚人 250 萬 RPS(Requests per Second)的勒索式 DDoS 分散阻斷服務攻擊。有趣的是,攻擊將勒索信直接內嵌在攻擊本身 URL 請求中。 

這起勒索式 DDoS 攻擊背後殭屍網路的最大組成來源來自印尼,其次為美國、中國、巴西、印度、哥倫比亞、俄羅斯、泰國、墨西哥與阿根廷。被攻擊網站表示,收到許多攻擊本身的勒索信,駭客要求支付比特幣,以免服務中斷太久造成龐大市值損失。

攻擊者自稱是惡名昭彰的勒索軟體即服務集團 Revil,但集團今年 1 月初因旗下許多攻擊服務營運人員遭俄羅斯執法單位逮捕後元氣大傷。不過經 Imperva 蒐集的證據指出,這起 DDoS 攻擊源自  Mēris 殭屍網路,仍持續運用 Mikrotik 路由器已修復的安全漏洞(CVE-2018-14847),對特定目標發動攻擊(包括去年 9 月遭到攻擊的俄羅斯最大入口網站 Yandex)。

威脅發動者特別對專注銷售與通訊商業網站感興趣,且攻擊目標幾乎清一色都是歐美上市公司,駭客就是利用 DDoS 攻擊會對公司股價造成影響來勒索。另一個值得關注的地方就是,這些惡意攻擊者首次將名為「TCP Middlebox Reflection」的全新放大攻擊技術用來攻擊金融、旅遊、遊戲、媒體與 Web 代管服務產業。

(首圖來源:Imperva