2020年9月28日--近期，全球多個行業的數千家企業機構受到DDoS攻擊威脅，向其勒索比特幣。自8月以來，負責提供安全數字化體驗的智能邊緣平臺 阿卡邁技術公司（Akamai Technologies, Inc.，以下簡稱：Akamai） （NASDAQ：AKAM）所監測到的來自聲稱是Armada Collective、Cozy Bear、Fancy Bear和Lazarus Group組織的攻擊日漸增多。這些勒索要求與DDoS勒索團體過去所使用的方法并無大異。具體而言：

　　勒索信：

　　一開始，勒索組織會發出威脅性的電子郵件，警告如果公司不支付比特幣，則將對公司發起DDoS攻擊。勒索信的措辭與過去攻擊活動中在媒體上公開的信件內容非常相似，并且與Akamai在2019年11月記錄的最近一次DDoS勒索活動 相似。

　　有些勒索信會警告說，如果公開披露勒索要求（即向媒體發布），則將立即發起威脅中所提到的攻擊。

　　“如果你向媒體報道此事并用我們的名字進行免費宣傳，而不付給我們任何費用，那么我們會一直發起攻擊，你們將承受很長時間的攻擊。（原文即此）”--Armada Collective

　　勒索信還會提到聲譽，警告即將發起的攻擊不但會破壞基礎設施，而且還會造成更大的影響。

　　“……沒有人能夠訪問你的網站和其他聯網服務。請注意，這還會嚴重影響你在客戶心目中的聲譽。[……]我們會完全毀掉你的聲譽并讓你的服務一直離線，直到你肯付錢為止。（原文即此）”--Fancy Bear

　　支付贖金：

　　在Akamai觀察到的Armada Collective勒索要求中，最開始的贖金為5比特幣，如果錯過了最后期限，則增加到10比特幣，此后每天增加5比特幣。Fancy Bear最開始的贖金為20比特幣，如果錯過了最后期限，則增加到30比特幣，此后每天增加10比特幣。

　　大多數此類勒索要求一般會提出一定的金額，但威脅發起者也會心血來潮地提出其他財務條件。

　　主動攻擊：

　　這些信件會明確受害者機構內的目標資產并承諾會進行一次小的“測試”攻擊來證明情況的嚴重性。一些勒索信中聲稱，威脅發起者可以發動高達2 Tbps的DDoS攻擊。

　　Akamai發現其網絡上的一家客戶遭到50 Gb/sec的攻擊。該流量包括基于UDP的ARMS協議反射攻擊。目前尚不清楚所使用的反射器數量。

　　Akamai的安全情報響應小組懷疑該勒索要求來自模仿者，他們利用知名攻擊組織的名聲作為恐嚇手段來加快付款速度。

　　近期，Akamai發現北美、亞太地區以及歐洲、中東和非洲企業收到的勒索信日益增加。盡管一開始金融服務業是受威脅最大的行業，但勒索信最近將目標對準了其他行業的企業機構，包括商業服務、高科技、酒店、零售和旅游。

　　迄今為止，采取有效Prolexic DDoS緩解控制措施的Akamai客戶并未經歷這些威脅組織所威脅的服務中斷。最近幾周，Akamai緩解了50多次符合此類特征的攻擊，并將繼續與客戶合作，采取0秒SLA主動緩解控制措施，這些措施能夠非常有效地應對Akamai所觀察到的攻擊模式。

　　如果您的企業受到RDoS的威脅，Akamai建議您不要支付贖金 ，因為您不一定會遭到攻擊，也無法保證支付贖金就能阻止DDoS攻擊。您應該召集您的IT、運營、安全和客戶溝通人員，確保自己做好準備并知道在遭到攻擊時該怎么做 。如果您需要幫助，Akamai一定會伸出援手。

　　Akamai提供用于幫助客戶快速入門的緊急安全集成包，企業機構可撥打Akamai DDoS熱線“+86-4006091609”啟動該集成包。Akamai將立即采取措施對風險進行分類，使用合適的Akamai安全工具并執行我們的攻擊事件應對程序。值得一提的是，近期，Akamai已成功地為數十家企業進行了緊急上線。在這些實例中，如果事先準備好GRE Tunnels所需的網絡前綴，就能大大縮短上線時間。

　　現有的Akamai客戶應聯系自己的客戶團隊或聯系“Akamai支持 ”部門，而托管式安全服務（MSS）客戶應遵循他們與Akamai安全運營控制中心（SOCC）建立的現有流程。任何受到威脅的客戶都將立即進入“高度戒備”狀態，SOCC將對情況進行評估并作好應對攻擊的準備。每個客戶的情況都將根據其業務和應用需求加以調整。

　　值得注意的是，盡管Akamai迄今為止所觀察到的大多數威脅均已被其Prolexic DDoS緩解服務所緩解，但根據最佳實踐，企業還應在DNS和應用層部署綜合全面的DDoS緩解措施，包括評估自身的DNS解決方案，最理想的是確保在遭到攻擊時擁有輔助DNS服務，以及在網絡應用防火墻（WAF）中落實速率控制和拒絕規則以管控大規模攻擊。