Hiện nay, DDoS ransom được xem là một trong những mối đe doạ có ảnh hưởng sâu rộng với các doanh nghiệp là tấn công DDoS có tống tiền. Trong các cuộc tấn công DDoS ransom, bên tấn công sẽ đe hoạ, tống tiền hoặc các hành vi tương tự, nếu bên mục tiêu không đáp ứng, chúng sẽ khiến hệ thống mạng hoặc cơ sở hạ tầng server của mục tiêu bị gián đoạn hoặc hư hỏng. Với các thủ đoạn bất chính, chúng sẽ làm mọi cách để có thể đạt mục đích. Hãy cùng Vietnix tham khảo thêm về chủ đề DDoS ransom qua bài viết dưới đây.
Giới thiệu
Cuộc tấn công DDoS là một hình thức tấn công làm cạn kiệt tài nguyên của ứng dụng, website hoặc hệ thống mạng để người dùng hợp lệ không thể nhận được phản hồi từ dịch vụ. Các cuộc tấn công DDoS gửi một lượng lớn lưu lượng truy cập mạng rác đến mục tiêu của chúng, giống như tình trạng ùn tắc giao thông làm tắc nghẽn đường cao tốc.
Trong tấn công DDoS, kẻ tấn công sử dụng nhiều hệ thống, thường là máy tính hoặc thiết bị kết nối mạng bị nhiễm malware, để gửi một lượng lớn yêu cầu truy cập đồng thời đến server mục tiêu. Số lượng yêu cầu này vượt quá khả năng xử lý của server, dẫn đến việc server không thể phục vụ yêu cầu hợp lệ từ người dùng thực tế.
Các cuộc tấn công DDoS được “phân tán – distributed”, nghĩa là chúng gửi lưu lượng truy cập từ nhiều nguồn khác nhau (thường là các nguồn giả mạo), khiến chúng khó ngăn chặn hơn so với cuộc tấn công từ chối dịch vụ (DoS) xuất phát từ một nguồn duy nhất.
Các cuộc tấn công DDoS có thể có tác động lớn đến hoạt động của một tổ chức. Đối với nhiều doanh nghiệp, bất kỳ thời gian ngừng hoạt động nào cũng đồng nghĩa với việc mất doanh thu. Các tổ chức cũng có thể mất uy tín nếu họ ngoại tuyến trong một thời gian dài.
Cách hoạt động của tấn công DDoS ransom
Trên thực tế, hầu hết các cuộc tấn công DDoS ransom đều sẽ bắt đầu với thông báo đe doạ và đi kèm tống tiền đến mục tiêu. Có một số trường hợp để tăng độ hiệu quả, chúng sẽ thực hiện vài minh hoạ nhỏ để mục tiêu biết được sự nghiêm trọng của tình hình lúc này trước khi tống tiền. Với tình huống đe doạ trực tiếp và đối tượng quyết định tấn công thì diễn biến tấn công sẽ trả qua các bước sau:
- Chuẩn bị: Trước tiên, kẻ tấn công phải xây dựng hoặc thuê một mạng botnet, tức là một mạng lưới các máy tính bị nhiễm malware mà kẻ tấn công có thể điều khiển từ xa. Mỗi máy tính trong botnet có thể được sử dụng để gửi yêu cầu giả mạo đến server mục tiêu.
- Phát động tấn công: Khi đã sẵn sàng, kẻ tấn công sử dụng botnet để gửi một lượng lớn dữ liệu hoặc yêu cầu đến server mục tiêu. Mục đích là để quá tải hệ thống, làm cho nó không thể phản hồi lại các yêu cầu hợp lệ từ người dùng thực sự. Điều này gây ra sự cố từ chối dịch vụ, khiến website hoặc dịch vụ trực tuyến không thể truy cập được.
- Yêu cầu tiền chuộc: Song song với việc gây ra tấn công, kẻ tấn công gửi một thông báo đến phía mục tiêu, yêu cầu họ phải trả một khoản tiền chuộc để ngừng cuộc tấn công. Thông thường, yêu cầu này đi kèm với hướng dẫn về cách thanh toán, thường là qua Bitcoin hoặc một loại tiền điện tử khác để ẩn danh.
- Duy trì áp lực: Nếu bên mục tiêu từ chối, không đáp ứng yêu cầu, kẻ tấn công có thể tiếp tục duy trì hoặc tăng cường tấn công để tăng áp lực. Điều này có thể khiến thiệt hại tài chính và uy tín cho mục tiêu gia tăng.
- Giải quyết: Nạn nhân của tấn công có thể lựa chọn trả tiền chuộc hoặc cố gắng giảm thiểu tấn công bằng cách sử dụng các dịch vụ chống DDoS, thay đổi cấu hình hệ thống, hoặc thậm chí chuyển đổi nhà cung cấp dịch vụ internet. Việc trả tiền chuộc không đảm bảo rằng tấn công sẽ chấm dứt hoặc không tái diễn.
Các yếu tố có trong tấn công DDoS ransom
Cảnh báo tấn công sẽ được bên tấn công gửi đi qua bên mục tiêu trước hoặc trong cuộc tấn công DDoS diễn ra. Hình thức dễ thấy nhất là qua email, chúng cũng sẽ gửi nhiều tin nhắn khác nhau, đổi lúc cũng có thể tiết lộ một chút về các hành động hoặc yêu cầu cụ thể.
Các mối đe doạ:
Các mối đe doạ có thể có một số dạng khác nhau như sau:
- Bên tấn công có thể tự nhận trách nhiệm về cuộc tấn công DDoS trước đó và đe dọa một cuộc tấn công khác.
- Chúng có thể nhận trách nhiệm về một cuộc tấn công DDoS hiện đang được tiến hành nhằm vào mục tiêu.
- Chúng có thể đe dọa một cuộc tấn công DDoS trong tương lai, vào một thời điểm nhất định hoặc vào một thời điểm không xác định.
Chi tiết về tấn công có cảnh báo
Để làm cho mối đe dọa có tính hiệu quả cao hơn, kẻ tấn công có thể tuyên bố có khả năng thực hiện một cuộc tấn công DDoS ở quy mô và thời gian nhất định. Tuy nhiên các lời cảnh báo này có thể không chính xác 100%, chỉ vì một bên nào đó tuyên bố có khả năng tấn công 3 Tbps kéo dài 24 giờ không có nghĩa là họ thực sự có đủ nguồn lực để thực hiện nó.
Hợp tác, liên kết
Để tăng thêm độ tin cậy cho các mối đe dọa của mình, kẻ tấn công có thể tuyên bố liên kết với các nhóm “hacker” nổi tiếng như Fancy Bear, Cosy Bear, Lazarus Group, Armada Collective hoặc các nhóm khác. Những tuyên bố này có thể đúng nhưng rất khó xác minh. Đó có thể là một cái bẫy hoặc trò lừa đảo từ kẻ tấn công.
Tống tiền
Thông báo yêu cầu tiền chuộc sẽ thanh toán dưới một số cách. Trong đó cách có lợi và phổ biến nhất cho bên tấn công là bằng đồng Bitcoin, đôi lúc chúng vẫn yêu cầu trả tiền bằng các loại tiền kĩ thuật số hoặc tiền chính thống (USD hay Euro,…) và đi kèm hướng dẫn.
Thời hạn
Cuối cùng, để đáp ứng nhu cầu cấp thiết của bên tấn công và tăng khả năng bên mục tiêu sẽ tuân thủ, thông báo đòi tiền chuộc có thể bao gồm thời hạn bắt buộc để giao tiền chuộc trước khi cuộc tấn công bị đe dọa bắt đầu hoặc để cuộc tấn công hiện tại kết thúc. Một số kẻ tấn công sẽ nói thêm rằng số tiền thanh toán được yêu cầu sẽ tăng lên hàng giờ hoặc hàng ngày sau thời hạn nhất định.
Có nên đáp ứng yêu cầu tống tiền ?
Câu trả lời sẽ là Không. Việc thanh toán tiền chuộc không hề đảm bảo rằng bên tấn công sẽ ngừng tấn công hay không quay lại vào lần tới mà khiến cho mục tiêu trở nên dễ bị tấn công với mức độ nguy hiểm cao hơn vì kết quả thấy được mục tiêu dễ dàng thoả hiệp các yêu cầu của tội phạm.
Bên mục tiêu sẽ bị thiệt hại lớn còn phía đối tượng có được nguồn lực để tiếp tục hành vi của mình trong tương lai. Lưu ý rằng không hẳn các cảnh báo, tuyên bố đưa ra từ đối tượng tấn công là đáng tin cậy, như đã nói, chúng hoàn toàn có thể chỉ là trò lừa đảo.
Phía mục tiêu, nạn nhân bị tán công DDoS cần phải báo cơ quan chức năng hay tổ chức có thẩm quyền để được hỗ trợ ứng phó và áp dụng các biện pháp tự bảo vệ mình trước các cuộc tấn công tiềm ẩn.
Các cuộc tấn công DDoS ransom có đáng tin cậy ?
Tất cả các mối đe doạ về an ninh cần được xem xét một cách thận trọng, nghiêm túc. Trên thực tế vẫn có một số vụ việc tấn công DDoS ransom là tin giả, việc viết và gửi email thì không có gì khó khăn cả, nhưng điều này không đồng nghĩa là các vụ việc khác cũng như thế. Một cuộc tấn công DDoS sẽ đòi hỏi nhiều tài nguyên hơn để duy trì, quản lý và kích hoạt một mạng lưới lớn gồm các thiết bị bị xâm nhập (được gọi là mạng botnet ) nhằm thực hiện các cuộc tấn công DDoS lớn.
Hiện nay đã có các dịch vụ thuê tấn công DDoS sẵn sàng trên “dark web” và chỉ cần ký hợp đồng với một trong các dịch vụ này là đã có thể tiến hành ngay, Dĩ nhiên, bất kì dịch vụ nào cũng có cái giá tương xứng, các đối tượng tấn công sẽ phải bỏ ra chi phí cho những việc này và sẽ kiếm lại thông qua số tiền mà chúng tống tiền mục tiêu. Ngoài ra chúng cũng phải tính toán đến việc bên nạn nhân có khả năng trả tiền chuộc hoặc có đồng ý đáp ứng các con số đã đưa ra hay không.
Tuy nhiên thay vì ngồi đánh giá các con số hay mức độ tin cậy về các lời cảnh báo, hãy áp dụng các biện pháp ứng phó, bảo vệ như các dịch vụ chống DDoS,… để giữ an toàn cho hệ thống mạng và website bất kể tình huống xảy ra như thế nào.
Các điểm khác biệt giữa ransomware và DDoS ransom
Ransomware là một hình thức tống tiền khác trên mạng Internet. Chúng là phần mềm có hại mã hoá hệ thống và cơ sở dữ liệu của mục tiêu, không ai có thể sử dụng được. Lúc này kẻ tấn công sẽ yêu cầu tiền chuộc đổi lấy cách giải mã hay các yêu cầu có lợi cho chung và khi được đáp ứng, chúng sẽ trả lại quyền kiểm soát hệ thống.
Dưới đây là bảng so sánh giữa Ransomware và DDoS ransom:
| Ransomware | DDoS ransom | |
| Phương thức hoạt động | Từ chối dữ liệu bởi các script đáng ngờ | Từ chối dịch vụ bằng các botnet |
| Điều kiện truy cập | Từ trong hệ thống | Cần kiến thức về IP, URL |
| Yêu cầu chuyên môn | Trung bình/Cao | Thấp |
Phần mềm cần phải được đưa vào hệ thống server, mạng nội bộ bằng cách nào đó “thủ công”, cũng có thể giả mạo email lừa đảo khi này chúng sẽ len lỏi vào hệ thống để bắt đầu hoạt động.
DDoS ransom lại không hoạt động theo cách trên, mục đích chính của hình thức này vẫn là khiến hệ thống xảy ra hiện tượng quá tải và từ chối dịch vụ. Nó cũng không yêu cầu kẻ tấn công phải có quyền truy cập vào hệ thống nội bộ của doanh nghiệp trước khi thực hiện.
Kết luận
Qua bài viết này hy vọng đã giúp bạn hiểu hơn về hình thức tấn công DDoS ransom hiện nay có thể xảy ra. Từ đó trang bị cho bản thân các kiến thức cũng như các giải pháp để đối phó, giảm thiểu các hành vi tấn công DDoS trong tương lai. Đừng ngần ngại để lại bình luận bên dưới và đội ngũ admin Vietnix có thể hỗ trợ bạn sớm nhất. Ngoài ra các bạn có thể tham khảo và tìm hiểu thêm về chủ đề DDoS ở các bài viết tiếp theo của Vietnix để tích luỹ kiến thức cho chính mình.
