勒索軟件占據網絡犯罪生態中心舞臺位置，僅去年就造成10億+美元的全球損失，為網絡罪犯賺取幾億美元的利潤。同時，傳統上被用來勒索企業的分布式拒絕服務（DDoS）攻擊亦卷土重來。勒索軟件組織甚至使用DDoS攻擊增加受害者支付贖金的壓力。

　　根據近期多家內容分發網絡和DDoS緩解提供商的年度報告，2020年是DDoS攻擊破紀錄的一年，攻擊數量、攻擊規模和所用攻擊方法數量均突破歷史記錄。DDoS勒索的死灰復燃可能是受新冠肺炎疫情的驅動：疫情迫使公司為其大多數員工啟用遠程辦公功能，導致公司更易遭受業務運營中斷威脅，在攻擊者眼中也就成了更愿意支付勒索費的目標。

　　2021年延續了這一趨勢。今年2月，阿卡邁錄得六起史上最大規模DDoS攻擊中的三起，2021年頭三個月里超過50Gbps的DDoS攻擊數量就已經比2019年全年還多了。阿卡邁估測，沒有設置DDoS緩解措施的絕大多數在線服務，遭遇50Gbps以上的攻擊時，會因帶寬飽和而掉線。

　　DDoS勒索回歸

　　DDoS攻擊背后的動機各種各樣：從無良企業主想要中斷競爭對手的服務，到激進黑客想要向自己反對的組織表明主張，再到不同團體之間的競爭而造成的單純破壞行為。然而，勒索一直是推動此類非法活動的最大因素，而且可以說是最賺錢的一個因素，因為發起DDoS攻擊實在要不了多少投資。DDoS租賃服務的費用甚至低到每次攻擊僅7美元，幾乎任何人都負擔得起。

　　事實上，應用和網絡性能監測公司Netscout Systems的數據表明，網絡罪犯向潛在客戶展示其DDoS能力才是此類攻擊的頭號動機，其次是與在線游戲相關的動機（疫情期間很多人都靠這個打發時間），然后才是勒索。攻擊者也常常用DDoS攻擊作為偽裝，讓公司IT和安全團隊無暇顧及檢測其網絡上的其他惡意活動，比如基礎設施入侵和數據滲漏。

　　2020年8月開始，勒索DDoS（RDDoS）事件案例激增，原因是多個勒索軟件團伙將DDoS用作額外的勒索技術，但也有部分原因在于某個網絡犯罪團伙在偽裝俄羅斯奇幻熊（Fancy Bear）或朝鮮Lazarus Group等黑客國家隊發起攻擊。這個名為Lazarus Bear Armada （LBA）的網絡犯罪團伙首先針對選定目標發起一波范圍在50Gbps到300Gbps之間的演示性DDoS攻擊。然后，該團伙發出勒索電子郵件，宣稱擁有2Tbps規模DDoS攻擊的能力，以此勒索目標公司支付比特幣。在這些電子郵件中，攻擊者宣稱自己隸屬常見諸于新聞報道的幾個著名網絡犯罪組織，借此提高自身可信度。很多案例中，即使目標公司未支付贖金，該團伙也沒有繼續發起更多攻擊，但有時候確實會再次攻擊。而且，一段時間后，他們還會回過頭來再咬一口之前的受害者。

　　該團伙主要針對世界范圍內金融、零售、旅游和電子商務行業的企業，似乎還會做偵察和規劃。他們會識別受害公司可能監測的非通用電子郵件地址，并以關鍵但不明顯的應用、服務和VPN集線器為目標，表明其規劃水平比較高級。多家安全供應商和美國聯邦調查局（FBI）已經就該團伙的活動發布過警示。

　　不同于僅依賴RDDoS從企業勒索金錢的LBA等團伙，勒索軟件犯罪組織將DDoS作為說服受害者支付原始贖金的額外砝碼，與使用數據泄露作為威脅的方式異曲同工。換句話說，一些勒索軟件攻擊目前已經演變為綜合了加密、數據盜竊和DDoS攻擊的三重威脅。以這種方式使用或聲稱要使用DDoS攻擊的一些勒索軟件團伙包括Avaddon、SunCrypt、Ragnar Locker和REvil。

　　與勒索軟件攻擊的情況類似，我們很難說清楚到底有多少RDDoS受害者支付了贖金，但此類攻擊的數量、規模和頻率一直在上升的事實，充分說明了這一活動足夠有利可圖。這或許是因為DDoS租賃服務遍地開花且不需要很多技術知識，導致其準入門檻比勒索軟件本身要低得多。Cloudflare在最近的報告中寫道：“2021年第一季度，遭遇DDoS攻擊的受訪Cloudflare客戶中，有13%表示遭到RDDoS攻擊勒索，或提前收到了威脅。”

　　阿卡邁觀測到，遭攻擊公司的數量比去年同期增加了57%；Netscout則報告稱，年度DDoS攻擊數量首次超過了1000萬的閾值。

　　上月，阿卡邁研究人員在報告中稱：“堅守可獲得巨額比特幣支付的希望，網絡罪犯已經開始加大努力和擴展攻擊帶寬，使得DDoS勒索已成舊聞的說法通通煙消云散。”最近一次勒索攻擊的峰值超過800Gbps，目標是一家歐洲賭博公司，這是自2020年8月中旬勒索攻擊普遍回歸以來，我們見過的規模最大、最復雜的一次。自那次攻擊開始，武力展示型攻擊已從8月的200+Gbps增長到9月中旬的500+Gbps，然后在2021年2月膨脹到800+Gbps。“

　　新攻擊方法加入導致攻擊復雜度上升

　　阿卡邁透露，去年觀測到的DDoS攻擊中近三分之二包含多種攻擊方法，有些甚至含有14種之多。Netscout也報告稱多方法攻擊顯著上升，尤其是2020年末，以及超過15種不同方法的攻擊。該公司觀測到的攻擊中還有綜合使用了25種不同方法的。

　　濫用多個UDP類協議的DDoS反射和放大攻擊依然非常流行。這種攻擊技術中，攻擊者以偽造的源IP地址向互聯網上防護不周的服務器發送數據包，迫使這些服務器將回復發送給既定受害者而不是攻擊者本人。這能達成兩個目的：一是反射，因為受害者看到的是來自合法服務器的流量，而不是來自攻擊者僵尸主機的流量；二是放大，因為攻擊者可以濫用某些協議為短查詢產生更大的回復包，放大攻擊者可以觸發的數據包的規模或頻率。DDoS攻擊的規模有兩種計算方式：按能夠飽和帶寬的每秒流量大小計算，或者用能夠飽和服務器處理能力的每秒數據包數量表示。

　　2020年最常見的DDoS攻擊方法與過去幾年保持一致，都是DNS放大攻擊。常用于放大攻擊的其他協議包括網絡時間協議（NTP）、無連接輕型目錄訪問協議（CLDAP）、簡單服務發現協議（SSDP）和Web服務發現（WDS或WS-DD）、基于UDP的遠程桌面協議（RDP）和數據報傳輸層安全（DTLS）。

　　攻擊者經常尋找可以繞過現有防御措施和緩解策略的新攻擊方法和協議。今年3月，阿卡邁首次觀測到依賴數據報擁塞控制協議（DCCP）的新型攻擊方法。數據報擁塞控制協議是類似于UDP的網絡數據傳輸協議，但具備UDP所欠缺的擁塞和流量控制功能。目前為止，阿卡邁觀測到的此類攻擊是典型的流量洪水，旨在繞過基于UDP和TCP的緩解措施。該協議在技術上也可以用于反射和放大攻擊場景，但互聯網上使用該協議的服務器不多，不足以濫用來反射流量。

　　Netscout的研究人員總結道：”可以濫用的UDP開源和商業應用與服務對攻擊者來說是寶貴的資產，他們挖掘此類資產以發現新的反射/放大DDoS攻擊方法，從而推動新一波攻擊。“此類案例包括Plex Media Server的SSDP實現，以及Jenkins軟件開發自動化服務器所用的UDP網絡發現協議。

　　在Netscout看來，去年常見的其他DDoS攻擊方法包括TCP ACK、TCP SYN、TCP reset、TCP ACK/SYN放大和DNS洪水。

　　DDoS僵尸網絡誘捕物聯網和移動設備

　　由被黑設備和服務器組成的僵尸網絡是DDoS攻擊背后的驅動力。感染網絡設備的Mirai惡意軟件變種仍在2020年主流DDoS僵尸網絡中占據顯著位置。這些設備常被攻擊者通過弱憑證或默認憑證入侵，Netscout的觀測結果表明，相比2019年，Telnet和Secure Shell（SSH）暴力破解攻擊增加了42%。

　　此外，被黑Android移動設備也被用于發起DDoS攻擊。2月，中國安全公司奇虎360網絡安全部門Netlab的研究人員報告了名為Matryosh的新僵尸網絡，該僵尸網絡通過Android設備暴露在互聯網上的ADB（Android調試橋）接口入侵設備。在Netscout的年度云與互聯網服務提供商調查報告中，近四分之一的受訪者表示看到移動設備被用于發起DDoS設備。