近期，全球多个行业的数千家企业机构受到DDoS攻击威胁，向其勒索比特币。自8月以来，负责提供安全数字化体验的智能边缘平台阿卡迈技术公司(Akamai Technologies, Inc.，以下简称：Akamai)(NASDAQ：AKAM)所监测到的来自声称是Armada Collective、Cozy Bear、Fancy Bear和Lazarus Group组织的攻击日渐增多。这些勒索要求与DDoS勒索团体过去所使用的方法并无大异。具体而言：

　　勒索信：

　　一开始，勒索组织会发出威胁性的电子邮件，警告如果公司不支付比特币，则将对公司发起DDoS攻击。勒索信的措辞与过去攻击活动中在媒体上公开的信件内容非常相似，并且与Akamai在2019年11月记录的最近一次DDoS勒索活动相似。

　　有些勒索信会警告说，如果公开披露勒索要求(即向媒体发布)，则将立即发起威胁中所提到的攻击。

　　“如果你向媒体报道此事并用我们的名字进行免费宣传，而不付给我们任何费用，那么我们会一直发起攻击，你们将承受很长时间的攻击。(原文即此)”——Armada Collective

　　勒索信还会提到声誉，警告即将发起的攻击不但会破坏基础设施，而且还会造成更大的影响。

　　“……没有人能够访问你的网站和其他联网服务。请注意，这还会严重影响你在客户心目中的声誉。[……]我们会完全毁掉你的声誉并让你的服务一直离线，直到你肯付钱为止。(原文即此)”——Fancy Bear

　　支付赎金：

　　在Akamai观察到的Armada Collective勒索要求中，最开始的赎金为5比特币，如果错过了最后期限，则增加到10比特币，此后每天增加5比特币。Fancy Bear最开始的赎金为20比特币，如果错过了最后期限，则增加到30比特币，此后每天增加10比特币。

　　大多数此类勒索要求一般会提出一定的金额，但威胁发起者也会心血来潮地提出其他财务条件。

　　主动攻击：

　　这些信件会明确受害者机构内的目标资产并承诺会进行一次小的“测试”攻击来证明情况的严重性。一些勒索信中声称，威胁发起者可以发动高达2 Tbps的DDoS攻击。

　　Akamai发现其网络上的一家客户遭到50 Gb/sec的攻击。该流量包括基于UDP的ARMS协议反射攻击。目前尚不清楚所使用的反射器数量。

　　Akamai的安全情报响应小组怀疑该勒索要求来自模仿者，他们利用知名攻击组织的名声作为恐吓手段来加快付款速度。

　　近期，Akamai发现北美、亚太地区以及欧洲、中东和非洲企业收到的勒索信日益增加。尽管一开始金融服务业是受威胁最大的行业，但勒索信最近将目标对准了其他行业的企业机构，包括商业服务、高科技、酒店、零售和旅游。

　　迄今为止，采取有效Prolexic DDoS缓解控制措施的Akamai客户并未经历这些威胁组织所威胁的服务中断。最近几周，Akamai缓解了50多次符合此类特征的攻击，并将继续与客户合作，采取0秒SLA主动缓解控制措施，这些措施能够非常有效地应对Akamai所观察到的攻击模式。

　　如果您的企业受到RDoS的威胁，Akamai建议您不要支付赎金，因为您不一定会遭到攻击，也无法保证支付赎金就能阻止DDoS攻击。您应该召集您的IT、运营、安全和客户沟通人员，确保自己做好准备并知道在遭到攻击时该怎么做。如果您需要帮助，Akamai一定会伸出援手。

　　Akamai提供用于帮助客户快速入门的紧急安全集成包，企业机构可拨打Akamai DDoS热线“+86-4006091609”启动该集成包。Akamai将立即采取措施对风险进行分类，使用合适的Akamai安全工具并执行我们的攻击事件应对程序。值得一提的是，近期，Akamai已成功地为数十家企业进行了紧急上线。在这些实例中，如果事先准备好GRE Tunnels所需的网络前缀，就能大大缩短上线时间。

　　现有的Akamai客户应联系自己的客户团队或联系“Akamai支持”部门，而托管式安全服务(MSS)客户应遵循他们与Akamai安全运营控制中心(SOCC)建立的现有流程。任何受到威胁的客户都将立即进入“高度戒备”状态，SOCC将对情况进行评估并作好应对攻击的准备。每个客户的情况都将根据其业务和应用需求加以调整。

　　值得注意的是，尽管Akamai迄今为止所观察到的大多数威胁均已被其Prolexic DDoS缓解服务所缓解，但根据最佳实践，企业还应在DNS和应用层部署综合全面的DDoS缓解措施，包括评估自身的DNS解决方案，最理想的是确保在遭到攻击时拥有辅助DNS服务，以及在网络应用防火墙(WAF)中落实速率控制和拒绝规则以管控大规模攻击。