DDoS‑шантаж против серверов: как общаться с атакующими и чего не делать

Ваш сервер подвергся DDoS-атаке с требованием выкупа? Узнайте, как правильно вести себя в ситуации DDoS-шантажа, чтобы минимизировать ущерб и защитить свои данные. Мы расскажем о тактике злоумышленников и дадим практические советы, чего категорически нельзя делать при общении с атакующими.

Что вы узнаете

• Что такое DDoS-шантаж и как он работает
• Почему нельзя платить выкуп злоумышленникам
• Как правильно реагировать на DDoS-атаку
• Какие меры предпринять для защиты сервера
• Как собрать доказательства для правоохранительных органов

Что такое DDoS-шантаж и как он работает?

DDoS-шантаж (Distributed Denial of Service extortion) – это киберпреступная схема, при которой злоумышленники организуют DDoS-атаку на сервер или сетевую инфраструктуру жертвы и требуют выкуп за прекращение атаки. Цель – парализовать работу сервиса, вызвав отказ в обслуживании для легитимных пользователей, и вынудить владельца заплатить, чтобы восстановить нормальную работу.

Как это происходит?

Злоумышленники проводят короткую, но мощную DDoS-атаку, чтобы продемонстрировать свои возможности.
Отправляют сообщение с требованием выкупа, угрожая продолжить или усилить атаку, если деньги не будут выплачены в установленный срок. Часто указывается криптовалютный кошелек для перевода средств.
Если выкуп не выплачивается, атака продолжается, нанося ущерб репутации, финансам и доступности сервиса.

 Пример сообщения от злоумышленников

                                WARNING: Your server is under DDoS attack. Pay 5 BTC to [криптовалютный кошелек] within 24 hours or we will increase the attack tenfold.
                                No payment, no mercy.
                            

Типы DDoS-атак, используемых в шантаже

Злоумышленники используют различные типы DDoS-атак, чтобы максимально эффективно вывести из строя сервер жертвы:

UDP Flood: Затопление сервера большим количеством UDP-пакетов.
SYN Flood: Перегрузка сервера запросами на установление соединения (SYN-пакеты) без завершения handshake.
HTTP Flood: Затопление веб-сервера большим количеством HTTP-запросов.
DNS Amplification: Использование публичных DNS-серверов для усиления трафика атаки.

Почему нельзя платить выкуп?

Важно

Никогда не платите выкуп злоумышленникам! Это не гарантирует прекращение атаки и может спровоцировать новые требования.

Причины, по которым не стоит платить:

Нет гарантий: Злоумышленники могут обмануть и продолжить атаку даже после получения выкупа.
Финансирование преступности: Выплата выкупа поддерживает и стимулирует киберпреступность.
Привлечение внимания: Вы становитесь более привлекательной целью для будущих атак.
Потеря репутации: Факт выплаты выкупа может стать известен и негативно повлиять на репутацию компании.

Аргумент	Описание
Отсутствие гарантий	Злоумышленники могут продолжить атаку даже после получения денег.
Финансирование преступности	Выплата выкупа поддерживает и стимулирует киберпреступную деятельность.
Привлечение внимания	Выплата выкупа может сделать вас более привлекательной целью для будущих атак.

Как правильно реагировать на DDoS-атаку?

Правильная реакция на DDoS-атаку критически важна для минимизации ущерба. Следуйте этим шагам:

Немедленно сообщите о DDoS-атаке своему провайдеру хостинга или поставщику услуг защиты от DDoS. Они обладают необходимыми инструментами и опытом для mitigation.
Активируйте план реагирования на инциденты. Убедитесь, что у вас есть четкий план действий в случае DDoS-атаки.
Соберите доказательства. Сохраните все сообщения от злоумышленников, логи сервера и сетевой трафик.
Обратитесь в правоохранительные органы. DDoS-атаки – это уголовное преступление.
Не вступайте в переговоры с злоумышленниками. Любое общение может быть использовано против вас.

Сбор доказательств для правоохранительных органов

Сбор доказательств является важным шагом для привлечения злоумышленников к ответственности. Предоставьте правоохранительным органам следующую информацию:

Копии сообщений с требованием выкупа (включая заголовки электронных писем).
Логи сервера, показывающие аномальный трафик.
Снимки экрана (скриншоты) графиков сетевого трафика.
IP-адреса, с которых осуществлялась атака (если возможно).
Информацию о криптовалютном кошельке, указанном для выплаты выкупа.

Меры по защите сервера от DDoS-атак

Превентивные меры могут значительно снизить риск успешной DDoS-атаки. Рассмотрите следующие варианты:

Используйте CDN (Content Delivery Network). CDN распределяет контент вашего сайта по множеству серверов, что делает его более устойчивым к DDoS-атакам.
Настройте брандмауэр (firewall). Брандмауэр может блокировать вредоносный трафик и защищать сервер от атак.
Используйте защиту от DDoS-атак. Существуют специализированные сервисы, которые предлагают защиту от DDoS-атак, такие как Cloudflare, Akamai и другие.
Регулярно обновляйте программное обеспечение. Уязвимости в программном обеспечении могут быть использованы для проведения DDoS-атак.
Ограничьте скорость запросов (rate limiting). Ограничение количества запросов с одного IP-адреса может помочь предотвратить HTTP Flood атаки.

 Пример настройки Rate Limiting в Nginx

                                http {
                                    limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;

                                    server {
                                        location / {
                                            limit_req zone=mylimit burst=5 nodelay;
                                            # ... other configurations ...
                                        }
                                    }
                                }
                            

Выбор сервиса защиты от DDoS-атак

При выборе сервиса защиты от DDoS-атак обратите внимание на следующие факторы:

Репутация провайдера. Изучите отзывы и рейтинги провайдера.
Мощность защиты. Убедитесь, что сервис может справиться с атаками большого объема.
Типы защиты. Узнайте, какие типы DDoS-атак поддерживает сервис.
Стоимость. Сравните цены разных провайдеров и выберите оптимальный вариант.
Поддержка. Убедитесь, что у провайдера есть круглосуточная техническая поддержка.

Альтернативные решения и смягчение последствий

Помимо технических мер, рассмотрите следующие альтернативные решения:

Страхование киберрисков. Страховой полис может покрыть убытки, связанные с DDoS-атаками и другими киберугрозами.
Создание резервных копий данных. Регулярное создание резервных копий данных поможет восстановить работу сервиса в случае атаки.
Информирование пользователей. Предупредите пользователей о возможных проблемах с доступностью сервиса и объясните, что делается для решения проблемы.

Совет

Разработайте четкий план коммуникации с пользователями в случае DDoS-атаки. Оперативное и прозрачное информирование поможет сохранить доверие клиентов.

Заключение

DDoS-шантаж – серьезная угроза для онлайн-бизнеса. Не поддавайтесь на шантаж, принимайте превентивные меры и будьте готовы к реагированию на инциденты. Помните, что правильная стратегия и сотрудничество с экспертами в области кибербезопасности помогут вам защитить свой сервер и данные.

Проверь любой аккаунт с FoxKeys

Кстати, о безопасности и данных. FoxKeys — это мощнейший сервис для проверки аккаунтов Minecraft. В нашей базе более 1 миллиарда записей из всех известных источников. Мы помогаем игрокам и владельцам серверов проверять аккаунты на утечки, баны и многое другое, обеспечивая безопасность всему комьюнити. Зацени наши возможности!