Pytanie:
Otrzymałem wiadomość e-mail z groźbą dla DDoS, jeśli nie zapłacę okupu. Co powinienem zrobić?
alexw
2016-05-05 05:09:00 UTC
view on stackexchange narkive permalink

Otrzymałem następujący e-mail, zaadresowany do mnie na adres e-mail w mojej domenie osobistej (dla której mam własny serwer pocztowy na VPS):

PRZEKAŻ TĘ POCZTĘ DO KAŻDEGO JEST WAŻNE W TWOJEJ FIRMIE I MOŻESZ PODEJMOWAĆ DECYZJĘ!

Jesteśmy Armada Collective. lmgtfy URL tutaj

Twoja sieć zostanie poddana DDoS od godziny 12:00 w dniu 8 maja 2016 r., jeśli nie zapłacisz opłaty za ochronę - 10 Bitcoins @ some- adres bitcoin

Jeśli nie zapłacisz do godziny 12:00 w dniu 08 maja 2016 r., atak rozpocznie się, twoja usługa zostanie trwale obniżona, cena zatrzymania wzrośnie do 20 BTC i do 10 BTC za każdy dzień ataku.

To nie jest żart.

Nasze ataki są niezwykle potężne - czasami przekraczają 1 Tbps na sekundę. I przekazujemy CloudFlare i inne zdalne zabezpieczenia! Żadna tania ochrona nie pomoże.

Zapobiegaj temu wszystkiemu za pomocą zaledwie 10 BTC @ jakiś-bitcoin-address

Nie odpowiadaj, nie będziemy czytać . Zapłać, a dowiemy się, że to Ty. I NIGDY WIĘCEJ OD NAS NIE SŁYSZYSZ!

Bitcoin jest anonimowy, nikt nigdy się nie dowie, że współpracowałeś.

Oczywiście nie zapłacę okupu. Czy powinienem zrobić coś jeszcze?

Aktualizacja:

Przekazałem wiadomość e-mail i oryginalne nagłówki do pierwotnego dostawcy usług internetowych. Odpowiedzieli, że „podjęto kroki”. Więc, umm, tak? Chyba?

Szczególnie słyszałem o tej grupie.Właściwie nigdy nikogo nie robili.
Powiedziałbym, że zajmij się CloudFlare (i zmień i ukryj swoje prawdziwe IP).Chociaż e-mail jest prawdopodobnie fałszywy i prawdopodobnie nie zostanie poddany DDoSie, uzyskanie pewnej ochrony nigdy nie zaszkodzi.Kiedy mówią, że mogą przejść ochronę CloudFlares, prawdopodobnie kłamią.W końcu twierdzenie o 1 Tbps wygląda dla mnie na kłamstwo, więc to niezbyt uczciwi ludzie ...
Zgadzam się, że twierdzenie to brzmi podejrzanie.Poruszanie się po Cloudfare i wykonanie ataku 1 Tbps byłoby wartym opublikowania atakiem (myślę, że największy zarejestrowany atak to 400 Gbps w styczniu 2016 r.).Nie jest to coś, z czym chodziłbyś do małych firm i groziłby 4000 dolarów.
@CodyP 1Tbps to już dużo, więc co to jest 1Tbps na sekundę?
@HagenvonEitzen Nie tylko jest to szybki atak ... _ przyspiesza_
@JamesTrotter Przy 1 Tbps / s, ile czasu upłynie, zanim nasycą światowy Internet?Nie wiem, jaka jest globalna dostępna przepustowość, ale zaryzykowałbym przypuszczenie, że będziemy patrzeć na wartości zasięgu Pb / s.Więc przy tym tempie nasycą Internet może w godzinę.Gdyby groźba była prawdziwa, tak jak napisano, również dostawcy usług internetowych pochodzenia staraliby się je zatrzymać, choćby po to, by uratować własne zyski.
Może mieli na myśli 1 łyżkę stołową (łyżkę) na sekundę.
Kilku moich klientów otrzymało identyczne zagrożenia, nie zaobserwowano żadnych ataków DDoS.Konkluzja: nie płać, skontaktuj się z lokalnymi organami ścigania (wymuszenie jest przestępstwem przynajmniej w większości krajów) i upewnij się, że masz przygotowaną procedurę postępowania w przypadku ataków (którą w każdym przypadku powinieneś mieć).
Komentarze nie służą do rozszerzonej dyskusji;ta rozmowa została [przeniesiona do czatu] (http://chat.stackexchange.com/rooms/39346/discussion-on-question-by-alexw-i-got-an-email-threatening-to-ddos-me-jeśli-i-nie).
* Naprawdę * przerażające jest to, że wydaje się, że to faktycznie działa (na podstawie wyszukiwania niektórych adresów BTC używanych w tych e-mailach, ponieważ bitcoin nie jest tak anonimowy), co oznacza, że są ludzie na tyle łatwowierni, aby w to uwierzyć i zapłacićza niektóre z tych firm.
@AlexanderO'Mara jest również możliwe, że „zalewają pompę”, wysyłając pieniądze na własne adresy BTC.
Firma, w której pracuję, została „zaczepiona” przez tych gości kilka miesięcy temu.W rzeczywistości przeprowadzili DDoS na stronie przez 30 minut, a następnie zaczęli kontaktować się z naszą skrzynką odbiorczą obsługi klienta, prosząc o okup w bitcoinach.Okazuje się, że nasz system ograniczania skutków DDoS był zepsuty, więc faktycznie wyświadczyli nam przysługę!Wysyłali e-maile z groźbami przez około dwa tygodnie, ale po prostu sprawdziliśmy ich blef i zignorowaliśmy.Wciąż czasami czytam e-maile i śmieję się z tego, zarząd zorganizował spotkanie, aby rozważyć zapłacenie tym facetom!
Uwielbiam tę część, w której prosili obsługę klienta o okup.Mogę to łatwo sobie wyobrazić: „_Hej, niedawno dokonaliśmy DDOS w Twojej firmie i nie otrzymaliśmy jeszcze naszej płatności. Czy mógłbyś przekazać to swojemu kierownictwu? _”
Czy naprawiłeś swój system DDoS?
Ponieważ jestem dyrektorem generalnym i dyrektorem technicznym, odbyłem krótkie spotkanie w mojej głowie, które wyglądało tak: CEO: „Hej Alex, czy powinniśmy zapłacić okup?”CTO: „Do diabła, nie”.CEO: „Ale co, jeśli spełnią swoje zagrożenie?”CTO: „I co z tego? Nie zarabiamy wystarczająco dużo pieniędzy, żeby to miało znaczenie. Poza tym wolałbym wydać 4K $ na łagodzenie skutków i / lub .CEO: „Och, racja”.
Twój system DDoS był zepsuty?Nic dziwnego, że nie zapłaciłeś;Twój system DDoS nie mógł sobie na to pozwolić!
@alexw czemu miałoby to służyć?
@Ant, wyglądałoby na to, że inni ludzie płacą okup.Więc bardziej prawdopodobne jest, że pomyślę, że zagrożenie jest realne i zapłacę, jeśli zobaczę, że inni płacą.
Wygląda to na spam z groźbą zabójstwa: https://www.sophos.com/en-us/press-office/press-releases/2007/01/deathphish.aspx
Amatorzy ... `lmgtfy URL tutaj`
@alexw Prawda, ale zanim zobaczysz, że „ludzie płacą”, już widziałeś, że „nie potrafią powiedzieć, kto płaci”, a „Bitcoin nie jest tak anonimowy, jak twierdzą”.Dlatego myślę, że prawdopodobnie faktycznie zapłacono im te pieniądze.Albo są naprawdę głupi i nie pomyśleli o wszystkim ...
@Nateowami to dość okrągła logika.Oto prosta logika: jest to bardziej „uzasadnione” niż oszustwo nigeryjskiego księcia, a ludzie cały czas się w nim darzą.Nie wątpię, że otrzymali zapłatę.
@Jason Nie rozumiem, do czego zmierzasz.Jak wygląda mój okólnik logiki?Chociaż zgadzam się, że zalewanie pompy jest niepotrzebne, chodzi mi o to, że im to * wcale * nie pomaga.Każdy, kto sprawdza księgę i widzi, że zapłacono mu, powinien również zdawać sobie sprawę, że ponieważ ponownie wykorzystują adresy, nie ma możliwości, aby wiedział, kto płaci.Prawdziwy DDoSer nie użyłby ponownie adresów.
Zastanawiam się, ile CloudFlare zapłacił za wspomnienie w tym e-mailu.Mam na myśli, że ataki DDoS są złe, a wszystkie reklamy oprócz wow stają się agresywne.
@Nateowami "zalewanie pompy jest bezużyteczne, ponieważ nie widać, kto wysłał pieniądze, dlatego ponieważ mają pieniądze w portfelu, uważam, że faktycznie im zapłacono" - co jest dokładnie wnioskiem, że zalewanie pompy ma ci pomócdosięgnąć.
@Jason Nie o to mi chodziło, ale teraz rozumiem, co mówisz.Chodziło mi o to, że nigdy się nie dowiedzą, czy zapłacisz, czy nie.Dlatego każdy, kto widzi, że ludzie płacą, powinien również zdać sobie sprawę, że każdy, kto zapłacił, został oszukany, ponieważ oszust nie może nawet powiedzieć, kto płaci, a kto nie.Zobacz [ten komentarz] (http://security.stackexchange.com/questions/122336/i-got-an-email-threatening-to-ddos-me-if-i-dont-pay-a-ransom-what-powinno-i-zrobić? noredirect = 1 # comment224752_122337).
@Nateowami Ach, tak, teraz rozumiem, co * ty * mówisz :)
Czy zostałeś poddany DDosowi?Czy to było fałszywe?Pytam tylko, ponieważ otrzymaliśmy ten sam e-mail, a ponieważ przeczytałem go wcześniej, po prostu wiedziałem, że to fałszywe zagrożenie.
Ich banda idiotów umieszcza URL LMGTFY, ponieważ pokazuje, że są hakerami (adres URL znajduje się na blogu CloudFlare)
Osiem odpowiedzi:
schroeder
2016-05-05 05:12:53 UTC
view on stackexchange narkive permalink

Ten artykuł może być dla Ciebie ważny: https://ca.news.yahoo.com/armada-collective-ddos-threats-were-212413418.html

Ktoś kopiował treść e-maili Armada Collective, aby przestraszyć ludzi do płacenia, ale nie zarejestrowano żadnych ataków.

Więc prawdopodobnie nie musisz nic robić.

Ta sama historia, inne źródło http://www.theregister.co.uk/2016/05/04/empty_ddos_threats_reloaded/ dla tych, którzy chcą więcej niż jednego zasobu
Więcej informacji na blogu Cloudflare: https://blog.cloudflare.com/empty-ddos-threats-meet-the-armada-collective/
Kluczowy aspekt: „e-maile wymuszające ponownie wykorzystują adresy Bitcoin, nie ma możliwości, aby Armada Collective mogła stwierdzić, kto zapłacił, a kto nie” (z bloga CloudFare).Daje to jeden wystarczający warunek, aby wiedzieć, że wiadomość e-mail jest fałszywa - jeśli ponownie wykorzystuje znany adres Bitcoin, który był używany w podobnych wiadomościach e-mail, jest przeważnie prawdopodobne, że będzie fałszywy.
Trey Blalock
2016-05-05 05:13:55 UTC
view on stackexchange narkive permalink

Na podstawie następującego artykułu możesz go po prostu zignorować. Wygląda na to, że jest to powszechne oszustwo, a Twój e-mail wygląda prawie dokładnie tak, jak ten z poniższego artykułu.

http://arstechnica.com/security/2016/04/businesses-pay -100000-to-ddos-extortionists-who-never-ddos-nobody /

Wyszukaj źródłowego ISP dostawcy usług, który wysłał e-mail i skontaktuj się z nadużyciami zespół abuse@company.com . Mogą wyłączyć źródło wiadomości e-mail lub ostrzec niczego niepodejrzewającego klienta, który może być właścicielem maszyny. Powiadomienie źródłowego usługodawcy internetowego jest pomocne, aby zmniejszyć tę kwotę. Pamiętaj, aby wysłać im e-mail z pełnymi nagłówkami. Jeśli okaże się, że źródłem jest zainfekowany system w dużej firmie, powiadomiłbym ich oprócz usługodawcy internetowego. Zrób to, kontaktując się jednocześnie z firmą i dostawcą usług internetowych, aby uzyskać najszybsze wyniki. Należy pamiętać, że niektóre złośliwe systemy mogą również podszywać się pod zainfekowanego hosta, nawet jeśli nie jest to tak ważne, że powiadomienie usługodawcy internetowego może być ważniejsze niż powiadomienie właściciela systemu.

Wygląda na to, że wysłali go z yourserver.se przez openmailbox.org.Chyba powinienem skontaktować się z yourserver.se.
Podoba mi się część, w której mówią, że będą wiedzieć, że to ty zapłaciłeś, ale potem powiedz, że bitcoin jest anonimowy i nikt nie będzie wiedział, że współpracowałeś.Trochę się zaprzecza.* „Zapłać, a będziemy wiedzieć, że to ty [...] Bitcoin jest anonimowy, nikt nigdy się nie dowie, że współpracowałeś.” *
@hd.niekoniecznie, jeśli utworzą adres bitcoin dla każdej ofiary, mogą zidentyfikować, która ofiara wysłała im pieniądze.Podczas gdy inne osoby nie mogły, ponieważ nie wiedzą, na który adres bitcoin kazano ofierze wysłać pieniądze
David Glickman
2016-05-05 13:40:02 UTC
view on stackexchange narkive permalink

Zignoruj ​​to.

Same Cloudflare oświadczyły, że są fałszywe - patrz https://blog.cloudflare.com/empty-ddos-threats-meet-the-armada-collective/ Bardzo polecam przeczytanie tego artykułu, ponieważ jest to bardzo jasne wyjaśnienie z pierwszej linii. Kolektyw armada to prawdziwa grupa DDOS, ale niektórzy oszuści używają swojej nazwy, aby przestraszyć ludzi. Adres Bitcoin jest najwyraźniej taki sam we wszystkich e-mailach, co oznacza, że ​​nigdy nie dowiedzą się, kto im zapłacił.
Możliwe jest śledzenie kwot wpłaconych na adres Bitcoin i wydaje się, że zarobili na tym ponad 100 000 $ oszustwo!

Podsumowując, zagrożenia DDoS powinny być poparte dowodami (być może DDOS trwającym 15 minut), zanim zapłacisz.

EDYCJA: Wystarczy wyjaśnić, jak się wydaje z komentarzy, że Nie było to wystarczająco jasne.
Nie chcę wydawać opinii, czy płatność powinna zostać dokonana, czy nie. Zawsze miej dobre zabezpieczenia, a jeśli zagrożenie zmusza cię do wydania pieniędzy - płacąc na żądanie lub kupując ochronę DDOS, której w innym przypadku nie potrzebowałbyś - sprawdź, czy zagrożenie jest uzasadnione, żądając więcej dowodów niż mogłoby to być tylko pusta groźba.

http://imgur.com/iLUE7BU
Szybkie wyszukiwanie w Internecie wyciąga co najmniej kilka różnych adresów bitcoin, które zostały użyte, więc albo się złapali, jest wiele grup, które to robią, lub CloudFlare nie miał wystarczająco dużego próbkowania.
Jeśli jakikolwiek adres jest używany więcej niż raz, nie mogą zidentyfikować, kto zapłacił im pieniądze za pośrednictwem tego adresu.
@Erik, Zinterpretowałem ostatnie zdanie jako poradę dla napastników, aby udowodnili swoje umiejętności, wykonując DDOS przez 15 minut przed oczekiwaniem na płatność.Dziwne stwierdzenie, które można umieścić na tej stronie, ale wersja alternatywna ma sens: „Miej dobre zabezpieczenia. Ignoruj wszelkie zagrożenia DDOS / żądania okupu, chyba że istnieją rzeczywiste dowody na to, że mają zęby. Następnie zajmij się podatnością na DDOS (inastępnie nadal ignoruj groźby) ”.
Nie mówię, że powinieneś lub nie powinieneś płacić.Płacenie żądań DDOS lub oprogramowania ransomware to kwestia opinii, którą moglibyśmy szczegółowo omówić.W USA było kilka głośnych przypadków, w których szpitale zapłaciły za oprogramowanie ransomware.Wyjaśniłem moją odpowiedź na poprawną interpretację symboli wieloznacznych, z tym wyjątkiem, że niektórzy ludzie mogą chcieć zapłacić.Nie mam zamiaru udzielać porad atakującym DDoS, chociaż myślę, że te „legalne” są prawdopodobnie dość zirytowane przez tych gości!
Wow ludzie naprawdę płacą tym facetom?
Damian
2016-05-05 15:09:45 UTC
view on stackexchange narkive permalink

Jeśli jesteś w Wielkiej Brytanii , zrób to:

Wiadomość wysłana przez Action Fraud (Action Fraud, Administrator, National)

W ciągu ostatnich 24 lat godziny wiele firm w Wielkiej Brytanii otrzymało żądania wymuszenia od grupy nazywającej się „Lizard Squad”.

Metoda ataku: Grupa wysłała e-maile z żądaniem zapłaty 5 Bitcoinów, które mają być opłacone w określonym czasie i terminie. Wiadomość e-mail stwierdza, że ​​zapotrzebowanie to wzrośnie o 5 Bitcoinów za każdy dzień niezapłacenia.

Jeśli ich żądanie nie zostanie zaspokojone, zagrozili, że przeprowadzą atak Denial of Service na witryny i sieci firmowe, przenosząc je w tryb offline do czasu dokonania płatności.

Żądanie stwierdza, że ​​po rozpoczęciu ich działań nie można ich cofnąć.

Co zrobić, jeśli otrzymałeś jedno z tych żądań:

  • Zgłoś to do Action Fraud dzwoniąc pod numer 0300 123 2040 lub korzystając z narzędzia do raportowania online.
  • Nie płać za żądanie
  • Zachowaj oryginalne e-maile (z nagłówkami)
  • Utrzymuj harmonogram ataku, rejestrując czas, rodzaj i treść kontaktu

Jeśli masz teraz atak DDoS, powinieneś:

  • Zgłoś to do Action Fraud, dzwoniąc natychmiast pod numer 0300 123 2040.
  • Zadzwoń do swojego dostawcy usług internetowych (ISP) (lub dostawcy hostingu, jeśli nie masz własnego serwera WWW), powiedz, że jesteś atakowany i poproś o pomoc.
  • Prowadź harmonogram zdarzeń i zapisuj dzienniki serwera, dzienniki sieciowe, dzienniki poczty e-mail, wszelkie przechwytywania pakietów, wykresy sieciowe, raporty itp.

Get Safe Online - najważniejsze wskazówki dotyczące ochrona firmy przed atakiem DDoS:

  • Weź pod uwagę prawdopodobieństwo i ryzyko dla swojej organizacji ataku DDoS i zastosuj odpowiednie środki ograniczające / łagodzące zagrożenie.
  • Jeśli uważaj, że ochrona jest konieczna, porozmawiaj ze specjalistą ds. zapobiegania atakom DDoS.
  • Niezależnie od tego, czy jesteś narażony na atak DDoS, czy nie, powinieneś mieć odpowiednie zaplecze hostingowe, aby obsłużyć duże, nieoczekiwane ilości odwiedzin w witrynie.
oddział jaszczurów został rozwiązany po ostatnich latach ataków PSN, te zagrożenia okazały się fałszywe http://www.ibtimes.co.uk/fake-lizard-squad-ddos-demands-hit-uk-businesses-spurring-police-warning-1558049
Dzięki, jestem w USA, ale jestem pewien, że przyda się to innym.
@JamesKirkby tak, ale nadal są to przydatne informacje dla następnej grupy ********, którzy mają gotową sieć kupionych botów.
Pepijn Schmitz
2016-05-06 21:09:51 UTC
view on stackexchange narkive permalink

Zapłać, a my będziemy wiedzieć, że to Ty.

O to chodzi: puste zagrożenie, które wygląda dokładnie tak, jak to, co masz, krążyło wokół, które zawsze ma w sobie ten sam adres bitcoin . Innymi słowy: nie mogą wiedzieć, że to ty płacisz, dlatego zagrożeniem musi być blef. Mimo to podobno setki tysięcy dolarów zostały wysłane na ten adres przez ludzi, którzy zostali przez niego złapani ...

Aby dowiedzieć się, czy to blef, wyszukaj w Google adres bitcoin. Wyobrażam sobie, że szybko zorientujesz się, czy wysłali Ci coś wyjątkowego, w takim przypadku masz powód do zmartwień, czy nie.

Steve Gibson mówił o tym w odcinku 557 jego podcastu Security Now (zapis tutaj). Moje pieniądze idą na blef, ponieważ twój tekst wydaje się być słowo w słowo to samo, o czym mówi Steve Gibson.

Znalazłem tylko wysłany przez nich adres bitcoin wymieniony na innej stronie internetowej.Jednak kto wie, ile innych osób otrzymało ten sam adres.Nie wygląda na to, żeby ktoś w tym momencie dokonał płatności na ten adres.
@alexw Powiedziałbym, że nawet jedno znalezisko wystarczy, aby stwierdzić, że to blef.Mogliby tylko powiedzieć, że to Ty zapłaciłeś, jeśli wyślą Tobie i tylko Tobie unikalny adres.
dan
2016-05-05 17:39:17 UTC
view on stackexchange narkive permalink

Ten e-mail z groźbą wydaje się być po prostu groźbą.

Nie musisz tego tolerować, cokolwiek zrobią, to zwykłe wymuszenie.

Zgłoś to do:

  • Twojej firmy hostingowej, wysyłając oryginalną kopię e-maila z groźbą (ze wszystkimi nagłówkami w oryginalnej formie. Prześlij jako załącznik w ramach dowolnej profesjonalnej wiadomości e-mail klient),

  • Twoja agencja bezpieczeństwa narodowego lub wyspecjalizowany dział IT policji z oryginalną kopią e-maila z pogróżkami.

[...] świat jest w większym niebezpieczeństwie ze strony tych, którzy tolerują zło lub do niego zachęcają,
niż ze strony tych, którzy je faktycznie popełniają.
Albert Einstein

Steve Jessop
2016-05-05 17:59:53 UTC
view on stackexchange narkive permalink

Wygląda na to, że blefuje ze wszystkich powodów podanych w innych odpowiedziach.

Jeśli planują zaatakować Cię atakiem DDoS za pomocą samej przepustowości, to nie tylko będą Cię atakować, ale będą atakować sieć połączenie Twojego VPS.

Dlatego, nawet jeśli ten atak wydaje się mało prawdopodobny, prawdopodobnie najlepiej jest poinformować dostawcę VPS o wystąpieniu zagrożenia. Mogą ci powiedzieć, żebyś to zignorował (i przyszłe groźby), ale ponieważ wpłynie to na nich, jeśli kiedykolwiek się to wydarzy, to grzeczną rzeczą, jaką można zrobić, jest poinformowanie ich o tym i zapoznanie się z ich polityką. Prawdopodobnie widzieli już takie zagrożenia, a jeśli tak, to mają większe doświadczenie niż ty w podejmowaniu decyzji, czy i kiedy zaangażować organy ścigania.

Oczywiście zależy to w pewnym stopniu od dostawcy VPS: jeśli zdarzy się, że wiedzą, że ich obsługa klienta nie odpowiada lub jest niekompetentna, więc niewiele możesz zrobić w tym kierunku.

Kevin
2016-05-10 13:12:07 UTC
view on stackexchange narkive permalink

Nic nie rób, prawdopodobnie i tak wysłał Ci ten e-mail bot. Nie znają Twojego adresu IP i nie dowiedzą się, jeśli nie odpowiesz. Nawet jeśli tak się stanie, możesz zauważyć, że Twoje połączenie zaczyna słabnąć. W takim przypadku po prostu poinformuj swojego dostawcę usług internetowych i poproś o nowy adres IP, problem został rozwiązany.



To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...