Domanda:
Ho ricevuto un'e-mail che mi minacciava di DDOS se non pago un riscatto. Cosa dovrei fare?
alexw
2016-05-05 05:09:00 UTC
view on stackexchange narkive permalink

Ho ricevuto la seguente email, indirizzata a me a un indirizzo email sul mio dominio personale (per il quale gestisco il mio server di posta su un VPS):

INOLTRA QUESTA MAIL A CHI È IMPORTANTE NELLA TUA AZIENDA E PUOI PRENDERE DECISIONI!

Siamo Armada Collective. lmgtfy URL here

La tua rete sarà DDoS a partire dalle 12:00 UTC dell'8 maggio 2016 se non paghi la quota di protezione - 10 Bitcoin @ some- bitcoin-address

Se non paghi entro le 12:00 UTC dell'8 maggio 2016, inizierà l'attacco, il tuo servizio scenderà permanentemente il prezzo per fermarsi aumenterà a 20 BTC e andrà fino a 10 BTC per ogni giorno di attacco.

Non è uno scherzo.

I nostri attacchi sono estremamente potenti, a volte oltre 1 Tbps al secondo. E passiamo CloudFlare e altre protezioni remote! Quindi, nessuna protezione economica ti aiuterà.

Impedisci tutto con solo 10 BTC @ some-bitcoin-address

Non rispondere, non leggeremo . Paga e sapremo che sei tu. E NON SENTIRETE MAI PIÙ DA NOI!

Bitcoin è anonimo, nessuno saprà mai che hai collaborato.

Ovviamente non pagherò il riscatto. Devo fare qualcos'altro?

Aggiornamento:

ho inoltrato l'email e le intestazioni originali all'ISP di origine. Hanno risposto che "sono state prese misure". Quindi, ehm, va bene? Immagino?

Ho sentito parlare di questo gruppo in particolare.In realtà non fanno mai nessuno.
Direi mettiti dietro CloudFlare (e cambia e nascondi il tuo vero IP).Anche se l'email è probabilmente falsa e probabilmente non riceverai DDOS, non fa mai male ottenere un po 'di protezione.Quando dicono che possono passare la protezione di CloudFlares probabilmente stanno mentendo.Dopo tutto l'affermazione di 1 Tbps mi sembra una bugia, quindi non sono persone molto oneste ...
Sono d'accordo che l'affermazione suona sospetta.Aggirare Cloudfare e fare un attacco da 1 Tbps sarebbe un attacco degno di nota (penso che il più grande registrato sia stato di 400 Gbps nel gennaio 2016).Non qualcosa per cui andresti a piccole aziende e per cui fare minacce di $ 4000.
@CodyP 1Tbps è già molto, allora qual è 1Tbps al secondo?
@HagenvonEitzen Non solo è un attacco veloce ... _la sua accelerazione_
@JamesTrotter A 1 Tbps / s, quanto ci vuole prima che saturino Internet in tutto il mondo?Non so quale sia la larghezza di banda disponibile globale, ma azzarderei l'ipotesi che staremmo guardando i dati sulla portata del Pb / s.Quindi, a quel ritmo, avrebbero saturato Internet in forse un'ora.Se la minaccia fosse vera come scritto, anche gli ISP di origine si affretterebbero a fermarli se non altro per salvare i propri profitti.
Forse intendevano 1 cucchiaio (cucchiaio) al secondo.
Molti dei miei clienti hanno ricevuto minacce identiche, non sono stati osservati attacchi DDoS.Conclusione: non pagare, contatta le forze dell'ordine locali (l'estorsione è un reato penale nella maggior parte dei paesi almeno) e assicurati di avere una procedura pronta per affrontare gli attacchi (cosa che dovresti in ogni caso).
I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/39346/discussion-on-question-by-alexw-i-got-an-email-threatening-to-ddos-me-se-io-non).
La cosa * davvero * spaventosa qui è che questo sembra effettivamente funzionare (basandosi sulla ricerca di alcuni degli indirizzi BTC usati in queste e-mail, perché bitcoin non è così anonimo), il che significa che ci sono persone abbastanza credulone da crederci e pagareresponsabile di alcune di queste società.
@AlexanderO'Mara è anche possibile che stiano "adescando la pompa" inviando denaro ai propri indirizzi BTC.
L'azienda per cui lavoro è stata "avvicinata" da questi ragazzi qualche mese fa.Hanno effettivamente attaccato il sito per 30 minuti, quindi hanno iniziato a contattare la nostra casella di posta del servizio clienti chiedendo il riscatto di bitcoin.Si è scoperto che il nostro sistema di mitigazione DDoS era rotto, quindi ci hanno fatto davvero un favore!Hanno continuato a inviare le e-mail minacciose per circa due settimane, ma abbiamo semplicemente chiamato il loro bluff e li abbiamo ignorati.A volte leggo ancora le e-mail e ne rido su, la direzione ha effettivamente tenuto una riunione per considerare di pagare questi ragazzi!
Adoro la parte in cui chiedevano il riscatto al tuo servizio clienti.Posso facilmente immaginarlo: "_Ehi, abbiamo recentemente aggiunto DDOS alla tua azienda e non abbiamo ancora ricevuto il nostro pagamento. Potresti inoltrarlo alla tua direzione, per favore? _"
Hai riparato il tuo sistema DDoS?
Dato che sono CEO e CTO, ho tenuto un breve incontro nella mia testa, che è andato così: CEO: "Ehi Alex, dovremmo pagare il riscatto?"CTO: "Hell no."CEO: "Ma cosa succede se fanno bene alla loro minaccia?"CTO: "E allora? Non guadagniamo abbastanza soldi perché sarebbe importante. Inoltre, preferirei spendere i $ 4K in mitigazione e / o . Inoltre, fanculo a quei ragazzi."CEO: "Oh, giusto."
Il tuo sistema DDoS è guasto?Non c'è da stupirsi che tu non abbia pagato;il tuo sistema DDoS non poteva permetterselo!
@alexw quale scopo servirebbe?
@Ant sembrerebbe che altre persone stiano pagando il riscatto.Quindi, potrei essere più propenso a pensare che la minaccia sia reale e pagare se vedo altre persone che pagano.
Sembra lo spam della minaccia dell'assassinio: https://www.sophos.com/en-us/press-office/press-releases/2007/01/deathphish.aspx
Dilettanti ... "lmgtfy URL here"
@alexw Vero, ma quando vedi che "le persone pagano" hai già visto che "non possono dire chi paga" e "Bitcoin non è anonimo come affermano".Quindi, penso che probabilmente siano stati effettivamente pagati quei soldi.Oppure sono davvero così stupidi e non hanno pensato a tutto però ...
@Nateowami è una logica abbastanza circolare.Ecco una logica semplice: questo è più "legittimo" di una truffa del principe nigeriano, e la gente si innamora di questo tutto il tempo.Non ho dubbi che siano stati pagati.
@Jason Non capisco a cosa stai arrivando.Com'è circolare la mia logica?Anche se sono d'accordo che l'adescamento della pompa non è necessario, il mio punto è che non li aiuta * per niente *.Chiunque controlli il libro mastro e vede che sono stati pagati dovrebbe anche rendersi conto che poiché riutilizzano gli indirizzi non c'è modo per loro di sapere chi paga.Un vero DDoSer non riutilizzerebbe gli indirizzi.
Mi chiedo quanto abbia pagato CloudFlare per essere menzionato in questa email.Voglio dire che gli attacchi DDoS sono dannosi e tutti gli annunci, tranne wow, stanno diventando aggressivi.
@Nateowami "l'adescamento della pompa è inutile perché non puoi vedere chi ha inviato i soldi, quindi perché hanno soldi nel portafoglio credo che siano stati effettivamente pagati" - che è esattamente la conclusione che si suppone che l'adescamento della pompa ti aiutiraggiungere.
@Jason Non era questo il punto, ma capisco cosa stai dicendo ora.Il punto era che non sapranno mai se paghi o no.Quindi, chiunque veda che le persone pagano, dovrebbe anche rendersi conto che tutti coloro che hanno pagato sono stati ingannati, perché il truffatore non può nemmeno dire chi sta pagando e chi no.Vedi [questo commento] (http://security.stackexchange.com/questions/122336/i-got-an-email-threatening-to-ddos-me-if-i-dont-pay-a-ransom-what-dovrei-fare? noredirect = 1 # comment224752_122337).
@Nateowami Ah, sì, ora ho capito cosa * stai * dicendo :)
Hai ricevuto DDos'ed?O era falso?Lo chiedo solo perché abbiamo ricevuto la stessa email e da quando l'ho letto prima, sapevo che era una falsa minaccia.
Sono un gruppo di idioti a mettere un URL LMGTFY poiché mostra che sono hacker (l'URL è lì sul blog CloudFlare)
Otto risposte:
schroeder
2016-05-05 05:12:53 UTC
view on stackexchange narkive permalink

Questo articolo potrebbe essere importante per te: https://ca.news.yahoo.com/armada-collective-ddos-threats-were-212413418.html

Qualcuno ha copiato il contenuto dell'email di Armada Collective per spaventare le persone a pagare, ma non sono stati registrati attacchi.

Quindi, forse, non devi fare nulla.

Stessa base della storia, fonte diversa http://www.theregister.co.uk/2016/05/04/empty_ddos_threats_reloaded/ per coloro che desiderano più di una risorsa
Ulteriori informazioni anche sul blog Cloudflare: https://blog.cloudflare.com/empty-ddos-threats-meet-the-armada-collective/
Aspetto cruciale: `le email di estorsione riutilizzano gli indirizzi Bitcoin, non c'è modo che Armada Collective possa dire chi ha pagato e chi no` (dal blog CloudFare).Ciò fornisce una condizione sufficiente per sapere che l'e-mail era falsa: se riutilizza un indirizzo bitcoin noto che è stato utilizzato in e-mail simili, è estremamente probabile che sia falso.
Trey Blalock
2016-05-05 05:13:55 UTC
view on stackexchange narkive permalink

In base al seguente articolo potresti semplicemente ignorarlo. Questa sembra essere una truffa comune e la tua e-mail sembra quasi esattamente come quella del seguente articolo.

http://arstechnica.com/security/2016/04/businesses-pay -100000-to-ddos-extortionists-who-never-ddos-any /

Cerca l'ISP di origine del fornitore di servizi che ha inviato l'e-mail e contatta il loro abuso team abuse@azienda.com . Possono disabilitare l'origine delle e-mail o avvisare il cliente ignaro che potrebbe possedere la macchina. La notifica all'ISP di origine è utile per ridurne la quantità. Assicurati di inviare loro un'e-mail con intestazioni complete. Se la fonte sembra essere un sistema compromesso di una grande azienda, li informerei oltre all'ISP. Fallo contattando contemporaneamente l'azienda e l'ISP per ottenere risultati più rapidi. Tieni presente che alcuni sistemi dannosi potrebbero anche impersonare un host compromesso anche se non è così che la notifica all'ISP potrebbe effettivamente essere più importante della notifica al proprietario del sistema.

Sembra che lo abbiano inviato da yourserver.se, tramite openmailbox.org.Immagino che dovrei contattare yourserver.se.
Mi piace la parte in cui dicono che sapranno che sei tu che hai pagato, ma poi continua dicendo che bitcoin è anonimo e nessuno saprà che hai collaborato.Sono in contraddizione con se stessi, un po '.* "Paga e sapremo che sei tu [...] Bitcoin è anonimo, nessuno saprà mai che hai collaborato." *
@hd.non necessariamente, se creano un indirizzo bitcoin per vittima, possono identificare quale vittima invia loro denaro.Mentre altre persone non potevano perché non sanno a quale indirizzo bitcoin è stato detto alla vittima di inviare il denaro
David Glickman
2016-05-05 13:40:02 UTC
view on stackexchange narkive permalink

Ignoralo.

Gli stessi Cloudflare hanno dichiarato che questi sono falsi: vedi https://blog.cloudflare.com/empty-ddos-threats-meet-the-armada-collective/ Consiglio vivamente di leggere questo articolo, poiché è una spiegazione molto chiara in prima linea. Il collettivo Armada è un vero gruppo DDOS, ma alcuni truffatori usano il loro nome solo per cercare di spaventare le persone. L'indirizzo Bitcoin è apparentemente lo stesso su tutte le loro e-mail, il che significa che non sapranno mai chi li ha pagati.
È possibile tenere traccia degli importi pagati a un indirizzo Bitcoin e sembra che abbiano guadagnato oltre $ 100K da questo truffa!

In conclusione, le minacce DDOS dovrebbero essere supportate da una prova (forse un DDOS di 15 minuti) prima di pagare.

EDIT: Giusto per chiarire come sembra dai commenti che Non sono stato abbastanza chiaro.
Non intendo dare un'opinione se il pagamento debba essere effettuato o meno. Avere sempre una buona sicurezza e se una minaccia ti fa decidere di spendere soldi - pagando la domanda o acquistando una protezione DDOS che altrimenti non avresti bisogno - verifica prima che la minaccia sia legittima chiedendo più prove di quelle che potrebbero essere solo una minaccia vuota.

http://imgur.com/iLUE7BU
Una rapida ricerca su Internet mostra che sono stati utilizzati almeno alcuni indirizzi bitcoin diversi, quindi o hanno preso piede, ci sono più gruppi che lo fanno o CloudFlare non ha avuto un campionamento abbastanza ampio.
Se un indirizzo viene utilizzato più di una volta, non è possibile identificare chi ha pagato loro tramite quell'indirizzo.
@Erik, Ho interpretato l'ultima frase come un consiglio agli aggressori di dimostrare le loro capacità eseguendo effettivamente un DDOS per 15 minuti prima di aspettarsi il pagamento.Un'affermazione strana da includere su questo sito, ma la versione alternativa ha senso: "Abbi una buona sicurezza. Ignora qualsiasi minaccia DDOS / richiesta di riscatto a meno che non ci siano prove concrete che abbia i denti. Quindi, gestisci la tua vulnerabilità a DDOS (equindi continuare a ignorare le minacce). "
Non sto dicendo che dovresti o non dovresti pagare.Il pagamento di richieste DDOS o ransomware è una questione di opinione di cui potremmo discutere a lungo.Ci sono stati alcuni casi di alto profilo negli Stati Uniti in cui gli ospedali hanno pagato per il ransomware.Ho chiarito la mia risposta all'interpretazione corretta del carattere jolly, tranne con la condizione che alcune persone potrebbero effettivamente voler pagare.Non ho intenzione di dare consigli agli aggressori DDOS, anche se penso che quelli "legittimi" siano probabilmente abbastanza infastiditi da questi ragazzi!
Wow le persone stanno davvero pagando quei ragazzi?
Damian
2016-05-05 15:09:45 UTC
view on stackexchange narkive permalink

Se ti trovi nel Regno Unito , procedi come segue:

Messaggio inviato da Action Fraud (Action Fraud, Amministratore, Nazionale)

Negli ultimi 24 ore numerose aziende in tutto il Regno Unito hanno ricevuto richieste di estorsione da un gruppo che si fa chiamare "Lizard Squad".

Metodo di attacco: il gruppo ha inviato e-mail chiedendo il pagamento di 5 Bitcoin, da pagare entro una certa ora e data. L'e-mail afferma che questa richiesta aumenterà di 5 Bitcoin per ogni giorno in cui non viene pagato.

Se la loro domanda non viene soddisfatta, hanno minacciato di lanciare un attacco Denial of Service contro i siti web e le reti delle aziende, portandole offline fino al pagamento.

La richiesta afferma che una volta che le loro azioni sono iniziate, non possono essere annullate.

Cosa fare se hai ricevuto una di queste richieste:

  • Segnalalo ad Action Fraud chiamando il numero 0300 123 2040 o utilizzando lo strumento di segnalazione online
  • Non pagare la domanda
  • Conserva le email originali (con intestazioni)
  • Mantieni una cronologia dell'attacco, registrando tutti gli orari, il tipo e il contenuto del contatto

Se stai riscontrando un DDoS in questo momento dovresti:

  • Segnalalo ad Action Fraud chiamando immediatamente il numero 0300 123 2040.
  • Chiama il tuo provider di servizi Internet (ISP) (o provider di hosting se non ospiti il ​​tuo server Web), digli che sei sotto attacco e chiedi aiuto.
  • Mantieni una sequenza temporale degli eventi e salva i registri del server, i registri web, i registri delle e-mail, qualsiasi acquisizione di pacchetti, grafici di rete, rapporti ecc.

Ottieni i migliori suggerimenti per Safe Online per proteggere la tua azienda da un attacco DDoS:

  • considera la probabilità e i rischi per la tua organizzazione di un attacco DDoS e metti in atto misure appropriate di riduzione / mitigazione delle minacce.
  • Se tu considera che la protezione è necessaria, parla con uno specialista della prevenzione DDoS.
  • Che tu sia a rischio di un attacco DDoS o meno, dovresti disporre di strutture di hosting in grado di gestire grandi volumi inaspettati di visite ai siti web.
la squadra di lucertole si è sciolta dopo gli attacchi PSN degli ultimi anni, queste minacce si sono rivelate false http://www.ibtimes.co.uk/fake-lizard-squad-ddos-demands-hit-uk-businesses-spurring-police-warning-1558049
Grazie, sono negli Stati Uniti ma sono sicuro che sarà utile per gli altri.
@JamesKirkby sì, ma sono ancora utili informazioni per il prossimo gruppo di ******** che ha la rete di bot acquistata pronta per l'uso.
Pepijn Schmitz
2016-05-06 21:09:51 UTC
view on stackexchange narkive permalink

Paga e sapremo che sei tu.

Questo è il punto: una minaccia vuota che assomiglia esattamente a quella che hai lì è stata in giro, che sempre contiene lo stesso indirizzo bitcoin . In altre parole: loro non possono sapere che sei tu se paghi, e quindi la minaccia deve essere un bluff. Eppure, secondo quanto riferito, centinaia di migliaia di dollari sono stati inviati a quell'indirizzo, da persone che ne hanno approfittato ...

Per scoprire se si tratta di un bluff, google l'indirizzo bitcoin. Immagino che sarai in grado di scoprire rapidamente se te ne hanno inviato uno unico, nel qual caso hai motivo di preoccuparti o no.

Steve Gibson ne ha parlato nell ' episodio 557 del suo podcast Security Now (trascrizione qui). I miei soldi sono che si tratta di un bluff, dal momento che il tuo testo sembra essere uguale parola per parola a quello di cui parla Steve Gibson.

Ho trovato solo l'indirizzo bitcoin che hanno inviato, menzionato su un altro sito web.Chissà però quante altre persone hanno ricevuto questo stesso indirizzo.Al momento non risulta che qualcuno abbia effettuato pagamenti all'indirizzo.
@alexw Direi che anche una sola scoperta è sufficiente per concludere che è un bluff.Potrebbero solo dire che sei quello che ha pagato se ti inviano, e solo tu, un indirizzo univoco.
dan
2016-05-05 17:39:17 UTC
view on stackexchange narkive permalink

Questa e-mail minacciosa sembra essere proprio questo: una minaccia.

Non devi tollerarla, qualunque cosa facciano, questa è una semplice estorsione.

Segnalalo a:

  • la tua società di hosting, inviando loro una copia originale dell'e-mail minacciosa (con tutte le intestazioni nella loro forma originale. Trasferisci come allegato all'interno di qualsiasi e-mail professionale cliente),

  • la tua agenzia di sicurezza nazionale o dipartimento di polizia IT specializzato con una copia originale dell'e-mail minacciosa.

[...] il mondo è in maggior pericolo da parte di coloro che tollerano o incoraggiano il male
che da coloro che lo commettono realmente.
Albert Einstein

Steve Jessop
2016-05-05 17:59:53 UTC
view on stackexchange narkive permalink

Sembra un bluff per tutte le ragioni fornite in altre risposte.

Se stanno pianificando di attaccarti con una larghezza di banda assoluta, allora non ti stanno solo attaccando, ma attaccherebbero la rete connessione del tuo VPS.

Pertanto, anche se questo attacco sembra improbabile, è probabilmente meglio informare il tuo fornitore VPS che si è verificata la minaccia. Potrebbero dirti di ignorarlo (e le minacce future), ma poiché li influenzerà se mai dovesse accadere, la cosa cortese da fare è fargli sapere e scoprire la loro politica. Probabilmente hanno già visto minacce come questa e, in tal caso, hanno più esperienza di te nel decidere se e quando coinvolgere le forze dell'ordine.

Ovviamente questo dipende in una certa misura dal tuo fornitore di VPS: se ti capita di sappi che il loro servizio clienti non risponde o è incompetente, quindi non c'è molto che puoi fare in quella direzione.

Kevin
2016-05-10 13:12:07 UTC
view on stackexchange narkive permalink

Non fare nulla, probabilmente è un bot che ti invia comunque quell'email. Non conoscono il tuo indirizzo IP e non lo scopriranno se non rispondi. Anche se lo fanno, potresti notare che la tua connessione inizia a rallentare. In tal caso, informa semplicemente il tuo ISP e richiedi un nuovo indirizzo IP, problema risolto.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...