Колко струва DDoS, Securelist

Distributed Denial of Service (DDoS) атака е един от най-популярните инструменти в арсенала на киберпрестъпниците. Мотивът за DDoS атака може да бъде всичко - от кибертормоз до изнудване. Има случаи, когато престъпни групи са заплашвали жертвите си с DDoS атака, ако не им платят 5 биткойна (т.е. повече от $5000). Често DDoS атака се използва за разсейване на ИТ персонала, докато се извършва друго киберпрестъпление, като кражба на данни или злонамерен софтуер.

Всеки може да стане жертва на DDoS атака: организирането й е евтин и сравнително прост процес, а ефективността при липса на надеждна защита е висока. Въз основа на анализа на данни, получени от отворени източници (например от оферти за организиране на DDoS атаки на интернет форуми или в Tor), ние разбрахме цената на услугите за DDoS атака на черния пазар в момента и също така определихме какво точно DDoS киберпрестъпниците предлагат на своите клиенти.

DDoS като услуга

ddos

Един от многобройните примери за уеб услуга за поръчване на DDoS атаки, който прилича повече на уеб страница на някакъв ИТ стартъп, отколкото на киберпрестъпна организация

Тези уеб услуги са пълноценни уеб приложения, които позволяват на регистрираните клиенти да управляват своя баланс и бюджет за DDoS атаки. В някои случаи разработчиците са предоставили система от бонуси и кредити, които могат да бъдат присъдени за всяка атака, извършена с тази услуга. С други думи, киберпрестъпниците разработват програми за лоялност и обслужване на клиенти.

колко

Предложение в един от българските публични форуми: Услуга за организиране на DDoS атакаот $50 на ден

колко

Статистика на една от услугите, показваща нейната популярност сред клиентите на DDoS (479270 реализирани атаки)

струва

Статистика на една от услугите, показваща популярността на някои сценарии на DDoS атака

струва

Информация за популярността на DDoS услугата сред нарушителите

DDoS скорости

Характеристиките на DDoS атаките, които атакуващите подчертават в описанието на своите услуги, засягат както предимството на DDoS услугата пред конкурентите, така и избора, който клиентът на атаката прави в полза на определена услуга:

Обект на нападение и неговите характеристики. Престъпник, който предприеме атака срещу държавен ресурс, може да формира около себе си аудитория от клиенти, които се интересуват от тази услуга. Съответно за тази услуга злодеят може да поиска повече, отколкото за услугата за атака на онлайн магазин. Важна роля в ценообразуването на услугите може да играе и наличието на всякакви средства за защита срещу DDoS атаки от страна на жертвата: ако те използват системи за филтриране на трафика, за да защитят своите ресурси, тогава престъпниците са принудени да измислят методи за заобикалянето им, за да направят атаката си ефективна, което означава, че цената също ще се увеличи.

Сценарий на атака. Необходимостта от организиране на „нетипична“ DDoS атака (например, клиент може да изиска от собственика на ботнет да редува различни методи за DDoS атака в рамките на кратък период от време или да приложи няколко метода едновременно) може да увеличи цената й.

Средна цена на услуга за DDoS атака в определена страна. Наличието на конкуренти принуждава киберпрестъпниците да повишават или понижават цените на своите услуги. В допълнение, злодеите се опитват да вземат предвид платежоспособността на своята публика исъобразно това изграждат своите политики (например предложение за организиране на DDoS атака за клиенти от САЩ ще бъде по-скъпо от подобно предложение в България).

С предлагането на характеристиките на своя ботнет, организаторите на DDoS услугите, които открихме, предлагат на клиентите си тарифна скала, при която купувачът плаща за наемане на капацитета на ботнета на секунда. Така например 300 секунди DDoS атака с помощта на ботнет с обща честотна лента от 125 GB в секунда ще струва на клиента 5 евро. В същото време всички други характеристики (капацитет и сценарии) бяха еднакви за всички тарифи.

колко

Цена на една от основните услуги за организиране на DDoS атаки

На свой ред 10 800 секунди DDoS атаки ще струват на клиента $60, или около $20/час атака, чиито характеристики (сценарий на атака и използвана изчислителна мощност) злодеите не винаги са посочвали в своя ресурс за опитни клиенти. Очевидно не всички нападатели смятат за уместно да разкрият вътрешната работа на своя ботнет (и е напълно възможно не всички собственици на ботнет, поради своята некомпетентност, да разбират техническите му характеристики). По-специално, злодеите не разкриват вида на ботовете, включени в ботнета, за да.

За посочената цена престъпниците обещават на клиентите си да реализират доста тривиални сценарии:

  • SYN-наводнение;
  • UDP-наводнение;
  • NTP усилване;
  • Многовекторно усилване (няколко сценария на усилване едновременно).

струва

Ценова листа на услуга, която ви позволява да поръчате DDoS атака на произволен ресурс с няколко кликвания и да получите подробен отчет за предоставената услуга

Някои услуги предлагат избор на конкретен сценарий на атака, което позволявакиберпрестъпниците да комбинират различни сценарии и да извършват атаки, като вземат предвид индивидуалните характеристики на жертвата. Например, ако жертвата се справи успешно със SYN наводнението, злодеят може да превключи сценария на атака в контролния панел и да оцени реакцията на жертвата.

струва

Тарифни планове на една от англоезичните услуги, която разбива тарифната си скала по броя секунди на DDoS атака

Сред предложенията, които анализирахме, срещнахме и такива, в които нападателите предлагат различни цени за услугите си, които зависят от вида на жертвата.

струва

Информация, открита в сайт на български език, изцяло посветен на услугата DDoS атака

Например, атакуващите предлагат цена от $400 на ден за сайт/сървър, използващ услуги за защита от DDoS, тоест 4 пъти повече, отколкото за сайт без защита.

Освен това не всеки киберпрестъпник, организиращ DDoS атаки, ще атакува държавни ресурси: те са под надзора на правоприлагащите органи и организаторите на атаките не искат отново да „блестят“ своите ботнети. Попаднахме обаче на предложения, в които DDoS атаките на държавни ресурси бяха включени в тарифната скала като отделна позиция.

ddos

„Цената може да бъде променена, ако ресурсът има политически статус“ - съобщава ресурс, посветен на организирането на DDoS атаки

Любопитно е, че някои престъпници не се колебаят да предоставят защита срещу DDoS атаки заедно с техните DDoS услуги.

струва

Сред услугите за организиране на DDoS атаки има и услуги за защита срещу DDoS атаки

Пример за ценообразуване

Например, помислете за сценария на DDoS атака "с усилване" (DNS Amplification). Същността на атаката е, че нападателят изпраща специалнизаявка, формирана по начин (условно 100 байта) към уязвим DNS сървър, като последният отговаря на „подателя“ (т.е. жертвата) сoпо-голямо количество (килобайт) данни. Един ботнет може да се състои от десетки и дори стотици такива сървъри или ресурси на някой доставчик на обществени облачни услуги. Нека добавим тук публичните уеб услуги за тестване на натоварване, с помощта на които можете да реализирате атака като „SaaS Amplification“, и получаваме доста тежък „чук“.

колко

DDoS = облак + DNS усилване + SaaS усилване

колко

ddos

Ценова листа за екземпляри от популярни доставчици на облачни услуги

По този начин „цената“ на атака с използване на облачна ботнет от 1000 работни станции може да бъде около $7 на час атака за изпълнител. Имайки предвид тарифните скали на услугите, които намерихме, средната цена на атака струва на клиента 25 долара на час. А това от своя страна означава, че киберпрестъпник, който организира DDoS, печели около $18 на час атака.

Заключение

Клиентите на разглежданите услуги са добре запознати с ползите от провеждането на DDoS атаки и тяхната ефективност. Цената на петминутна атака срещу голям онлайн магазин е около $5. Жертвата, от друга страна, може да загуби много повече, като загуби клиенти, които просто не могат да направят поръчка. Можете дори да си представите колко клиенти ще загуби един онлайн магазин, ако атаката продължи цял ден.

Освен това трябва да се разбере, че DDoS, и по-специално DDoS изнудването, вече се превърна в бизнес с висок марж: рентабилността на една атака може да надхвърли 95%. И фактът, че собствениците на онлайн сайтове често са готови да платят компенсации, без дори да проверят дали нападателите наистина могат да извършат атака (която вече е започналаизползвани от измамници от различен вид), налива още повече масло в огъня. Всичко по-горе дава основание да се прогнозира, че средната цена на DDoS атаките само ще намалее в близко бъдеще, докато тяхната честота ще се увеличи.