Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Koszt przeprowadzenia ataku DDoS

Tagi:

Niemal każdy może paść ofiarą ataku DDoS. Są one stosunkowo tanie i łatwe do zorganizowania, a przy tym mogą być niezwykle skuteczne, jeśli nie zastosowano niezawodnej ochrony. Na podstawie analizy danych uzyskanych z otwartych źródeł zdołaliśmy określić aktualny koszt ataku DDoS na czarnym rynku. Ustaliliśmy również, co dokładnie oferują swoim klientom cyberprzestępcy stosujący ataki DDoS.   

Atak DDoS (distributed denial-of-service) stanowi jedno z najpopularniejszych narzędzi w arsenale cyberprzestępców. Różne są motywy stosowania takich ataków – od cyberchuligaństwa po wyłudzenia. Odnotowano przypadki, gdy grupy przestępcze groziły ofiarom atakiem DDoS, jeśli nie zapłacą 5 bitcoinów (ponad 5 000 dolarów). Często atak DDoS jest stosowany w celu odwrócenia uwagi personelu IT, aby w tym czasie można było przeprowadzić inne cyberprzestępstwo, np. kradzież danych lub wstrzykiwanie szkodliwego oprogramowania.   

Ofiarą ataków DDoS może paść niemal każdy. Są one stosunkowo tanie i łatwe do zorganizowania i mogą być wysoce skuteczne w przypadku braku niezawodnej ochrony. Na podstawie analizy danych uzyskanych z otwartych źródeł (np. ofert przeprowadzenia ataków DDoS znalezionych na forach internetowych lub w sieci Tor) zdołaliśmy określić obecny koszt ataku DDoS na czarnym rynku. Ustaliliśmy również, co dokładnie oferują swoim klientom cyberprzestępcy stosujący ataki DDoS.      

DDoS jako usługa

Zamawianie ataku DDoS odbywa się zwykle za pośrednictwem w pełni rozwiniętego serwisu internetowego, dzięki czemu nie ma potrzeby bezpośredniego kontaktu między organizatorem a klientem. W większości ofert, jakie znaleźliśmy, znajdowały się nie dane kontaktowe, a odsyłacze do takich zasobów. Klienci mogą za ich pośrednictwem dokonać płatności, uzyskać raporty z przeprowadzonych ataków lub skorzystać z dodatkowych usług. W rzeczywistości funkcjonalność takich serwisów jest podobna do tej oferowanej przez legalne serwisy.

ddos_economics_en_1_auto.png
Przykład serwisu służącego do zamawiania ataków DDoS, który bardziej niż operację cyberprzestępczą przypomina stronę internetową start-upu IT

 

Tego rodzaju serwisy internetowe stanowią w pełni funkcjonalne aplikacje sieciowe, które umożliwiają zarejestrowanym klientom zarządzanie saldem oraz planowanie budżetów ataków DDoS. Niektórzy twórcy oferują nawet punkty bonusowe za każdy atak przeprowadzony przy użyciu ich serwisu. Innymi słowy, cyberprzestępcy posiadają własne programy lojalnościowe i obsługi klientów.  

ddos_economics_en_2_auto.png
Serwis ataków DDoS reklamowany na rosyjskim forum publicznym i oferujący ataki w cenie od 50 dolarów za dzień  

Niektóre ze zidentyfikowanych przez nas serwisów zawierały informacje dotyczące liczby zarejestrowanych użytkowników jak również dane odnośnie liczby ataków przeprowadzonych jednego dnia. Wiele serwisów internetowych oferujących ataki DDoS utrzymuje, że posiada dziesiątki tysięcy zarejestrowanych kont. Jednak liczby te mogą być zawyżone przez właścicieli serwisów, którzy chcą, aby ich zasoby sprawiały wrażenie popularniejszych.   

ddos_economics_en_3.png
Statystyki podane przez jeden z serwisów w celu wykazania jego popularności wśród klientów zamawiających ataki DDoS (479270 zaimplementowanych ataków)

ddos_economics_en_4_auto.png
Statystyki podane przez jeden z serwisów w celu wykazania popularności scenariuszy ataków DDoS

ddos_economics_en_5_auto.png
Informacje dotyczące popularności serwisu DDoS

Stawki za ataki DDoS

Specjalne funkcje podkreślane w reklamach serwisów DDoS mogą zapewnić danemu serwisowi przewagę nad konkurencją i przekonać klientów:

  1. Cel i jego charakterystyka. Cyberprzestępca, który zgadza się zaatakować zasób rządowy, przyciągnie klientów, którzy są zainteresowani tą konkretną usługą. Atakujący może zażądać większej stawki za tego rodzaju usługę niż w przypadku ataku na sklep internetowy. Cena może również zależeć od rodzaju ochrony przed atakami DDoS stosowanej przez potencjalną ofiarę: jeśli cel ataku wykorzystuje systemy filtrowania ruchu, aby zabezpieczyć swoje zasoby, cyberprzestępcy muszą wymyśleć sposoby ich obejścia w celu zapewnienia skuteczności ataku, a to oznacza również wyższą cenę.           
  2. Źródła ataków i ich charakterystyka. Czynnik ten może wpłynąć na kwotę żądaną przez osoby atakujące za przeprowadzenie ataków. Im tańszy w utrzymaniu botnet (kwota ta zależy np. od średniego kosztu zainfekowania urządzenia i włączania go do botnetu), tym większe prawdopodobieństwo, że cyberprzestępcy zażądają za swoje usługi zaniżonych cen w stosunku do jakości. Na przykład, botnet złożony ze 1000 kamer monitoringowych może być tańszy pod względem organizacji niż botnet złożony ze 100 serwerów. Wynika to z tego, że kamery i inne urządzenia Internetu Rzeczy posiadają obecnie mniejsze zabezpieczenia – o czym ich właściciele wolą często nie myśleć.      
  3. Scenariusz ataku. Ceny mogą wzrosnąć w przypadku zamówień dotyczących nietypowych ataków DDoS (np. klient może poprosić właściciela botnetu, aby w krótkim okresie czasu zmieniał metody przeprowadzania ataków DDoS lub wykorzystywał kilka metod jednocześnie).
  4. Średni koszt ataku DDoS jako usługi w danym państwie. Konkurencja może spowodować wzrost lub obniżenie kosztów usług cyberprzestępców. Cyberprzestępcy starają się również uwzględnić, ile ich klienci są w stanie zapłacić, dostosowując swoje polityki cenowe do ich możliwości (np. za podobny atak DDoS klienci amerykańscy zapłacą więcej niż osoby z Rosji).  

Oprócz określonych funkcji botnetu organizatorzy serwisów DDoS oferują również klientom plan taryfowy, według którego klient płaci stawkę za wydzierżawienie mocy botnetu naliczaną od sekundy. Na przykład, 300 sekundowy atak DDoS przy użyciu botnetu o łącznej przepustowości 125 Gbps będzie kosztował 5 euro, przy czym wszystkie inne parametry (moc i scenariusze) będą takie same dla wszystkich taryf.

ddos_economics_en_6_auto.png
Cennik jednego z największych serwisów oferujących ataki DDoS

Atak DDoS trwający 10 800 sekund będzie kosztował klienta 60 dolarów, lub około 20 dolarów na godzinę, jednak specyfikacje dot. ataku (scenariusz i wykorzystana moc obliczeniowa) nie zawsze są podawane w widocznym dla klienta zasobie. Najwyraźniej nie wszyscy cyberprzestępcy uważają, że należy ujawniać, jak działa ich botnet (niektórzy właściciele mogą nie rozumieć danych technicznych swoich botnetów). W szczególności, nie ujawniają oni, z jakiego rodzaju botów składa się botnet.     

Cena ta obejmuje realizację następujących, dość trywialnych scenariuszy:

  • SYN-flood;
  • UDP-flood;
  • NTP-amplification;
  • Multi-vector amplification (kilka scenariuszy ataku polegającego na sztucznym spotęgowaniu ruchu jednocześnie).

ddos_economics_en_7_auto.png
Cennik w serwisie, który za pomocą kilku kliknięć pozwala klientom zamówić atak DDoS na dowolny zasób wraz ze szczegółowym raportem

Niektóre serwisy oferują wybór różnych scenariuszy ataków, co pozwala cyberprzestępcom połączyć różne scenariusze i przeprowadzić ataki dostosowane do indywidualnego profilu ofiary. Na przykład, jeśli ofiara poradzi sobie z atakiem typu SYN-flood, osoba atakująca może zmienić scenariusz w panelu sterowania i zbadać reakcję ofiary.  

ddos_economics_en_8_auto.png
Różne stawki angielsko-języcznego serwisu, który uzależnia swoje ceny od długości trwania ataku DDoS  

Wśród przeanalizowanych przez nas ofert znajdowały się takie, w których osoby atakujące podawały różne ceny za usługi w zależności od typu ofiary.

ddos_economics_en_9_auto.png
Informacje znalezione na rosyjskiej stronie całkowicie poświęconej usługom DDoS

Na przykład, cyberprzestępcy żądali 400 dolarów dziennie za zaatakowanie strony/serwera, który stosuje ochronę przed atakami DDoS – czterokrotnie więcej niż za atak na niezabezpieczoną stronę. 

Co więcej, nie wszyscy cyberprzestępcy oferujący ataki DDoS zgodzą się zaatakować zasoby rządowe: tego rodzaju strony są dokładnie monitorowane przez organy ścigania, a organizatorzy ataków DDoS nie chcą narażać swoich botnetów. Trafiliśmy jednak na serwisy oferujące ataki na zasoby rządowe jako oddzielną pozycję w cenniku.  

ddos_economics_en_10_auto.png
„Cena może się różnić, jeśli zasób posiada status polityczny” – czytamy w zasobie promującym ataki DDoS

Co ciekawe, niektórzy przestępcy nie widzą nic złego w tym, że oprócz usług obejmujących ataki DDoS zapewniają również ochronę przed takimi atakami.

ddos_economics_en_11_auto.png
Niektóre serwisy oferujące ataki DDoS mogą również oferować ochronę przed takimi atakami

Cennik: przykład “chmury”

Rozważmy scenariusz ataku polegającego na sztucznym potęgowaniu ruchu DNS. W scenariuszu tym specjalnie utworzone żądanie (na przykład o rozmiarze 100 bajtów) wysyłane jest do podatnego na ataki serwera DNS, który odpowiada „nadawcy” (tj. ofierze) większą ilością (kilobajtem) danych. Botnet może składać się z dziesiątek, lub nawet setek takich serwerów lub zasobów publicznego dostawcy usług w chmurze. Jeśli dodamy do tego publiczne usługi testowania obciążenia sieci, które mogą być wykorzystane do przeprowadzenia ataku sztucznego potęgowania ruchu SaaS, w efekcie uzyskamy dość ciężki „młot dwuręczny”.       

ddos_economics_en_12_auto.png
DDoS = Chmura + sztuczne spotęgowanie ruchu DNS + sztuczne spotęgowanie ruchu SaaS

Koszt takiej usługi zależy od kosztu zasobów dostawcy. Zbadajmy to na przykładzie Amazon EC2 – cena wirtualnego dedykowanego serwera z minimalną konfiguracją wynosi około 0,0065 dolarów na godzinę. Zatem 50 serwerów wirtualnych wykorzystanych do zorganizowania ataku o niewielkiej mocy na sklep internetowy będzie kosztowało cyberprzestępców 0,325 dolarów za godzinę. Uwzględniając dodatkowe koszty (np. karta SIM w celu zarejestrowania konta i dodanie do niego karty kredytowej), trwający godzinę atak DDoS przy użyciu serwisu w chmurze to dla przestępców koszt w okolicach 4 dolarów.     

ddos_economics_en_13_auto.png
Cennik dla popularnych dostawców usług w chmurze

To oznacza, że rzeczywisty koszt ataku przeprowadzonego przy użyciu botnetu złożonego ze 1000 stacji roboczych może wynosić 7 dolarów za godzinę. Ceny ofertowe znalezionych przez nas usług wynosiły średnio 25 dolarów za godzinę, co oznacza, że cyberprzestępcy organizujący ataki DDoS zarabiają na czysto około 18 dolarów za każdą godzinę ataku. 

Podsumowanie

Klienci opisywanych usług doskonale wiedzą, jakie są korzyści oraz skuteczność ataków DDoS. Koszt pięciominutowego ataku na duży sklep internetowy wynosi około 5 dolarów. Jednak ofiara może stracić znacznie więcej, ponieważ atak uniemożliwi składanie zamówień przez potencjalnych klientów. A co dopiero w przypadku, gdy atak będzie trwał cały dzień?

Jednocześnie, cyberprzestępcy wciąż aktywnie poszukują nowych i tańszych sposobów tworzenia botnetów. Niestety, zadanie to ułatwia im Internet Rzeczy. Jednym z obecnych trendów jest infekowanie urządzeń Internetu Rzeczy (kamer przemysłowych, systemów DVR, „inteligentnych” urządzeń domowych itd.), a następnie wykorzystywanie ich do przeprowadzania ataków DDoS. Jak długo istnieją podatne na ataki urządzenia Internetu Rzeczy, cyberprzestępcy mogą je wykorzystywać. 

Należy zauważyć, że ataki DDoS, a w szczególności te związane z oprogramowaniem ransomware, już teraz stanowią niezwykle dochodowy biznes: zysk z jednego ataku może przekroczyć 95%. Sprawę pogarsza dodatkowo fakt, że właściciele stron internetowych są często skłonni zapłacić okup, nie sprawdzając nawet, czy szantażyści są w stanie przeprowadzić atak. Wszystko to sugeruje, że średni koszt ataków DDoS zmniejszy się w najbliższej przyszłości, za to wzrośnie ich częstotliwość.