Атака типа Distributed Denial of Service (DDoS) является одним из самых популярных инструментов в арсенале киберпреступников. Мотивом для DDoS-атаки может быть что угодно — от кибер-хулиганства до вымогательства. Известны случаи, когда преступные группы угрожали своим жертвам DDoS-атакой, если те не заплатят им 5 биткоинов (то есть больше $5000). Часто DDoS-атаку используют для того, чтобы отвлечь ИТ-персонал, пока происходит другое киберпреступление, например, кража данных или внедрение вредоносного ПО.
Материал подготовлен специально для Securelist
Жертвой DDoS-атаки может стать кто угодно: ее организация — процесс недорогой и довольно простой, а эффективность, при отсутствии надежной защиты, высока. На основе анализа данных, полученных из открытых источников (например, из предложений об организации DDoS-атак на форумах в интернете или в Tor), мы выяснили стоимость услуг DDoS-атак на черном рынке в настоящее время, а также определили, что именно предлагают своим заказчикам киберпреступники, занимающиеся организацией DDoS.
DDoS как сервис
Процесс заказа DDoS осуществляется, как правило, с помощью полноценных веб-сервисов, исключающих необходимость прямого контакта организатора атаки и заказчика. В подавляющем большинстве авторы найденных нами предложений вместо своих контактных данных оставляют ссылки на подобные ресурсы. С их помощью потенциальный заказчик может внести оплату, получить отчет о проделанной работе и воспользоваться дополнительными услугами. По сути, их функциональность мало чем отличается от сервисов, предлагающих услуги легальные.
Один из многочисленных примеров веб-сервиса для заказа DDoS-атак, который напоминает скорее веб-страницу какого-то IT-стартапа, нежели киберкриминальной организации
Подобные веб-сервисы представляют собой полноценные веб-приложения, которые позволяют зарегистрированным заказчикам управлять балансом и планировать бюджет на проведение DDoS-атак. В некоторых случаях разработчики предусмотрели систему бонусов и кредитов, которые могут начисляться за каждую проведенную атаку с использованием данного сервиса. Другими словами, киберпреступники развивают программы лояльности и клиентский сервис.
Предложение на одном из российских публичных форумов: сервис организации DDoS-атаки от $50 в сутки
Некоторые из найденным нами сервисов содержали опубликованную информацию о количестве зарегистрированных пользователей, а также данные о числе атак в день. Порядок количества регистраций на многих веб-сервисах для организации DDoS-атак измеряется десятками тысяч учетных записей. Однако, данная информация может не соответствовать действительности и предоставляться владельцами сервисов специально с целью искусственного увеличения популярности ресурса.
Статистика одного из сервисов, демонстрирующая его популярность среди заказчиков DDoS (479270 реализованных атак)
Статистика одного из сервисов, демонстрирующая популярность некоторых сценариев DDoS-атак
Информация о популярности среди злоумышленников сервиса DDoS-атак
Расценки на DDoS
Особенности DDoS-атак, которые злоумышленники выделяют в описании своих услуг, влияют как на преимущество DDoS-сервиса перед конкурентами, так и на выбор, который Заказчик атаки делает в пользу того или иного сервиса:
- Объект атаки и его характеристики. Преступник, который берется за реализацию атаки на государственный ресурс, может сформировать вокруг себя адиторию Заказчиков, которым интерессен данный сервис. Соответственно за данную услугу, злодей может запросить больше, чем за услугу атаки на интернет-магазин. Важную роль в ценообразовании услуг может также играть наличие каких-либо средств защиты от DDoS-атак на стороне жертвы: если она используют системы фильтрации трафика для защиты своих ресурсов, то преступники вынуждены изобретать методы их обхода, чтобы сделать свою атаку эффективной, а значит, вырастет и цена.
- Источники атаки и их характеристики. Данный фактор может определять цену, которую злоумышленники выставляют за организацию атак: чем дешевле злодею обходится содержание ботнета (которе, например, определяется средней стоимостью заражения одного устройства для включения его в ботнет), тем с большей вероятностью преступник может демпинговать цену на свои услуги. Например, сеть, состоящая из 1000 камер наблюдения, может быть дешевле в плане организации, чем ботнет из 100 серверов: камеры и прочие IoT-устройства в настоящий момент менее защищены, а их владельцы, по сути, игнорируют проблему.
- Сценарий атаки. Потребность в организации «нетипичной» DDoS-атаки (к примеру, заказчик может потребовать от владельца ботнета чередовать различные методы DDoS-атаки в течение короткого промежутка времени или реализовать несколько методов одновременно) может увеличить ее стоимость.
- Средняя стоимость услуги DDoS-атаки в конкретной стране. Наличие конкурентов заставляет киберпреступников поднимать или снижать цены на свои услуги. Кроме того, злодеи стараются учитывать платежеспособность своей аудитории и соответствующим образом строят свою политику (например, предложение организации DDoS-атаки для заказчиков из США будет дороже аналогичного предложения в России).
С предложением характеристик своего ботнета, организаторы найденных нами DDoS-сервисов предлагают своим клиентам тарифную сетку, в которой покупатель оплачивает посекундную аренду мощностей ботнета. Так, например, 300 секунд DDoS-атаки при помощи ботнета, суммарная пропускная способность канала которого составляет 125 Гбайт в секунду, обойдется заказчику в 5 евро. При этом все остальные характеристики (мощность и сценарии) были одинаковыми для всех тарифов.
Прайс-лист одного из крупных сервисов для организации DDoS-атак
В свою очередь, 10800 секунд DDoS-атаки обойдутся клиенту в $60 или примерно $20/час атаки, особенности которой (сценарий атаки и используемые вычислительные мощности) злодеи не всегда указывали на своем ресурсе для опытных клиентов. Видимо, не все злоумышленники считают уместным раскрывать внутреннюю кухню своего ботнета (а вполне возможно, не все владельцы ботнетов, в силу своей некомпетентности, понимают его технические характеристики). В частности, злодеи не раскрывают тип ботов, входящих в ботнет для того.
За указанную цену преступники обещают своим клиентам реализовать довольно тривиальные сценарии:
- SYN-flood;
- UDP-flood;
- NTP-amplification;
- Multi-vector amplification (несколько amplification-сценариев одновременно).
Прайс-лист сервиса, позволяющего в несколько кликов заказать DDoS-атаку на произвольный ресурс и получить детальный отчет об оказанной услуге
Некоторые сервисы предлагают выбрать конкретный сценарий атаки, что позволяет киберпреступникам комбинировать разные сценарии и осуществлять атаки с учетом индивидуальных особенностей жертвы. К примеру, если жертва успешно справляется с SYN-flood, злодей может переключить сценарий атаки в панели управления и оценить реакцию жертвы.
Тарифные планы одного из англоязычных сервисов, который разбивает свою тарифную сетку по числу секунд DDoS-атаки
Среди проанализированных нами предложений также встретились те, в которых злоумышленники предлагают разную цену на свои услуги, которая зависит от типа жертвы.
Информация, найденная на русскоязычном сайте, целиком посвященном сервису DDoS-атак
Например, злоумышленники предлагают цену от $400 в сутки за сайт/сервер, пользующийся услугами защиты от DDoS, то есть в 4 раза больше, чем за сайт без защиты.
Кроме того, не каждый киберпреступник, занимающийся организацией DDoS-атак, возьмется за атаку государственных ресурсов: они находятся под наблюдением правоохранительных органов, а организаторы атак не хотят лишний раз «светить» свои ботнеты. Однако нам встречались предложения, в которых DDoS-атаки государственных ресурсов были включены в тарифную сетку отдельным пунктом.
«Цена может быть изменена, если ресурс имеет политический статус» — сообщает ресурс, посвященный организации DDoS-атак
Любопытно, что некоторые преступники не брезгуют наряду со своими сервисами DDoS предоставлять и защиту от DDoS-атак.
Среди услуг организации DDoS-атак также присутствуют услуги защиты от DDoS-атак
Пример ценообразования
Рассмотрим для примера сценарий DDoS-атаки «с усилением» (DNS Amplification). Суть атаки заключается в том, что злоумышленник отправляет специальным образом сформированный запрос (объемом, условно, 100 байт) к уязвимому DNS-серверу, а тот отвечает «отправителю» (т.е. жертве) большим объемом (килобайтом) данных. Ботнет может состоять их десятков и даже сотен таких серверов или ресурсов какого-нибудь публичного облачного сервис-провайдера. Добавим сюда публичные веб-сервисы нагрузочного тестирования, с помощью которых можно реализовать атаку типа «SaaS Amplification», и получим довольно тяжелую «кувалду».
DDoS = Облако + DNS Amplification + SaaS Amplification
При этом стоимость данной услуги будет зависеть от стоимости ресурсов ее провайдера. В качестве примера можно взять Amazon EC2 — цена за виртуальный выделенный сервер минимальной конфигурации (а для DDoS-атаки важна не столько конфигурация зараженной рабочей станции, сколько пропускная способность ее соединения) составляет примерно $0.0065 в час. Соответственно 50 виртуальных серверов для организации DDoS-атаки малой мощности на какой-нибудь интернет-магазин будет стоить киберпреступникам $0.325 в час. Учитывая дополнительные расходы преступников (например, расходы на приобретение SIM-карты для регистрации аккаунта и привязку кредитной карты), 1 час DDoS-атаки с использованием облачного сервиса обойдется злодеям примерно в $4.
Прайс-лист инстансов от популярных облачных сервис-провайдеров
Таким образом, «себестоимость» атаки, с использованием облачного ботнета из 1000 рабочих станций может составлять для исполнителя около $7 за час атаки. Учитывая тарифные сетки найденных нами сервисов, средняя цена атаки обходится заказчику в $25 за час. А это в свою очередь, означает, что киберпреступник, который организует DDoS, получает прибыль около $18 за час атаки.
Заключение
Клиенты рассмотренных сервисов прекрасно понимают выгоду от проведения DDoS-атак и их эффективность. Стоимость пяти минут атаки на крупный интернет-магазин составляет около в 5 долларов. Жертва же может потерять куда больше, лишившись покупателей, которые просто не смогут оформить заказ. Можно даже представить, скольких клиентов лишится интернет-магазин, если атака будет длиться целый день.
В то же время, преступники продолжают активно искать новые, более дешевые способы организации ботнетов. В этом плане «интернет вещей» очень облегчает им жизнь. В настоящее время одним из трендов развития является организация заражения IoT-устройств (камер видеонаблюдения, «умных» бытовых приборов и т.д.) и их последующее использование в DDoS-атаках. И пока есть уязвимые IoT-устройства, у злодеев есть возможность использовать их не по назначению.
Кроме этого, следует понимать, что DDoS и в особенности DDoS-вымогательство, уже превратились в высокомаржинальный бизнес: рентабельность одной атаки может превышать 95%. А тот факт, что владельцы онлайн-площадок зачастую готовы платить отступные даже не проверяя, могут ли злоумышленники действительно произвести атаку (чем уже начали пользоваться мошенники другого рода), еще сильнее подливает масла в огонь. Все вышесказанное дает основания сделать прогноз, что средняя стоимость DDoS-атак в ближайшее время будет лишь снижаться, а их частота расти.