Home → Analizy → Ogólne → Luki i hakerzy → Koszt przeprowadzenia ataku DDoS
Niemal każdy może paść ofiarą ataku DDoS. Są one stosunkowo tanie i łatwe do zorganizowania, a przy tym mogą być niezwykle skuteczne, jeśli nie zastosowano niezawodnej ochrony. Na podstawie analizy danych uzyskanych z otwartych źródeł zdołaliśmy określić aktualny koszt ataku DDoS na czarnym rynku. Ustaliliśmy również, co dokładnie oferują swoim klientom cyberprzestępcy stosujący ataki DDoS.
Atak DDoS (distributed denial-of-service) stanowi jedno z najpopularniejszych narzędzi w arsenale cyberprzestępców. Różne są motywy stosowania takich ataków – od cyberchuligaństwa po wyłudzenia. Odnotowano przypadki, gdy grupy przestępcze groziły ofiarom atakiem DDoS, jeśli nie zapłacą 5 bitcoinów (ponad 5 000 dolarów). Często atak DDoS jest stosowany w celu odwrócenia uwagi personelu IT, aby w tym czasie można było przeprowadzić inne cyberprzestępstwo, np. kradzież danych lub wstrzykiwanie szkodliwego oprogramowania.
Ofiarą ataków DDoS może paść niemal każdy. Są one stosunkowo tanie i łatwe do zorganizowania i mogą być wysoce skuteczne w przypadku braku niezawodnej ochrony. Na podstawie analizy danych uzyskanych z otwartych źródeł (np. ofert przeprowadzenia ataków DDoS znalezionych na forach internetowych lub w sieci Tor) zdołaliśmy określić obecny koszt ataku DDoS na czarnym rynku. Ustaliliśmy również, co dokładnie oferują swoim klientom cyberprzestępcy stosujący ataki DDoS.
Zamawianie ataku DDoS odbywa się zwykle za pośrednictwem w pełni rozwiniętego serwisu internetowego, dzięki czemu nie ma potrzeby bezpośredniego kontaktu między organizatorem a klientem. W większości ofert, jakie znaleźliśmy, znajdowały się nie dane kontaktowe, a odsyłacze do takich zasobów. Klienci mogą za ich pośrednictwem dokonać płatności, uzyskać raporty z przeprowadzonych ataków lub skorzystać z dodatkowych usług. W rzeczywistości funkcjonalność takich serwisów jest podobna do tej oferowanej przez legalne serwisy.
Przykład serwisu służącego do zamawiania ataków DDoS, który bardziej niż operację cyberprzestępczą przypomina stronę internetową start-upu IT
Tego rodzaju serwisy internetowe stanowią w pełni funkcjonalne aplikacje sieciowe, które umożliwiają zarejestrowanym klientom zarządzanie saldem oraz planowanie budżetów ataków DDoS. Niektórzy twórcy oferują nawet punkty bonusowe za każdy atak przeprowadzony przy użyciu ich serwisu. Innymi słowy, cyberprzestępcy posiadają własne programy lojalnościowe i obsługi klientów.
Serwis ataków DDoS reklamowany na rosyjskim forum publicznym i oferujący ataki w cenie od 50 dolarów za dzień
Niektóre ze zidentyfikowanych przez nas serwisów zawierały informacje dotyczące liczby zarejestrowanych użytkowników jak również dane odnośnie liczby ataków przeprowadzonych jednego dnia. Wiele serwisów internetowych oferujących ataki DDoS utrzymuje, że posiada dziesiątki tysięcy zarejestrowanych kont. Jednak liczby te mogą być zawyżone przez właścicieli serwisów, którzy chcą, aby ich zasoby sprawiały wrażenie popularniejszych.
Statystyki podane przez jeden z serwisów w celu wykazania jego popularności wśród klientów zamawiających ataki DDoS (479270 zaimplementowanych ataków)
Statystyki podane przez jeden z serwisów w celu wykazania popularności scenariuszy ataków DDoS
Informacje dotyczące popularności serwisu DDoS
Specjalne funkcje podkreślane w reklamach serwisów DDoS mogą zapewnić danemu serwisowi przewagę nad konkurencją i przekonać klientów:
Oprócz określonych funkcji botnetu organizatorzy serwisów DDoS oferują również klientom plan taryfowy, według którego klient płaci stawkę za wydzierżawienie mocy botnetu naliczaną od sekundy. Na przykład, 300 sekundowy atak DDoS przy użyciu botnetu o łącznej przepustowości 125 Gbps będzie kosztował 5 euro, przy czym wszystkie inne parametry (moc i scenariusze) będą takie same dla wszystkich taryf.
Cennik jednego z największych serwisów oferujących ataki DDoS
Atak DDoS trwający 10 800 sekund będzie kosztował klienta 60 dolarów, lub około 20 dolarów na godzinę, jednak specyfikacje dot. ataku (scenariusz i wykorzystana moc obliczeniowa) nie zawsze są podawane w widocznym dla klienta zasobie. Najwyraźniej nie wszyscy cyberprzestępcy uważają, że należy ujawniać, jak działa ich botnet (niektórzy właściciele mogą nie rozumieć danych technicznych swoich botnetów). W szczególności, nie ujawniają oni, z jakiego rodzaju botów składa się botnet.
Cena ta obejmuje realizację następujących, dość trywialnych scenariuszy:
Cennik w serwisie, który za pomocą kilku kliknięć pozwala klientom zamówić atak DDoS na dowolny zasób wraz ze szczegółowym raportem
Niektóre serwisy oferują wybór różnych scenariuszy ataków, co pozwala cyberprzestępcom połączyć różne scenariusze i przeprowadzić ataki dostosowane do indywidualnego profilu ofiary. Na przykład, jeśli ofiara poradzi sobie z atakiem typu SYN-flood, osoba atakująca może zmienić scenariusz w panelu sterowania i zbadać reakcję ofiary.
Różne stawki angielsko-języcznego serwisu, który uzależnia swoje ceny od długości trwania ataku DDoS
Wśród przeanalizowanych przez nas ofert znajdowały się takie, w których osoby atakujące podawały różne ceny za usługi w zależności od typu ofiary.
Informacje znalezione na rosyjskiej stronie całkowicie poświęconej usługom DDoS
Na przykład, cyberprzestępcy żądali 400 dolarów dziennie za zaatakowanie strony/serwera, który stosuje ochronę przed atakami DDoS – czterokrotnie więcej niż za atak na niezabezpieczoną stronę.
Co więcej, nie wszyscy cyberprzestępcy oferujący ataki DDoS zgodzą się zaatakować zasoby rządowe: tego rodzaju strony są dokładnie monitorowane przez organy ścigania, a organizatorzy ataków DDoS nie chcą narażać swoich botnetów. Trafiliśmy jednak na serwisy oferujące ataki na zasoby rządowe jako oddzielną pozycję w cenniku.
„Cena może się różnić, jeśli zasób posiada status polityczny” – czytamy w zasobie promującym ataki DDoS
Co ciekawe, niektórzy przestępcy nie widzą nic złego w tym, że oprócz usług obejmujących ataki DDoS zapewniają również ochronę przed takimi atakami.
Niektóre serwisy oferujące ataki DDoS mogą również oferować ochronę przed takimi atakami
Rozważmy scenariusz ataku polegającego na sztucznym potęgowaniu ruchu DNS. W scenariuszu tym specjalnie utworzone żądanie (na przykład o rozmiarze 100 bajtów) wysyłane jest do podatnego na ataki serwera DNS, który odpowiada „nadawcy” (tj. ofierze) większą ilością (kilobajtem) danych. Botnet może składać się z dziesiątek, lub nawet setek takich serwerów lub zasobów publicznego dostawcy usług w chmurze. Jeśli dodamy do tego publiczne usługi testowania obciążenia sieci, które mogą być wykorzystane do przeprowadzenia ataku sztucznego potęgowania ruchu SaaS, w efekcie uzyskamy dość ciężki „młot dwuręczny”.
DDoS = Chmura + sztuczne spotęgowanie ruchu DNS + sztuczne spotęgowanie ruchu SaaS
Koszt takiej usługi zależy od kosztu zasobów dostawcy. Zbadajmy to na przykładzie Amazon EC2 – cena wirtualnego dedykowanego serwera z minimalną konfiguracją wynosi około 0,0065 dolarów na godzinę. Zatem 50 serwerów wirtualnych wykorzystanych do zorganizowania ataku o niewielkiej mocy na sklep internetowy będzie kosztowało cyberprzestępców 0,325 dolarów za godzinę. Uwzględniając dodatkowe koszty (np. karta SIM w celu zarejestrowania konta i dodanie do niego karty kredytowej), trwający godzinę atak DDoS przy użyciu serwisu w chmurze to dla przestępców koszt w okolicach 4 dolarów.
Cennik dla popularnych dostawców usług w chmurze
To oznacza, że rzeczywisty koszt ataku przeprowadzonego przy użyciu botnetu złożonego ze 1000 stacji roboczych może wynosić 7 dolarów za godzinę. Ceny ofertowe znalezionych przez nas usług wynosiły średnio 25 dolarów za godzinę, co oznacza, że cyberprzestępcy organizujący ataki DDoS zarabiają na czysto około 18 dolarów za każdą godzinę ataku.
Klienci opisywanych usług doskonale wiedzą, jakie są korzyści oraz skuteczność ataków DDoS. Koszt pięciominutowego ataku na duży sklep internetowy wynosi około 5 dolarów. Jednak ofiara może stracić znacznie więcej, ponieważ atak uniemożliwi składanie zamówień przez potencjalnych klientów. A co dopiero w przypadku, gdy atak będzie trwał cały dzień?
Jednocześnie, cyberprzestępcy wciąż aktywnie poszukują nowych i tańszych sposobów tworzenia botnetów. Niestety, zadanie to ułatwia im Internet Rzeczy. Jednym z obecnych trendów jest infekowanie urządzeń Internetu Rzeczy (kamer przemysłowych, systemów DVR, „inteligentnych” urządzeń domowych itd.), a następnie wykorzystywanie ich do przeprowadzania ataków DDoS. Jak długo istnieją podatne na ataki urządzenia Internetu Rzeczy, cyberprzestępcy mogą je wykorzystywać.
Należy zauważyć, że ataki DDoS, a w szczególności te związane z oprogramowaniem ransomware, już teraz stanowią niezwykle dochodowy biznes: zysk z jednego ataku może przekroczyć 95%. Sprawę pogarsza dodatkowo fakt, że właściciele stron internetowych są często skłonni zapłacić okup, nie sprawdzając nawet, czy szantażyści są w stanie przeprowadzić atak. Wszystko to sugeruje, że średni koszt ataków DDoS zmniejszy się w najbliższej przyszłości, za to wzrośnie ich częstotliwość.
Analizy
Blog