Varað við RDoS árásum

Uppfært 11.9.2020: Óvissuástandi aflýst föstudaginn 11.9.2020 eins og nánar kemur fram í frétt CERT-IS.

DDoS (Distributed Denial-of-Service) er tegund af netárás þar sem einstaklingur eða hópur beinir mikilli netumferð inn á netlæga innviði fyrirtækis til að skerða afkastagetu.  Umferðin er það mikil að netbúnaður hefur ekki undan að svara henni eða koma áfram þannig að notendur upplifa þjónusturof. RDoS, eða DDoS for Ransom, er tegund slíkra álagsárása þar sem gerð er DDoS árás sem fylgt er eftir með fjárkúgunarpósti. Oftast er hótað stærri árás ef ekki er greidd tiltekin upphæð.

Íslenskt fyrirtæki varð nýlega fyrir árás af þessu tagi, þ.e. álagsárás sem var fylgt eftir með fjárkúgunarpósti. Í þeim pósti kemur fram að mun stærri árás verði gerð ef greiðsla berst ekki fyrir tiltekinn tíma. DDoS árásin sem íslenska fyrirtækið lenti í var stór, fáguð og stóð yfir í nokkuð langan tíma en þökk sé góðum vörnum og góðum verkferlum varð ekki sjáanlegt útfall á þjónustu fyrirtækisins.

Slíkar hótanir eru ekki nýjar af nálinni og hefur CERT-IS haft aðkomu að nokkrum slíkum málum hérlendis undanfarin ár. Í flestum tilfellum hafa þær verið innantómar og árásaraðilar ekki fylgt hótunum sínum eftir. Í því tilfelli sem hér um ræðir eru þó vísbendingar, m.a. frá erlendum samstarfsaðilum, um að hópurinn ráði yfir getu til að gera árás af þeirri stærðargráðu sem hótað er og hafi fylgt hótunum sínum eftir. Því sé ástæða til að taka hótunina alvarlega. Einnig hafa sambærilegar árásir verið í fréttum nýlega.

Mörg hýsingar- og netþjónustufyrirtæki eru með DDoS varnir sem taka við óæskilegri netumferð og hreinsa burt umferð sem er partur af slíkri árás. Yfirleitt kemst einhver partur í gegnum þær varnir og lenda á innviðum fyrirtækja. Skiptir þá miklu máli að innri ferlar virkjist til að takmarka tjón sem annars getur hlotist af slíkri umferð.

CERT-IS hefur virkjað óvissustig fjarskiptageirans samkvæmt viðbragðsáætlun og mun vera í reglulegu sambandi við helstu fjarskipta- og hýsingarfyrirtæki landsins til að miðla upplýsingum sem tengjast þessum árásum. Þegar óvissustigi er lýst yfir eru haldnir reglulegir fundir milli lykilaðila og staðan metin á hverjum degi hvort grípa þurfi til frekari aðgerða. Óvissustig verður fellt niður þegar talið er að ekki verði frekari árásir gerðar á íslensk fyrirtæki og stofnanir.

Berist fyrirtækjum eða stofnunum hótunarbréf þar sem hótað er árás ef ekki verður gengið að kröfum árásaraðila er óskað eftir upplýsingum um málið til CERT-IS á netfangið cert@cert.is. Gott er að upplýst sé um tímasetningu, stærð og eðli árásar, auk texta fjárkúgunarpósts.

 

Mótvægisaðgerðir sem mælt er með

Ekki er mælt með að greitt sé lausnargjald sem er krafist.

Rekstraaðilar eru hvattir til að hafa samband við sitt fjarskiptafyrirtæki og ræða mögulegar mótvægisaðgerðir. Hægt er að gera ráðstafanir til að verjast DDoS árásum s.s. með s.k. "scrubbing" þjónustum en nauðsynlegt er að ræða við birgja um að virkja slíkar varnir með góðum fyrirvara.

CERT-IS óskar eftir að fá upplýsingar um stórar álagsárásir sérstaklega ef um er að ræða tilraunir til fjárkúgunar.

 

Tilvísanir

Bleeping Computer: Thousands of orgs targeted by RDoS extortion campaign