Cloudflare过去曾多次覆盖DDoS勒索集团。首先，我们报道了一个声称是无敌舰队集体的模仿组，然后不久，我们报道了"新"蜥蜴小队。虽然在这两种情况下，这些组织发出的威胁最终都是空的，但这些类型的安全事件会让团队争先恐后地确定正确的响应。在这种情况下，团队可以从三种应对方式中选择：支付赎金并使这些团体能够继续运作，而不是付出代价并期待最好的结果，或者制定行动计划以获得保护。打破赎金循环你不应该付赎金，我们再强调也不为过。我们完全理解，在您的网站受到攻击的时候，这似乎是一个合理的解决方案，但通过支付赎金，您只会使DDoS勒索集团的活动永久化，并诱使其他可能成为勒索者的人开始制造类似的威胁。事实上，我们已经看到有报道称，受害者组织在支付赎金后，随后收到了多次威胁。这些组织似乎正在分享支付费用的组织的名单，而且这些组织将来更有可能再次成为目标。受害者组织支付赎金的频率足够高，以至于每隔几个月就会有新的"竞争者"出现。就在几周前，一个有意不具名的新组织已经出现，并开始针对全球的金融机构。这一组采用了与前几组相似的操作方法，但有显著的变化。大部分是树皮，很少被咬以前的抄袭者和这个新组之间的主要区别是，这个组实际上在向典型的基于角色的电子邮件帐户发送勒索电子邮件之前发送一个小的演示攻击。希望向目标公司证明，该集团将继续实施勒索威胁，并说服他们在最后期限之前支付所要求的金额。不过，不足为奇的是，如果在最后期限到期前没有支付赎金，该组织就不会发动第二次攻击。当目标锁定一个组织时，该组织会发送两种形式的勒索电子邮件。第一种变化是一种标准威胁：主题：ddos攻击你好！如果你在17点之前不支付8比特币。一月你的网络将很难被DDoS攻击！我们的攻击非常强大。如果你17点前不付钱。1月ddos攻击将开始，停止价格将翻倍！我们不是在开玩笑，我们将在[XXXXXXXX]上做一个小演示，以表明我们是认真的。付了钱，你就永远安全了。我们的比特币地址：[XXXXXXXX]不要回答，我们会忽略的！付款后，我们会通知您已付款，您是安全的。干杯！有趣的是，第二个电子邮件变体提到了"mirai"——一个基于物联网的僵尸网络，最近在新闻中被报道，因为它导致了许多重大的攻击。值得注意的是——虽然勒索邮件的第二个变体引用了"mirai"，但没有实际证据表明这些示范攻击与mirai僵尸网络有关。主题：对XXXXXXXX的DDoS攻击！你好！如果你不在24小时内支付6比特币，你的服务器将很难被关闭！我们的攻击非常强大。如果你不支付24小时内ddos攻击将开始和价格停止将加倍，并继续上升！重要提示-您认为您受到CloudFlare的保护，但我们会通过CloudFlare直接攻击您的服务器。我们不是在开玩笑，我们现在将做一个小的演示，以表明我们是认真的。我们现在不想造成损害，所以我们将对2个不重要的IP进行小攻击-XXXXXXXX和XXXXXXXX。只是小UDP洪水1小时来证明我们。但是不要忽视我们的要求，因为我们会对你所有的服务器发动猛烈的攻击！！付了钱，你就永远安全了。我们的比特币地址：[XXXXXXXX]不要回答，我们会忽略的！付款后，我们会通知您已付款，您是安全的。干杯！虽然没有两种攻击完全相同，但该组织的示范攻击通常遵循一种模式。攻击的峰值通常在10gbps左右，持续时间不到一小时，并使用DNS放大或NTP反射作为攻击方法。在没有详细说明以免向坏人举报的情况下，演示攻击也有一些特定的特征，这些特征支持以下理论：攻击使用引导/压力源类型的服务来执行攻击。这两种攻击类型都不是新的攻击类型，Cloudflare成功地缓解了一周多次数量大得多的攻击。虽然在这种情况下不支付赎金不会导致随后的攻击，但这种结果并不能保证。你的网站不仅可能在演示攻击期间崩溃，而且仍然没有任何东西可以阻止原始的勒索者或其他攻击者发起未来的攻击。不管攻击者的真实意图如何，不采取任何行动都是次优计划。制定行动计划####在受到攻击的时候匆忙地制定一个行动计划，这不仅是一种压力，而且往往是在可以避免的错误发生的时候。我们建议您提前研究什么样的保护适合您。DDoS保护以及其他应用程序级别的保护不必为实施带来麻烦，使用Cloudflare可以在一小时内完成。在安全事件发生之前制定计划并实施保护措施可以保证站点的平稳运行。然而，如果你发现自己受到攻击，而且没有行动计划，那么记住这些团体中的许多人都在虚张声势。即使这些组织没有虚张声势，支付赎金也只会鼓励他们继续努力。如果您收到了其中一封电子邮件，我们鼓励您与我们联系，以便我们能够讨论您的具体情况，以及是否知道所涉特定群体继续实施他们的威胁。