DDoS je velmi oblíbeným nástrojem kyberzločinu, původně šlo o nástroj pomsty, aktivizmu nebo prosté zábavy. Postupně se jeho použití zaměřilo na nebezpečné vydírání, kdy útočníci osloví konkrétní společnost a požadují platbu. V opačném případě vyhrožují zahájením DDoS útoků a odstavením služeb. Zejména provozovatelé e-shopů se podobné hrozby děsí, především v období Vánoc.
Obětí se může stát vlastně kdokoliv, provést takový útok je velmi snadné, proto je to i levné. Podobně jako je možné si pronajmout celý botnet nebo ransomware, je možné si pronajmout DDoS jako službu. Pokud nemá cílová síť dobře navrženou obranu, je možné ji takto velmi snadno (a levně) úplně odstavit.
DDoS jako služba
Společnost Kaspersky zveřejnila analýzu současných služeb, které nabízí pronájem DDoS útoků. Společného mají především to, že se snaží svým zákazníkům vycházet maximálně vstříc. Vše je možné ovládat pomocí webového rozhraní, služby mají různé cenové programy a věrným zákazníkům dokonce nabízejí různé odměny. Jde tak vlastně o byznys velmi podobný třeba pronájmu VPS, jen se v tomto případě pronajímají útoky.
Některé služby se dokonce chlubí počtem uživatelů a množstvím útoků, které už provedly nebo ten den provádějí. I když je jasné, že čísla mohou být zfalšovaná, aby se služba lépe prezentovala potenciálním zákazníkům.
Výjimkou nejsou ani podrobné statistiky jednotlivých druhů útoků včetně přehledných grafů vysvětlujících popularitu různých variant.
Podle čeho se počítá cena
Různé služby se snaží své zákazníky nalákat na výhody či vlastností, které jinde nenajdou. Opět stejně, jako je tomu i u běžných legálních podnikání. Kaspersky uvádí čtyři různé oblasti, které mohou výrazně ovlivnit výslednou cenu útoku.
Specifické cíle – služba se zaměřuje například na vládní servery. Za útok na takový cíl si ale může vyžádat výrazně vyšší částku, stejně jako za sítě s lepší ochranou. Provozovatel totiž musí filtry prozkoumat a vymyslet způsob, jak je obejít.
Zdroje útoku – různé zdroje útoků stojí různé peníze. Například útok přicházející z tisícovky napadených bezpečnostních kamer bude levnější než využití botnetu sestaveného ze stovky napadených serverů. Vytvořit botnet ze špatně zabezpečených IoT zařízení je výrazně jednodušší a tedy i levnější.
Různé scénáře útoku – pokud si budete chtít nechat útok ušít na míru nebo budete požadovat něco specifického, zaplatíte více. Příkladem může být kombinovaný útok nebo rychlé změny útočných vektorů během krátkých časových oken.
Průměrná cena v konkrétní zemi – také tady funguje konkurenční boj, takže služby spolu bojují o zákazníky svou cenovou politikou. Záleží také například na kupní síle místních uživatelů, takže podobná služba v USA bude stát výrazně více než v Rusku.
Dostupné je také účtování útoků po sekundách bez ohledu na další parametry. Pětiminutový DDoS tak může stát například 5 dolarů, hodinová varianta vás vyjde na 90 dolarů. Ve všech případech má botnet kapacitu 125 Gbps.
Část kyberzločinců navíc nechce příliš odkrývat detailní specifikace svých řešení, proto nabízí jen obecné údaje a účtují pak jen za dobu běhu útoku. Nedozvíte se, jaký druh botnetu používají ani jak jsou napadené systémy připojené.
Některé ceníky naopak zohledňují druh provozu, který potřebujete na oběť poslat: SYN-flood, UDP-flood, NTP-amplification nebo kombinaci různých paketů zároveň. Útok je možné naplánovat na různých síťových vrstvách a útočit na infrastrukturu nebo konkrétní služby.
Jiné služby se chlubí možností velmi rychlého přepnutí útočného vektoru. Pokud zákazník zjistí, že jeho oběť je odolná například proti SYN-floodu, může prostým kliknutím přepnout na jiný druh útoku, na který není oběť tak dobře připravená.
Zvláštní sazby jsou pak účtovány za dobře chráněné sítě, které používají DDoS ochrany. Útok na takovou síť přijde třeba na 400 dolarů za den. Provozovatel služby totiž musí být vynalézavější a musí se snažit proniknout obranou cílové sítě.
Stejně tak se platí výrazně více za útoky na vládní servery. Ty jsou totiž často pod ochranou bezpečnostních složek a provozovatelé botnetů nechtějí odhalit napadené stroje. Buďto proto na podobné cíle vůbec neútočí nebo na ně mají speciální tarify s vyšší cenou.
Zajímavé také je, že některým provozovatelům nedělá vůbec problém kromě organizování DDoS útoků nabízet také ochrany proti nim.
Příklad financování útoku
Kaspersky uvádí také konkrétní příklad financování takového útoku. V případě zneužití cloudu od Amazonu stojí pronájem jednoho virtuálního serveru tisíciny dolaru za hodinu provozu. Pokud jich útočník potřebuje padesát, dostává se na necelý půldolar za hodinu provozu. Při započtení dalších nákladů stojí útok na nákladech asi čtyři dolary.
Pronájem botnetu čítající tisícovku běžných počítačů vyjde na sedm dolarů za hodinu. Za podobný útok se ovšem platí desítky dolarů, z čehož je patrné, že útočníci provozující DDoS služby mají z každého realizovaného útoku velmi slušný příjem.
Uživatelé těchto služeb vědí přesně, co za své peníze dostávají. Krátký útok stojí jednotky dolarů a může oběť významně poškodit. Pokud například e-shop objedná útok na svého konkurenta, může jej poškodit dvakrát: uživatelé nemohou nakoupit a přejdou v ideálním případě k němu. Pokud bude navíc útok trvat třeba celý den, mohou být ztráty obrovské.
Provozovatelé těchto služeb se snaží stále hledat co nejlevnější způsob budování botnetů, nejnovějším trendem jsou různá IoT zařízení jako kamery, televize nebo mobilní telefony. Pokud existují bezpečnostní mezery v podobných zařízeních, útočníci je dřív nebo později najdou a zneužijí. Čím snadnější a levnější pro ně bude botnet postavit, tím lépe.
Jde tu totiž v první řadě o peníze, náklady jsou poměrně nízké a vydírání se útočníkům vyplácí. Proto roste popularita DDoS služeb. V budoucnu tak pravděpodobně můžeme očekávat jen další pokles cen a zvýšení dostupnosti i frekvence podobných služeb.