Nezaplatíte-li, zůstane váš server zahlcen a vy tak přijdete o byznys, zákazníky a dobré jméno. Jako první se této myšlenky chytili nekalí konkurenti – již v říjnu 2003 si manažer společnosti Orbit Communication Corporation Jay Echouafni najal skupinu hackerů, aby zaútočila na konkurenci. O pár měsíců později byl obviněn (a dal se na útěk), ovšem až poté, co svým konkurentům způsobil souhrnnou škodu přes dva miliony dolarů v ušlém obratu a dalších nákladech.
„Obchodní model“ vydírání pomocí DDoS se podle všeho zrodil ve východní Evropě a záhy se stal ve světě kyberzločinu běžným. Šlo jen o to, vytipovat si správné cíle – tedy servery či služby, jež jsou dostatečně zranitelné, jejich odstavením vzniká značná škoda a jejich provozovatelé možná ani veřejně nepřiznají, že na ně byl vyvíjen nátlak a ustoupili. Prvními ideálními cíli se proto staly portály platebních služeb a online sázení. Není snadné říci, na kolik z nich byl proveden útok, protože známy jsou jen případy které byly zveřejněny – nejčastěji ty, v nichž se „oběti“ bránily, nebo se o obranu alespoň snažily.
Sázky, gambling kasína
Během března 2004 zaznamenalo dvacet největších sázkařských portálů ve Velké Británii více než 30 oddělených výpadků. Nebyla to náhoda, ale řetězec útoků a vydírání vedený proti portálům jako byl Betdaq, Totalbet či Ukbetting. Řada z nich byla odstavena na několik dnů a není jasné, zda někteří z provozovatelů těchto služeb ustoupili nátlaku a zaplatili požadované sumy, které se podle všeho pohybovaly v rozpětí 10–20 tisíc eur či dolarů. Útoky pokračovaly i v následujících měsících, mimo jiné i proto, že na přelomu června a července probíhalo v Portugalsku fotbalové Euro 2004, které výrazně zvyšovalo zájem o online sázky a dělalo tak sázkové portály ideálním cílem.
Přinejmenším někteří z útočníků ale nezůstali nepotrestáni – již v červenci 2004 byli v Petrohradě, Saratově a Stavropolu zatčeni tři organizátoři těchto vyděračských útoků díky spolupráci mezi britskými a ruskými vyšetřovateli. To vše byl ale pouhý začátek.
„… požadujeme platbu 40 000 eur. Tato částka musí být převedena prostřednictvím Western Union jako minutový transfer. Jinými slovy, pokud pošlete peníze dnes a nebude nám zabráněno v jejich vybrání, ukončíme útok ještě dnes večer. Bezpochyby zavoláte policii, což je pochopitelně vaše právo. Nicméně rád bych vás upozornil, že váš hlavní konkurent již zaplatil. …“
Úryvek z vyděračského dopisu zveřejněného portálem Jaxx.de
S postupem času útočníci své požadavky navyšovali. Již o rok později – v srpnu 2005 zaslali online sázkovému a hernímu portálu jaxx.de požadavek ve výši 40 tisíc eur (přibližně milion korun). Jaxx vše okamžitě zveřejnil, omluvil se zákazníkům za výpadky své služby a vypsal odměnu ve stejné výši (tedy 40 tisíc eur) za informace, které by vedly k dopadení útočníků, kteří, podobně jako v předchozích případech, nejspíše pocházeli z východní Evropy (patrně z Ruska nebo některého z bývalých států SSSR).
Nejlepší obrana je útok: Jaxx.de byl jednou z prvních obětí, která vypsala na dopadení DDoS vyděračů odměnu.
Platební brány
Další skupinou obětí DDoS vydírání se stali provozovatelé platebních bran Authorize-IT, 2Checkout a Authorize.net. První dvě společnosti patřily mezi významné, ale nikoliv největší hráče v oboru a hackeři se na ně zaměřili již na jaře 2004. Třetí ze známých cílů byla společnost která vstoupila do světa online byznysu a platebních transakcí pouhý rok po Amazonu a tři roky před vznikem Google. V září 2004 byla Authorize.net jednou z největších platebních bran, používanou desítkami tisíc online obchodníků – není proto divu, že si útočníci vybrali právě ji.
Technicky se útok podobal řadě předchozích – kombinace SYN, UDP a ICMP Ping Flood společně s dalšími technikami byla spuštěna z několika desítek tisíc ovládaných počítačů a spolehlivě tak odstavila servery Authorize.net v součtu na více než týden. Pro většinu obchodníků používajících Authorize to znamenalo ztráty prodejů přinejmenším v řádu tisíc nebo desítek tisíc dolarů, někteří se snažili vyřizovat platby zákazníků pomocí telefonu, jiní prostě vyřízení objednávek museli odložit. Postupně se podařilo změnami v nastavení domény provoz brány alespoň částečně obnovit a vzhledem k tomu že Authorize.net se okamžitě obrátila na FBI, muselo být útočníkům jasné, že v tomto případě výpalné (jeho přesná výše nebyla zveřejněna) nezískají. Nakonec se tak nejspíše zaměřili na jiné cíle. Ostatně je velmi pravděpodobné že přinejmenším některé oběti raději zaplatily, než aby riskovaly řádově vyšší škody na výpadcích provozu a poškozeném jménu.
Spolehlivý model
Portály ve finanční oblasti a zejména online kasína a sázkové portály se v následujících letech staly nejoblíbenějším cílem DDoS vyděračů. Útoky jsou nejčastěji načasovány v době, kdy probíhá důležitý sportovní šampionát, mistrovství nebo zápas typu Superbowl a výrazně narůstá počet sázek. Typická výše „výpalného“ se od roku 2005 příliš nezvyšovala – útočníci obvykle požadují řádově desetitisíce dolarů (nebo eur). Online kasína a sázkové portály jsou vhodným cílem i z dalšího důvodu – pro potřeby vyplácení výher mají po ruce dostatek likvidní hotovosti. Na druhou stranu se jejich provozovatelé učí stále účinněji bránit a stávají se tak postupně obtížnějším (nicméně stále atraktivním) cílem.
Metody kybervyděračství se v posledních deseti letech rozšířily a zdokonalily – DDoS je v současné době jen jednou z mnoha forem. Běžný je malware a trojské koně šifrující soubory v počítači (a nově i mobilním telefonu) požadující výkupné za jejich dešifrování, nejrůznější programy tvrdící uživateli, že jeho počítač je napaden tou či onou hrozbou a jen ony jej dokáží ochránit, objevují se pochopitelně i selektivní útoky, při nichž jsou zcizena (nebo zašifrována) citlivá data konkrétních osob nebo organizací a následně je opět požadováno výkupné za jejich navrácení nebo nezveřejnění (Express Scripts 2008, Nintendo 2011). K některým z těchto metod se v našem seriálu ještě vrátíme.
Jedním z nejnovějších případů kybervyděračství byl útok na portál Basecamp, který nabízí online aplikaci pro řízení projektů a týmů. (obrázek – Basecamp.com)
Že podobné typy útoků (a vydírání) probíhají i v současné době, dokazuje nedávný případ odstavení online služby Basecamp, na niž letos 24. března zaútočili vyděrači (požadovaná suma nebyla zveřejněna) útokem o síle (šířce pásma) 20 Gbit/s. Basecampu se po zhruba hodině podařilo obnovit provoz svých online služeb a v oficiální prohlášení se omluvil svým uživatelům a sdělil, že společnost nebude nikdy vyjednávat se zločinci a neustoupí vyděračům. V případě online služby, u níž mohou zákazníci maximálně požadovat vrácení části měsíčního předplatného, je ale takový přístup přeci jen pravděpodobnější než u portálů, které každou hodinou odstavení mimo provoz přicházejí o obrat v hodnotě desetitisíců nebo dokonce statisíců dolarů.
Známé případy jsou nejspíše jen pomyslnou špičkou ledovce, neboť v řadě případů (zejména jde-li o citlivá finanční či obchodní data, nebo je-li objem ztrát působený útokem, nebo je případná škoda na reputaci řádově vyšší než výkupné) nejsou tyto incidenty zveřejněny. Existují ale i výjimky. Tou byl nedávný případ dvou polských vyděračů Surmackiho a Smirnowa, kteří se pokoušeli přes hrozby DDoS útokem získat podíl v softwarové společnosti sídlící v britském Manchesteru. Jejich chybou byla osobní angažovanost a jednání s majitelem firmy (který navíc oba znal). Oba Poláci byli nakonec zatčeni a odsouzeni k více než pěti letům nepodmíněně.
