在过去两天中,安全电子邮件提供商ProtonMail一直在抵御DDoS攻击,攻击者是 名叫Apophis Squad的黑客组织,攻击流量估计到达500G, 这些攻击明显影响了公司的服务,导致定期短暂而频繁的中断。在此次事件中,ProtonMail因为称黑客为“小丑”,激怒攻击者,引来大流量攻击。所以,当您面临DDoS攻击时,不要激怒或侮辱攻击者! 最好的方法是 收集证据并将事件报告给执法机构。

ProtonMail发言人说:

“袭击持续了好几个小时,尽管中断时间更短,通常几分钟一次,最长的中断时间为10分钟,”

这家电子邮件供应商声称“已将这次袭击追溯到一个声称与俄罗斯有联系的集团”,这是一些新闻媒体在表面上的表态,并且误导读者误导读者认为这是某种国家计划网络攻击。但实际上,DDoS攻击与俄罗斯没有任何关系,甚至没有计划摆在首位,并且袭击背后的团体首先否定他们是俄罗斯人。

推荐阅读:

1.7Tb!Memcached DDoS攻击再刷新记录 Arbor称美ISP遭攻击

1.35TB超大流量DDoS攻击 GitHub遭遇memcrashed DDoS放大攻击

ProtonMail DDoS攻击背后的黑客组织

负责攻击的是一个名叫Apophis Squad的黑客组织 ,该组织的一名成员详细介绍了昨天的一系列事件。

Apophis成员表示,他们随机定位ProtonMail,同时测试该小组正在开发和准备推出的DDoS引导程序服务的测试版。

根据他们的一篇推文,该小组没有在“测试”之外引用任何原因来说明对ProtonMail的初始和未被要求的攻击,他们后来透露他们发现它是一个200 Gbps的SSDP洪水。

“在我们发起第一次攻击后,我们将它击倒了60秒,”

Apophis Squad成员告诉我们。 他表示,该团体不打算在昨天或今天整天继续攻击ProtonMail,但在ProtonMail的首席技术官Bart Butler回复其中一条twitter,称其为“小丑”后决定这样做。

ProtonMail首席技术官对此表示了质疑,因为它让黑客更加反对他的公司。

“所以我们将他们击倒了几个小时,”Apophis小队成员说。 据组织声称,随后的攻击包括估计为500 Gbps的巨大TCP-SYN洪水……

…和NTP和CLDAP洪水,NASK的安全研究员观察到并由另一名Apophis Squad成员证实。

这些攻击还在今天继续发生,当时该组织发起了另一个DDoS攻击,该攻击包含估计在50到70 Gbps之间的TCP-SYN洪水…

…另一个CHARGEN洪水估计为2 Gbps。

参与减轻ProtonMail基础设施攻击的公司Radware在撰写本文时无法确认500 Gbps DDoS攻击,但证实了这种多向量攻击。

Radware发言人称:

“我们无法确认攻击的大小,因为它在攻击的不同点发生变化。 同时我们可以证实这种攻击是高容量,多向量攻击,包括多次UDP反射攻击,多个TCP突发和Syn flood。”

除了定位ProtonMail外,该组织还以Tutanota为目标,原因不明,但这些攻击很快就停止了。

黑客否认与俄罗斯有关系

Apophis Squad小组决不是一个复杂的威胁。 他们是典型的2018黑客组织,他们组织DDoS攻击,有时候是幼稚的理由。

该组织目前正在开发一种DDoS引导程序服务,他们在昨天对Twitter和Discord的攻击之前发布了广告,宣称能够使用诸如NTP,DNS,SSDP,Memcached,LDAP,HTTP,CloudFlare bypass等协议发起DDoS攻击,VSE,ARME,Torshammer和XML-RPC。

他们的Twitter时间表声称,该组织位于俄罗斯,他们的领域也是如此,但在私人谈话中,该组织称这不准确。

“我们不是俄罗斯人[原文如此],我们认为袭击者位于英国,”

如果ProtonMail DDoS攻击后来被证明已经达到500 Gbps,那么它将成为最大的DDoS攻击记录之一,类似 1.7 Tbps的 DDoS攻击 (针对尚未命名的美国服务提供商)和 1.3 Tbps (针对GitHub) 。

“当然,这次攻击没有达到500 Gbps,但是如果Radware即使在一分钟内发作,也是一件大事。”

长话短说:当您面临DDoS攻击时,不要激怒或侮辱攻击者!

当你处理组织松散的黑客组织时,有一定程度的不可预测性,这些黑客组织喜欢DDoS公司。 回应并不是处理这些威胁的最佳途径。 你该怎么办?最好的方法是 收集证据并将事件报告给执法机构。