“幽灵小组”向全球数千家公司发出勒索邮件：9月30日发起DDoS攻击，你收到了吗？

近日，一自称为“幽灵小组”（Phantom Squad）的DDoS勒索组织向全球数千家公司发起了大规模的垃圾邮件攻击，威胁称，若受害者不支付赎金，就会在9月30日发动DDoS攻击，这些勒索邮件最初由安全研究人员Derrick Farmer发现。

威胁大概在9月19日时出现，并持续至今。

在邮件中，网站被告知他们必须在9月30日之前支付0.2个比特币（约合720美元），否则网站将会遭受DDoS攻击。

这些电子邮件内容如下：

把这份邮件转发给你公司中的重要的人，并做出决定！ 我们是幽灵小组 如果你们不支付0.2比特币，你们的网站将会在9月30日遭到DDoS攻击。 如果你不在9月30日前支付，攻击将开始，停止DDoS攻击的费用将增加到20比特币，并且每天上升10比特币。 这不是一个玩笑。

“幽灵小组”这个名字对于那些遭受过其DDoS攻击的人都很熟悉。幽灵小组曾针对PlayStation、Xbox Live、Steam等类似的游戏服务发起DDoS攻击。

电子邮件中要求支付的0.2比特币相当于720美元左右。在这个庞大的计划中，网络罪犯威胁发动DDoS攻击时要求的钱不算多，但这可能会使一个网站因攻击而下线，这无疑是很少的钱，相比于一家大型在线游戏网站的下线造成的财务损失。

事件分析

从整体看，电子邮件被发送到了所有的组织——似乎是一种以受害者为中心的方式，而不是针对特定的受害者。

毕竟，没有证据表明这些电子邮件来自同一个“幽灵小组”，幽灵小组在2015年对Xbox Live等公司发动了DDoS攻击，次年又对Steam发动了DDoS攻击。值得考虑的是，无论是谁发了勒索邮件，都可能故意使用“幽灵小组”的名字，使其威胁显得更重要。

通常，当一个网站遭受到持续的DDoS攻击的威胁时，犯罪分子会事先在网站上造成短暂的中断或者造成无法解释的流量激增来证明威胁是真实的。

如果你确实担心你的站点可能会遭受DDoS攻击，那么你可以向你的服务提供者伸出援手，看看他们能不能帮上什么忙。至少你的网络主机会提前得到预警，一次即将到来的DDoS攻击。

但是勒索消息的内容与2017年6月一名为“无敌舰队”（Armada Collective）的组织所发出的消息几乎如出一辙。那些勒索消息同样是威胁发动DDoS攻击，但最终不了了之，虽然有少数成功案例。

而且以电子邮件的性质以及发送给各类公司（包括许多知名DDoS防护公司）的大量邮件却只要求如此少的钱来看，这可能只是一个骗局，只是为了吓唬你的公司付款，不会发起真正的攻击。简而言之，这些电子邮件可能是假的。

专家观点：不要给钱

这是现代DDoS攻击的发展趋势，在DDoS攻击消停了一段时间后，2016年春，一个名为“无敌舰队”的DDoS攻击勒索组织开始出现，但是他们的手段显然发生了变化。该组织不再只是小打小闹，而是一次针对几十个目标，却并不发动实际攻击。

因此，这些攻击者利用人们的恐惧心理以及远扬的臭名就能赚取数千美元，于是2016和2017年陆陆续续出现了一些跟风者，他们假冒了“新世界黑客”（New World Hackers）、“蜥蜴小组”（Lizard Squad）、LulzSec、“奇幻熊”（Fancy Bear）和“匿名者”等组织。

要发动一系列的拒绝服务攻击，该组织需要有大量资源。因此，若黑客组织发送了几十封勒索邮件，一般后续都不会发生网络攻击。

另外专家Paine的观点与Smith的观点不谋而合，他在近期的推特中写道：该组织的勒索要求 = 垃圾邮件，这个山寨组织只会诈唬，不会发动任何攻击。

我的建议显然不是向勒索者支付赎金（安全电子邮件服务ProtonMail在2015支付了赎金，然而后来他们后悔做了这个决定），而且要抵制住任何诱惑，不要试图与那些试图勒索你的人联系，一旦你那么做，可能只会鼓励他们把注意力集中在你的身上。

同时，日本CERT还发布了安全警报，建议公司将勒索邮件上报给有关部门。今天，安全研究人员Brad Duncan也在ISC SANS论坛发布了警报，提醒其他系统管理员和安全研究人员不要轻信勒索威胁。