web-dev-qa-db-fra.com

J'ai reçu un e-mail me menaçant de DDOS si je ne paie pas de rançon. Que devrais-je faire?

J'ai reçu l'e-mail suivant, qui m'est adressé à une adresse e-mail sur mon domaine personnel (pour lequel je gère mon propre serveur de messagerie sur un VPS):

TRANSMETTRE CE COURRIER À QUI QUE CE SOIT IS IMPORTANT DANS VOTRE ENTREPRISE ET PEUT PRENDRE UNE DÉCISION!

Nous sommes Armada Collective. lmgtfy URL here

Votre réseau sera DDoS-ed à partir de 12:00 UTC le 08 mai 2016 si vous ne payez pas de frais de protection - 10 Bitcoins @ some-bitcoin-address

Si vous ne payez pas avant 12h00 UTC le 08 mai 2016, l'attaque commencera, votre service baissant définitivement le prix pour s'arrêter augmentera à 20 BTC et augmentera de 10 BTC pour chaque jour d'attaque.

Ce n'est pas une blague.

Nos attaques sont extrêmement puissantes - parfois supérieures à 1 Tbit/s par seconde. Et nous passons CloudFlare et d'autres protections à distance! Donc, aucune protection bon marché n'aidera.

Évitez tout avec seulement 10 BTC @ some-bitcoin-address

Ne répondez pas, nous ne lirons pas. Payez et nous saurons que c'est vous. ET VOUS NE SEREZ PLUS JAMAIS ENTENDU DE NOUS!

Bitcoin est anonyme, personne ne saura jamais que vous avez coopéré.

Évidemment, je ne vais pas payer la rançon. Dois-je faire autre chose?

Mise à jour:

J'ai transmis l'e-mail et les en-têtes d'origine au FAI d'origine. Ils ont répondu que "des mesures ont été prises". Alors, euh, ouais? J'imagine?

138
alexw

Sur la base de l'article suivant, vous voudrez peut-être simplement l'ignorer. Cela semble être une arnaque courante et votre e-mail ressemble presque exactement à celui de l'article suivant.

http://arstechnica.com/security/2016/04/businesses-pay-100000-to-ddos-extortionists-who-never-ddos-anyone/

Recherchez le FAI source du fournisseur de services qui a envoyé l'e-mail et contactez son équipe chargée des abus abuse @ company .com . Ils peuvent désactiver la source des e-mails ou alerter le client sans méfiance qui pourrait être propriétaire de la machine. Avertir le FAI source est utile pour réduire le montant de cela. Assurez-vous de leur envoyer un e-mail avec des en-têtes complets. Si la source semble être un système compromis dans une grande entreprise, je les informerais en plus du FAI. Pour ce faire, CC'ing à la fois la société et le FAI en même temps pour des résultats plus rapides. Gardez à l'esprit que certains systèmes malveillants peuvent également se faire passer pour un hôte compromis même si ce n'est pas le cas, notifier le FAI peut en fait être plus important que d'avertir le propriétaire du système.

97
Trey Blalock

Cet article peut être important pour vous: https://ca.news.yahoo.com/armada-collective-ddos-threats-were-212413418.html

Quelqu'un a copié le contenu du courrier électronique de l'Armada Collective pour effrayer les gens à payer, mais aucune attaque n'a été enregistrée.

Donc, vous n'avez peut-être rien à faire.

107
schroeder

Ignorez-le.

Cloudflare eux-mêmes ont déclaré que ce sont des faux - voir https://blog.cloudflare.com/empty-ddos-threats-meet-the-armada-collective/ Je vous recommande fortement de lire cet article, car c'est une explication très claire de la première ligne. Le collectif armada est un vrai groupe DDOS, mais certains escrocs utilisent simplement leur nom pour essayer d'effrayer les gens. L'adresse Bitcoin est apparemment la même sur tous leurs e-mails, ce qui signifie qu'ils ne sauront jamais qui les a payés.
Il est possible de suivre les montants versés à une adresse Bitcoin et il semble qu'ils aient fait plus de 100 000 $ grâce à cette arnaque!

En bout de ligne, les menaces DDOS doivent être sauvegardées par une preuve (peut-être un DDOS de 15 minutes) avant de payer.

EDIT: Juste pour clarifier, comme il semble d'après les commentaires que je n'étais pas assez clair.
Je ne veux pas dire si le paiement doit être effectué ou non. Ayez toujours une bonne sécurité et si une menace vous amène à décider de dépenser de l'argent - soit en payant la demande, soit en achetant une protection DDOS dont vous n'auriez pas besoin autrement - vérifiez que la menace est légitime d'abord en exigeant plus de preuves que ce qui pourrait être juste une menace vide.

53
David Glickman

Si vous êtes au UK veuillez faire ceci:

Message envoyé par Action Fraud (Action Fraud, Administrateur, National)

Au cours des dernières 24 heures, un certain nombre d’entreprises au Royaume-Uni ont reçu des demandes d’extorsion de la part d’un groupe s’appelant "Lizard Squad".

Méthode d'attaque: Le groupe a envoyé des e-mails demandant le paiement de 5 Bitcoins, à payer avant une certaine date et heure. L'e-mail indique que cette demande augmentera de 5 Bitcoins pour chaque jour non payé.

Si leur demande n'est pas satisfaite, ils ont menacé de lancer une attaque par déni de service contre les sites Web et les réseaux des entreprises, les mettant hors ligne jusqu'à ce que le paiement soit effectué.

La demande stipule qu'une fois que leurs actions ont commencé, elles ne peuvent pas être annulées.

Que faire si vous avez reçu l'une de ces demandes:

  • Signalez-le à Action Fraud en appelant le 0300 123 2040 ou en utilisant l'outil de rapport en ligne
  • Ne payez pas la demande
  • Conserver les e-mails d'origine (avec en-têtes)
  • Maintenir une chronologie de l'attaque, enregistrer tous les temps, le type et le contenu du contact

Si vous rencontrez un DDoS en ce moment, vous devez:

  • Signalez-le immédiatement à Action Fraud en appelant le 0300 123 2040.
  • Appelez votre fournisseur d'accès Internet (FAI) (ou votre hébergeur si vous n'hébergez pas votre propre serveur Web), dites-lui que vous êtes attaqué et demandez de l'aide.
  • Gardez une chronologie des événements et enregistrez les journaux du serveur, les journaux Web, les journaux de courrier électronique, toute capture de paquets, les graphiques réseau, les rapports, etc.

Obtenez les meilleurs conseils de sécurité en ligne pour protéger votre entreprise contre un DDoS:

  • Tenez compte de la probabilité et des risques d'une attaque DDoS pour votre organisation et mettez en place des mesures appropriées de réduction/atténuation des menaces.
  • Si vous estimez qu'une protection est nécessaire, parlez à un spécialiste de la prévention DDoS.
  • Que vous soyez à risque d'attaque DDoS ou non, vous devez disposer des installations d'hébergement pour gérer des volumes importants et inattendus de visites de sites Web.
18
Damian

Payez et nous saurons que c'est vous.

C'est la chose: une menace vide ressemblant exactement à ce que vous avez a été contournée, qui a toujours la même adresse bitcoin . En d'autres termes: ils ne peuvent pas savoir que c'est vous si vous payez, et donc la menace doit être un bluff. Pourtant, des centaines de milliers de dollars auraient été envoyés à cette adresse, par des personnes dupées ...

Pour savoir s'il s'agit d'un bluff, recherchez l'adresse bitcoin sur Google. J'imagine que vous pourrez rapidement savoir s'ils vous ont envoyé un exemplaire unique, auquel cas vous avez des raisons de vous inquiéter ou non.

Steve Gibson en a parlé sur épisode 557 de son podcast Security Now (transcription ici ). Mon argent est un bluff, car votre texte semble être Word pour Word identique à ce dont parle Steve Gibson.

7
Pepijn Schmitz

Ce courriel menaçant semble être juste cela: une menace.

Vous n'avez pas à le tolérer, quoi qu'ils fassent, c'est de l'extorsion.

Signalez-le à:

  • votre hébergeur, en lui envoyant une copie originale de l'e-mail menaçant (avec tous les en-têtes dans leur forme d'origine. Transfert en pièce jointe dans tout client e-mail professionnel),

  • votre agence de sécurité nationale ou service de police informatique spécialisé avec une copie originale de l'e-mail menaçant.

[...] le monde est plus en danger de ceux qui tolèrent ou encouragent le mal
que de ceux qui l'ont réellement commis.
Albert Einstein

5
dan

On dirait un bluff pour toutes les raisons données dans d'autres réponses.

S'ils envisagent de vous DDoS avec une bande passante pure, ils ne sont pas seulement vous DDoSing, ils attaqueraient la connexion réseau de votre VPS.

Par conséquent, même si cette attaque semble peu probable, il est probablement préférable d'informer votre fournisseur VPS que la menace s'est produite. Ils peuvent vous dire de l'ignorer (et des menaces futures), mais comme cela les affectera si cela se produit, la chose courtoise à faire est de les informer et de découvrir leur politique. Ils ont probablement déjà vu des menaces comme celle-ci et, dans l'affirmative, ils ont plus d'expérience que vous pour décider si et quand impliquer les forces de l'ordre.

Bien sûr, cela dépend dans une certaine mesure de votre fournisseur de VPS: si vous savez que leur service client ne répond pas ou est incompétent, vous ne pouvez pas faire grand chose dans cette direction.

3
Steve Jessop