Gefahr durch DDoS-Erpressungen

Schutzgelderpresser drohen mit DDoS-Attacken

Jens-Philipp Jung ist Mitgründer und Geschäftsführer der Link11 GmbH aus Frankfurt/M. Das Unternehmen schützt Webseiten und Server vor DDoS-Attacken aus dem Internet und hat bereits mehrfach Preise für die innovative Schutzlösung gewonnen. Als ausgewiesener IT-Experte arbeitet Jung an der IKT-Strategie des Bundesministeriums für Bildung und Forschung mit.
DDoS-Erpresser wie Armada Collective und DD4BC attackieren immer öfter Unternehmen. Mit der Professionalität der Angreifer steigt das Gefahrenpotenzial.

"You are going under DDoS attack unless you pay 30 Bitcoin". Immer häufiger erhalten Unternehmen E-Mails mit solchen Forderungen. Sollte das Geld bis zum angegebene Zeitpunkt nicht auf dem Bitcoin-Konto beim Erpresser eingehen, wird ein DDoS-Angriff gestartet, der Webseiten, Netzwerke und Infrastrukturen offline gehen lassen kann. Als weitere Konsequenz für den Fall, dass das Unternehmen nicht zahlen sollte, erhöhen die Erpresser die Schutzgeldforderung auf einen deutlich größeren Bitcoin-Betrag.

Die Häufung von DDoS-Erpressungen in den vergangenen Monaten zeigen das hohe Gefahrenpotenzial.
Die Häufung von DDoS-Erpressungen in den vergangenen Monaten zeigen das hohe Gefahrenpotenzial.
Foto: Tashatuvango - shutterstock.com

Alle Branchen von DDoS-Erpressungen betroffen

Sichtbar werden die DDoS-Erpressungen allerdings selten, denn kaum ein Unternehmen spricht darüber in der Öffentlichkeit. Aus der langjährigen Erfahrung in der Abwehr von DDoS-Attacken weiß ich, dass sich die Erpressungen durch alle Wirtschaftsbereiche ziehen: Infrastrukturbetreiber (Rechenzentren, Provider), Banken und Finanzdienstleister, Medien, Versicherungsunternehmen, E-Commerce-Shops, Online-Service-Anbieter. Oft gehen die Täter branchenweise vor, wie die folgende Chronologie zeigt:

Erpressungen mit DDoS-Attacken in Deutschland in den vergangenen Monaten:

  • 10/2014: Online-Banken und Anbieter von IP-Telefonie werden unter Druck gesetzt.

  • 11/2014: Cyberkriminelle erpressen Banken und Anbieter von Online-Bezahldiensten.

  • 05/2015: Über 1.000 Online-Shops sollen an einen Täter namens Raul Garcia Schutzgeld zahlen.

  • 06-07/2015: Finanzunternehmen, SaaS- und Hosting-Anbieter werden durch die international agierende Gruppe DD4BC (DDoS for Bitcoins) erpresst.

Neue Erpressergruppe Armada Collective aktiv

Bitcoin Münzen
Bitcoin Münzen
Foto: bitcointalk.org

Seit Anfang Oktober verschickt eine neue DDoS-Erpresserbande unter dem Namen "Armada Collective" Droh-Mails mit Schutzgeldforderungen von bis zu 30 Bitcoins und greift ihre Opfer auch an. Die Täter senden ihr Erpresser-Schreiben, in dem zwischen 20 bis 30 Bitcoins (ca. 5.600 bis 8.400 Euro laut Wechselkurs vom 29. Oktober 2015) gefordert werden, an mehrere E-Mail-Empfänger eines Unternehmens. Die Adressen haben die Erpresser vorher nicht nur auf der Firmenwebseite, sondern auch in Datenbanken der RIPE NCC recherchiert. Dieses Vorgehen bestätigt die Beobachtungen, dass sich DDoS-Erpresser zunehmend professionalisieren und ihre Arbeitsschritte sorgfältig planen.

Unmittelbar nach dem Versand der Erpresser-Mail startet die Gruppe einen DDoS-Angriff auf das Unternehmen. Diese Demonstrationsattacke dauert bis zu 30 Minuten und erreicht Bandbreiten von 300 Mbps bis zu 20 Gbps. Für den Fall, dass das erpresste Unternehmen die Zahlung verweigert, droht Armada Collective mit DDoS-Attacken bis zu einem 1 Tbps (1.000 Gbps).

Bei der Durchsetzung der Schutzgeldforderungen zeigt sich Armada Collective hartnäckig. Die Erpresser mahnen mit mehreren E-Mails offene Bitcoin-Zahlung an und gewähren den attackierten Unternehmen mehrfachen Zahlungsaufschub. Ähnlich wie die schon erwähnte Erpressergruppe DD4BC führt Armada Collective nicht jede angekündigte DDoS-Attacke aus. Erkennen die Erpresser, dass ein Unternehmen einen wirkungsvollen DDoS-Schutz installiert hat, lassen sie scheinbar von ihm ab. Das könnte bedeuten, dass die Gruppe die eigenen Ressourcen schonen oder Investitionen in bezahlte Angriffe über DDoS-Mietservices sparen will. Denn das selbsterklärte Ziel der DDoS-Erpresser ist es - wie bei kriminellen Organisationen in der Offline-Welt - Geld zu verdienen und nicht das Opfer zu zerstören.

DDoS-Erpressung mit gefährlichen Amplification-Attacken

Gehen die Erpresser dennoch zum Äußersten und vollstrecken die angekündigten Attacken, erreichen diese oft Angriffsstärken zwischen 20 bis 50 Gigabit pro Sekunde(Gbps). Durch die eingesetzten Angriffsvektoren (DNS-, NTP-, SSDP-Amplification) ließen sich aber auch auf deutlich größere Volumina erreichen. Die Angreifer können auf Millionen von ungeschützten oder fehlkonfigurierten Servern im Web zugreifen und die Schlagkraft durch Amplification-Attacken im Durchschnitt um das 70-Fache erhöhen.

So meldet das OpenNTPProject aktuell über 4 Millionen offene NTP-Server. Das OpenResolverProject beziffert die Zahl der DNS-Server, die für Reflection- / Amplification-Attacken missbraucht werden können, auf fast 20 Millionen. Für die immer populäreren SSDP-Attacken können die Angreifer laut Shadowserver Foundation auf über 12 Millionen IP-Adressen mit einem offenen SSDP-Service zurückgreifen.

Die bisherige Erfahrung hat gezeigt, dass die Angriffsvolumina bei Erpressungsversuchen in der Regel unter 100 Gbps liegen. Noch hält mangelnde technische Kompetenz die Angreifer von einer Erhöhung der Schlagkraft ab. Doch es ist nur eine Frage der Zeit, bis die DDoS-Erpresser auch diesen Aspekt ihrer Arbeit weiter professionalisieren.

Statt Bitcoin-Zahlung besser richtigen DDoS-Schutz

Bitcoin Münzen
Bitcoin Münzen
Foto: bitcointalk.org

Ein Weg, um sich vor den volumenstarken DDoS-Attacken der Erpresser zu schützen, ist die Nutzung eines Cloud-basierten Filters, der den gesamten Datenverkehr analysiert, bereinigt und nur legitimen Traffic an das Unternehmensnetzwerk weiterleitet. Denn eine schnelle und gründliche Traffic-Filterung ist in Zeiten steigender Angriffsbandbreiten durch Reflection- / Amplification-Attacken nur mit den externen und schnell skalierbaren Ressourcen der Cloud möglich. Leistungsstarke, softwarebasierte DDoS-Schutzlösungen verfügen über mehrere hundert Gbps starke Netzwerkanbindungen. Das Scrubbing Center ist zudem im Backbone integriert. So gelingt die frühe Filterung des Datenverkehrs, die verhindert, dass der DDoS-Traffic der Erpresser bis ins Unternehmensnetzwerk gelangt und es offline nehmen kann.

Warnung vor immer neuen DDoS-Erpressungen

Die Häufung von DDoS-Erpressungen in den vergangenen Monaten, die zunehmende Professionalisierung der Täter sowie die heutigen Möglichkeiten zum Starten angriffsstarker DDoS-Attacken, zeigen das hohe Gefahrenpotenzial. Die aktuellen Erpresserwellentreffen nicht nur die Global Player, sondern auch viele kleine und mittelständische Unternehmen. Gerade diese haben oft noch keinen ausreichenden Schutz gegen die DDoS-Gefahr und sind daher leichtes Ziel. Dennoch sollten sie nie auf die Forderungen der Erpresser eingehen und Geld zahlen. Wichtig ist, dass sich Unternehmen präventiv über Notfallmanagement sowie Schutzmöglichkeiten informieren. Aktuelle Sicherheitswarnungen helfen die unternehmensspezifische Gefahrenlage richtig einzuschätzen und rechtzeitig Schutzmaßnahmen zu treffen. (mb)