DDoS und Ransomware

Ein gefährliches Duo

20.05.2021
Von 
Lucian Constantin arbeitet als Korrespondet für den IDG News Service.
Geringe Kosten und die einfache Ausführbarkeit sorgen für ein Revival von DDoS-Angriffen. Vor allem Ransomware-Angreifer nutzen damit eine weitere Möglichkeit, ihre Opfer zu erpressen.
DDoS meets Ransomware: Streuwirkung plus erhöhtes Schadenspotenzial.
DDoS meets Ransomware: Streuwirkung plus erhöhtes Schadenspotenzial.
Foto: Mountains Hunter - shutterstock.com

Bekanntlich hat Ransomware im Waffenarsenal der Cyberkriminellen eine zentrale Rolle eingenommen. Angriffe mit Erpressersoftware verursachten im letzten Jahr weltweit Schäden von über einer Milliarde Dollar und brachten den Kriminellen Hunderte Millionen Dollar Gewinn ein. Ein wenig aus den Schlagzeilen geraten sind dadurch DDoS-Attacken (Distributed Denial-of-Service), bei denen eine Vielzahl automatisiert durchgeführter Anfragen Server in die Knie zwingen. Sie sind derzeit wieder im Aufwind. Auch Ransomware-Gruppen nutzen sie als zusätzliches Instrument, um noch mehr Druck auf ihre Opfer auszuüben.

Nach aktuellen Berichten verschiedener Anbieter von Content-Delivery-Netzwerken (CDN) und Sicherheitsfirmen war 2020 ein rekordverdächtiges Jahr für DDoS-Attacken. Das gilt sowohl für die Anzahl der Angriffe als auch für deren Umfang und die Menge der verwendeten Angriffsvektoren. Vermutlich ist die Pandemie ein Grund dafür, dass DDoS-Erpressungen wieder häufiger vorkommen. Die Krise zwang Unternehmen dazu, in kurzer Zeit für viele Mitarbeiter Remote-Arbeitsmöglichkeiten zu schaffen, wodurch sie anfälliger für Störungen ihrer Netze und ihres Geschäftsbetriebs wurden. Aus Sicht der Angreifer wuchs damit die Wahrscheinlichkeit, dass Erpressungsopfer zahlen würden.

In diesem Jahr setzt sich der Trend fort. CDN-Betreiber Akamai verzeichnete im Februar drei der sechs größten volumetrischen DDoS-Angriffe überhaupt. Allein in den ersten drei Monaten des Jahres gab es mehr Angriffe mit einem Volumen von über 50 Gbps als im gesamten Jahr 2019. Akamai geht davon aus, dass Angriffe mit mehr als 50 Gbps die meisten Online-Dienste, die nicht über eine DDoS-Abwehr verfügen, aufgrund der Bandbreitenüberlastung außer Gefecht setzen können.

Die Rückkehr der DDoS-Erpressung

Die Motive hinter DDoS-Angriffen sind vielfältig. Manchmal wollen skrupellose Unternehmen die Geschäfte eines Wettbewerbers stören, manchmal übermitteln Hacktivisten auf diese Weise ihre politischen Botschaften an missliebige Unternehmen und Organisationen. Oft steckt auch einfach nur Vandalismus dahinter, der durch die Rivalitäten zwischen verschiedenen Gruppen verursacht wird. Das wichtigste Motiv ist aber immer noch Erpressung, zumal das Lancieren eines DDoS-Angriffs keine großen Investitionen erfordert. Heutzutage sind DDoS-for-hire-Services für sieben Dollar pro Angriff zu haben, das kann sich jeder leisten.

Laut Netscout Systems, einem Anbieter, der sich auf das Monitoring von Anwendungen und Netzwerken spezialisiert hat, setzen auch viele Cyberkriminelle ihre DDoS-Fähigkeiten ein, um potenziellen Kunden aus zwielichtigen Kreisen ihre Fähigkeiten zu demonstrieren. Ebenso richten sich Angriffe gegen Online-Games. Manchmal nutzen Angreifer DDoS-Attacken auch als Deckmantel, um die IT- und Sicherheitsteams in den Unternehmen davon abzulenken, das andere bösartige Aktivitäten in ihren Netzwerken vor sich gehen - zum Beispiel die Kompromittierung der Infrastruktur oder die Exfiltration von Daten.

Demo-Angriffe auf ausgewählte Ziele

Die Zahl der Ransomware-DDoS-Vorfälle (RDDoS) ist seit August 2020 auffällig gestiegen. Zum einen haben mehrere Ransomware-Gruppen DDoS als zusätzliche Erpressungstechnik entdeckt, zum anderen ist eine bestimmte Gruppe besonders auffällig geworden, die bekannte staatlich gesteuerte Gruppen wie Fancy Bear (Russland) oder Lazarus Group (Nordkorea) imitiert. Besagte Gruppe, die sich als Lazarus Bear Armada (LBA) bezeichnet, startet in der Regel zunächst DDoS-Attacken zu Demonstrationszwecken auf ganz bestimmte, ausgewählte Ziele. Das Volumen dabei liegt zwischen 50 und 300 Gbit/s. Danach erhalten die Opfer eine Erpresser-Mail, in der die Angreifer behaupten, ein DDoS-Volumen von bis zu zwei Tbps erreichen zu können. Sie verlangen für die Unterlassung eine Zahlung in Bitcoin.

In ihren E-Mails lassen die Angreifer gerne die Namen von medial bekannteren Hackergruppen fallen, um ihre Glaubwürdigkeit zu steigern. In vielen Fällen folgen keine weiteren Angriffe, auch wenn das Lösegeld nicht gezahlt wird - aber manchmal eben doch. Auffällig ist auch, dass frühere Opfer gerne später noch einmal ins Visier genommen werden.

Die Gruppe LBA zielt vorwiegend auf Organisationen aus dem Finanz-, Handels-, Reise- und E-Commerce-Sektor aus der ganzen Welt ab. Die Attacken sind gut geplant, oft wurden vorher detaillierte Erkundigungen eingeholt. Sie zielen oft auf solche kritischen Anwendungen und Dienste, die von den Unternehmen oft gar nicht als solche gesehen werden, sowie auf VPN-Konzentratoren, die den VPN-Traffic durchleiten.

Das FBI warnt

Vor den Aktivitäten dieser Gruppe haben das FBI und eine Reihe von IT-Sicherheitsanbietern bereits gewarnt. Während sich Gruppen wie LBA ganz auf RDDoS konzentrieren, um Geld von Unternehmen zu erpressen, nutzen bestimmte Ransomware-Banden DDoS als zusätzliches Druckmittel. Sie wollen zögerliche Opfer endgültig zur Zahlung des gewünschten Lösegelds bewegen.

Damit sind also manche Ransomware-Angriffe jetzt schon in dreierlei Hinsicht eine ernste Bedrohung: Es geht um das Verschlüsseln von Dateien, das Absaugen sensibler Daten mit der Drohung diese zu veröffentlichen und um die Überlastung der Infrastruktur via DDoS. Zu den Ransomware-Gangs, die ihrem Repertoire DDoS-Angriffe hinzugefügt haben oder dies zumindest behaupten, gehören Avaddon, SunCrypt, Ragnar Locker und REvil.

Wie viele Opfer von RDDoS am Ende tatsächlich Lösegeld zahlen, ist schwer zu sagen. Aber die Tatsache, dass Anzahl, Ausmaß und Häufigkeit der Angriffe zunehmen, deutet darauf hin, dass sich hier viele Unternehmen nicht lange bitten lassen. Der Schaden durch Produktions- und Lieferausfälle infolge eines Ransomware-Angriffs ist meistens weit höher als die oft einstelligen Millionenbeträge, die die Gangster fordern.

Die Einstiegshürde bei DDoS-Angriffen ist niedrig

Ein Problem ist derzeit die starke Zunahme solcher Angriffe, die von der niedrigen Einstiegshürde begünstigt wird. DDoS-for-hire-Dienste sind weit verbreitet und ihre Nutzung erfordert keine tiefgehenden technischen Kenntnisse. "Im ersten Quartal 2021 bestätigten 13 Prozent unserer Kunden, die von einer DDoS-Attacke betroffen waren, dass es sich um einen RDDoS-Angriff gehandelt habe", heißt es in einem aktuellen Bericht von Cloudflare.

Akamai beobachtet einen 57-prozentigen Anstieg der Zahl der angegriffenen Unternehmen im Vergleich zum Vorjahr. "In der Hoffnung, größere Auszahlungen in Bitcoin zu erhalten, haben Kriminelle ihre Anstrengungen und auch die Vielfalt ihrer Angriffe erhöht. Damit dürfte die Vorstellung, dass DDoS-Erpressung ein alter Hut sei, endgültig ad acta gelegt sein", schreiben die Akamai-Forscher in einem Bericht vom letzten Monat.

Gerade erst sei ein großer RDDoS-Angriff mit einem Volumen von mehr als 800 Gbps auf ein europäisches Glücksspielunternehmen gelaufen. "Das war die größte und komplexeste Attacke, die wir seit der Rückkehr solcher Erpressungsangriffe gesehen haben. Seitdem sind die Show-of-Force-Angriffe von 200+ Gbps im August 2020 auf über 500 Gbps bis Mitte September gestiegen und haben sich bis Februar 2021 sogar auf 800+ Gbps aufgebläht."

DDoS-Angriffe über verschiedene Vektoren

Laut Akamai enthielten fast zwei Drittel der im vergangenen Jahr beobachteten DDoS-Angriffe mehrere Angriffsvektoren, in einigen Fällen hätten die Angreifer sogar bis zu 14 verschiedene Wege ausprobiert, um sich Zugang zu Servern und Netzwerken zu verschaffen. Netscout meldet ebenfalls einen starken Anstieg der Multivektor-Angriffe, einmal seien bis zu 25 verschiedene Vektoren kombiniert worden.

Besonders beliebt sind DDoS-Reflection- und Amplification-Angriffe, die durch den Missbrauch mehrerer UDP-basierter Protokolle erreicht werden. Dabei senden Angreifer Datenpakete mit dem Absender - der IP-Adresse - ihres Opfers an schlecht geschützte Server im Internet und zwingen diese, Antworten an das betroffene Unternehmen zu senden. Damit werden zwei Ziele erreicht: Reflection, weil das Opfer nicht erkennt, dass der Datenverkehr nicht von einer seriösen Adresse, sondern von den Bots des Angreifers kommt, und Verstärkung (Amplification), weil einige Protokolle missbraucht werden, um große Antwortvolumina auf kurze Anfragen zu generieren, wodurch Umfang und Häufigkeit der von Angreifern abgeschickten Pakete verstärkt werden.

Die Größe von DDoS-Angriffen wird zum einen im Traffic-Volumen pro Sekunde berechnet, das die Bandbreite beeinträchtigt, und in Paketen pro Sekunde, was auf Kosten der Rechenpower eines Servers geht. Der beliebteste DDoS-Angriffsvektor im vergangenen Jahr und auch davor war die DNS-Amplification. Andere Protokolle, die häufig für Verstärkung missbraucht werden, sind das Network Time Protocol (NTP), Connection-less Lightweight Directory Access Protocol (CLDAP), Simple Service Discovery Protocol (SSDP) und Web Services Discovery (WSD oder WS-DD), außerdem das Remote Desktop Protocol (RDP) über UDP und Datagram Transport Layer Security (DTLS).

Angreifer sind ständig auf der Suche nach neuen Angriffsvektoren und Protokollen, die sie nutzen können, um Verteidigungsmaßnahmen zu umgehen. Im März beobachtete Akamai einen neuen Angriffsvektor, der sich auf das Datagram Congestion Control Protocol (DCCP) stützt, auch bekannt als Protokoll 33. Dabei handelt es sich um ein Netzwerk-Datenübertragungsprotokoll, das UDP ähnelt, aber zusätzliche Fluss- und Überlast-Kontrollfunktionen bereitstellt, die UDP nicht bietet.

Laut Netscout bemächtigen sich Angreifer gerne bestimmter Open-Source- und auch kommerzieller Anwendungen und Dienste, die auf UDP basieren, um neue Reflection/Amplification-DDoS-Angriffsvektoren zu erschließen und die nächste Angriffswelle zu starten. Einige Beispiele dafür sind demnach die SSDP-Implementierung von Plex Media Server und das UDP-basierte Netzwerkerkennungs-Protokoll, das vom Jenkins Software Development Automation Server verwendet wird. Andere DDoS-Vektoren, die im vergangenen Jahr häufig vorkamen, waren TCP ACK, TCP SYN, ICMP, TCP Reset, TCP ACK/SYN Amplification und DNS Floods.

DDoS-Botnets nutzen IoT- und Mobilgeräte

Botnets, die aus kompromittierten Geräten und Servern bestehen, sind die treibende Kraft hinter DDoS-Angriffen. Im vergangenen Jahr standen aber mit Varianten der Mirai-Malware infizierte IoT-Geräte an der Spitze dieser gefährlichen Botnets. Diese Geräte sind oft schlecht geschützt, die voreingestellten Anmeldedaten bleiben erhalten und lassen sich leicht kompromittieren. Netscout beobachtete im vergangenen Jahr einen Anstieg der Brute-Force-Angriffe auf Telnet und Secure Shell (SSH ) um 42 Prozent im Vergleich zum Vorjahr.

Darüber hinaus werden auch kompromittierte Android-Mobilgeräte zum Auslösen von DDoS-Angriffen verwendet. Im Februar berichteten Forscher von Netlab, der Netzwerksicherheits-Abteilung des chinesischen Unternehmens Qihoo 360, über ein Botnet namens Matryosh, das solche Android-Geräte kompromittiere, deren ADB-Schnittstelle (Android Debug Bridge) via Internet adressierbar seien. In einer jährlichen Netscout-Umfrage unter Cloud- und Internet-Service-Providern berichtete ebenfalls fast ein Viertel der Befragten, dass mobile Geräte für DDoS-Angriffe genutzt würden. (hv)