"You are going under DDoS attack unless you pay 30 Bitcoin". Immer häufiger erhalten Unternehmen E-Mails mit solchen Forderungen. Sollte das Geld bis zum angegebene Zeitpunkt nicht auf dem Bitcoin-Konto beim Erpresser eingehen, wird ein DDoS-Angriff gestartet, der Webseiten, Netzwerke und Infrastrukturen offline gehen lassen kann. Als weitere Konsequenz für den Fall, dass das Unternehmen nicht zahlen sollte, erhöhen die Erpresser die Schutzgeldforderung auf einen deutlich größeren Bitcoin-Betrag.
Foto: Tashatuvango - shutterstock.com
Alle Branchen von DDoS-Erpressungen betroffen
Sichtbar werden die DDoS-Erpressungen allerdings selten, denn kaum ein Unternehmen spricht darüber in der Öffentlichkeit. Aus der langjährigen Erfahrung in der Abwehr von DDoS-Attacken weiß ich, dass sich die Erpressungen durch alle Wirtschaftsbereiche ziehen: Infrastrukturbetreiber (Rechenzentren, Provider), Banken und Finanzdienstleister, Medien, Versicherungsunternehmen, E-Commerce-Shops, Online-Service-Anbieter. Oft gehen die Täter branchenweise vor, wie die folgende Chronologie zeigt:
Erpressungen mit DDoS-Attacken in Deutschland in den vergangenen Monaten:
10/2014: Online-Banken und Anbieter von IP-Telefonie werden unter Druck gesetzt.
11/2014: Cyberkriminelle erpressen Banken und Anbieter von Online-Bezahldiensten.
05/2015: Über 1.000 Online-Shops sollen an einen Täter namens Raul Garcia Schutzgeld zahlen.
06-07/2015: Finanzunternehmen, SaaS- und Hosting-Anbieter werden durch die international agierende Gruppe DD4BC (DDoS for Bitcoins) erpresst.
Neue Erpressergruppe Armada Collective aktiv
Foto: bitcointalk.org
Seit Anfang Oktober verschickt eine neue DDoS-Erpresserbande unter dem Namen "Armada Collective" Droh-Mails mit Schutzgeldforderungen von bis zu 30 Bitcoins und greift ihre Opfer auch an. Die Täter senden ihr Erpresser-Schreiben, in dem zwischen 20 bis 30 Bitcoins (ca. 5.600 bis 8.400 Euro laut Wechselkurs vom 29. Oktober 2015) gefordert werden, an mehrere E-Mail-Empfänger eines Unternehmens. Die Adressen haben die Erpresser vorher nicht nur auf der Firmenwebseite, sondern auch in Datenbanken der RIPE NCC recherchiert. Dieses Vorgehen bestätigt die Beobachtungen, dass sich DDoS-Erpresser zunehmend professionalisieren und ihre Arbeitsschritte sorgfältig planen.
Unmittelbar nach dem Versand der Erpresser-Mail startet die Gruppe einen DDoS-Angriff auf das Unternehmen. Diese Demonstrationsattacke dauert bis zu 30 Minuten und erreicht Bandbreiten von 300 Mbps bis zu 20 Gbps. Für den Fall, dass das erpresste Unternehmen die Zahlung verweigert, droht Armada Collective mit DDoS-Attacken bis zu einem 1 Tbps (1.000 Gbps).
- Das hilft gegen Ransomware-Angriffe
Die kriminelle Hackerszene ist ständig auf der Suche nach neuen Wegen, Unternehmen und Privatpersonen zu schaden. Der Einsatz von Malware zu Erpressungszwecken - sogenannte Ransomware - wird unter Cyberkriminellen immer beliebter. Wir zeigen Ihnen, was Sie gegen Ransomware-Hacker tun können. In Kooperation mit Check Point Software Technologies zeigen wir Ihnen, welche Mittel Sie gegen Ransomware-Angriffe ergreifen können. - Software-Update
Viel zu oft werden bekannte Schwachstellen in gängigen Apps nicht repariert, obwohl Patches zur Verfügung stehen. - Backup
Regelmäßige Sicherung der wichtigsten Daten in einem Speichermedium, das normalerweise physisch isoliert ist. - Aktueller Endpunkt-Schutz
Es ist schon eine große Herausforderung, sich vor den neuesten und raffiniertesten Bedrohungen zu schützen; Man möchte sich aber sicher nicht der Gefahr aussetzen, von Ransomware getroffen zu werden, die schon seit Jahren bekannt ist. - Intrusion Prevention System
Nutzung einer IPS-Lösung mit aktuellen Signaturen, die in der Lage ist, die Inhalte von HTTPS-Traffic zu überwachen. Eine leistungsfähige IPS-Lösung kann die Web-Transaktionen unterbrechen, die für das Funktionieren eines Exploit-Kits erforderlich sind. - Datei- und Dokumenten-Analyse
Analyse von eingehenden Dokumenten und Programmdateien, bevor diese Zugang zum Netzwerk erhalten - Sandboxing, Verhaltensanalysen, Firewalls, selbst einfache Antivirus-Scans sind wichtig. Und was, wenn es schon zu spät ist und die Ransomware das Netzwerk befallen hat? - Sample-Extraktion
Falls möglich, sollte ein Sample, das die Rechner infiziert hat, gesichert und mit Open-Source Intelligence Pools, wie VirusTotal, verglichen werden. Es gilt dabei herauszufinden, ob es sich um eine bekannte Bedrohung handelt. Man muss möglichst viel über die Vorgehensweise, das Verschlüsselungsschema und das Finanzmodell der Malware in Erfahrung bringen. - Netzwerkprotokolle wiederherstellen
Die Kommunikation der Malware aus allen Netzwerkprotokollen, die überlebt haben könnten, sollte man wiederherstellen, soweit dies möglich ist. Dort könnte irgendwo der Schlüssel stecken. - Verschlüsselungsanalyse
Analyse der verschlüsselten Dateien, um erkennen zu können, ob schwache oder starke Verschlüsselung verwendet wurde. Wurde eine schwache Verschlüsselung verwendet, ist es vielleicht möglich, sie zu knacken und die Dateien wiederherzustellen.
Bei der Durchsetzung der Schutzgeldforderungen zeigt sich Armada Collective hartnäckig. Die Erpresser mahnen mit mehreren E-Mails offene Bitcoin-Zahlung an und gewähren den attackierten Unternehmen mehrfachen Zahlungsaufschub. Ähnlich wie die schon erwähnte Erpressergruppe DD4BC führt Armada Collective nicht jede angekündigte DDoS-Attacke aus. Erkennen die Erpresser, dass ein Unternehmen einen wirkungsvollen DDoS-Schutz installiert hat, lassen sie scheinbar von ihm ab. Das könnte bedeuten, dass die Gruppe die eigenen Ressourcen schonen oder Investitionen in bezahlte Angriffe über DDoS-Mietservices sparen will. Denn das selbsterklärte Ziel der DDoS-Erpresser ist es - wie bei kriminellen Organisationen in der Offline-Welt - Geld zu verdienen und nicht das Opfer zu zerstören.
DDoS-Erpressung mit gefährlichen Amplification-Attacken
Gehen die Erpresser dennoch zum Äußersten und vollstrecken die angekündigten Attacken, erreichen diese oft Angriffsstärken zwischen 20 bis 50 Gigabit pro Sekunde(Gbps). Durch die eingesetzten Angriffsvektoren (DNS-, NTP-, SSDP-Amplification) ließen sich aber auch auf deutlich größere Volumina erreichen. Die Angreifer können auf Millionen von ungeschützten oder fehlkonfigurierten Servern im Web zugreifen und die Schlagkraft durch Amplification-Attacken im Durchschnitt um das 70-Fache erhöhen.
So meldet das OpenNTPProject aktuell über 4 Millionen offene NTP-Server. Das OpenResolverProject beziffert die Zahl der DNS-Server, die für Reflection- / Amplification-Attacken missbraucht werden können, auf fast 20 Millionen. Für die immer populäreren SSDP-Attacken können die Angreifer laut Shadowserver Foundation auf über 12 Millionen IP-Adressen mit einem offenen SSDP-Service zurückgreifen.
Die bisherige Erfahrung hat gezeigt, dass die Angriffsvolumina bei Erpressungsversuchen in der Regel unter 100 Gbps liegen. Noch hält mangelnde technische Kompetenz die Angreifer von einer Erhöhung der Schlagkraft ab. Doch es ist nur eine Frage der Zeit, bis die DDoS-Erpresser auch diesen Aspekt ihrer Arbeit weiter professionalisieren.
Statt Bitcoin-Zahlung besser richtigen DDoS-Schutz
Foto: bitcointalk.org
Ein Weg, um sich vor den volumenstarken DDoS-Attacken der Erpresser zu schützen, ist die Nutzung eines Cloud-basierten Filters, der den gesamten Datenverkehr analysiert, bereinigt und nur legitimen Traffic an das Unternehmensnetzwerk weiterleitet. Denn eine schnelle und gründliche Traffic-Filterung ist in Zeiten steigender Angriffsbandbreiten durch Reflection- / Amplification-Attacken nur mit den externen und schnell skalierbaren Ressourcen der Cloud möglich. Leistungsstarke, softwarebasierte DDoS-Schutzlösungen verfügen über mehrere hundert Gbps starke Netzwerkanbindungen. Das Scrubbing Center ist zudem im Backbone integriert. So gelingt die frühe Filterung des Datenverkehrs, die verhindert, dass der DDoS-Traffic der Erpresser bis ins Unternehmensnetzwerk gelangt und es offline nehmen kann.
Warnung vor immer neuen DDoS-Erpressungen
Die Häufung von DDoS-Erpressungen in den vergangenen Monaten, die zunehmende Professionalisierung der Täter sowie die heutigen Möglichkeiten zum Starten angriffsstarker DDoS-Attacken, zeigen das hohe Gefahrenpotenzial. Die aktuellen Erpresserwellentreffen nicht nur die Global Player, sondern auch viele kleine und mittelständische Unternehmen. Gerade diese haben oft noch keinen ausreichenden Schutz gegen die DDoS-Gefahr und sind daher leichtes Ziel. Dennoch sollten sie nie auf die Forderungen der Erpresser eingehen und Geld zahlen. Wichtig ist, dass sich Unternehmen präventiv über Notfallmanagement sowie Schutzmöglichkeiten informieren. Aktuelle Sicherheitswarnungen helfen die unternehmensspezifische Gefahrenlage richtig einzuschätzen und rechtzeitig Schutzmaßnahmen zu treffen. (mb)