:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
DDoS-Angriffe gegen Unternehmen DDoS-Erpresser wer sind sie und wie gehen sie vor?
Jedes vierte Unternehmen in Deutschland war schon von DDoS-Erpressungen betroffen. Statt nur per E-Mails zu drohen, übermitteln die Täter ihre Schutzgeldforderungen neuerdings auch in Tweets und versteckt im DDoS-Angriffstraffic. Die Erpresser selbst lassen sich grundlegend in zwei Gruppen einteilen: in Profis und Trittbrettfahrer.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Anfang 2018 erregte eine neue Art von DDoS-Erpressungen die öffentliche Aufmerksamkeit. Statt Erpresser-Mails zu schreiben übermittelten der oder die Täter ihre Schutzgeldforderungen in „paket captures“ . Die Datenpakete gehören zu den neuen und äußerst gefährlichen Memcached Reflection Attacken, die das Link11 Security Operation Center (LSOC) erstmals Ende Februar 2018 beobachteten.
Die Erpresser verlangten das Lösegeld in der Monero-Kryptowährung. Üblicherweise werden die Forderungen in Bitcoin gestellt. Im Gegensatz zu Bitcoins bietet Monero jedoch mehr Anonymität. Alle Monero-Transaktionen - über den gesamten Zahlungsweg hinweg - bleiben für Außenstehende unsichtbar. Dies macht die Nachverfolgung der Geldströme - und damit auch die Aufklärung der Straftaten - extrem schwierig bis vollständig unmöglich.
Da DDoS-Erpresser neben der Zahlungsabwicklung auch bei der Kommunikation ihre Spuren weitgehend verwischen, werden sie nur selten geschnappt. Dennoch hinterlassen sie Spuren. Seit dem Start der ersten großen Erpresserwelle in Deutschland im Jahr 2015 hat das LSOC dennoch zahlreiche Informationen zu den Tätern zusammengetragen und ausgewertet. Nach der Art ihres Vorgehens sind vor allem zwei Wellen von DDoS-Kriminellen zu unterscheiden:
Die professionellen Erpresser der ersten Welle
Die Täter dieser Gruppe investieren ihr Wissen, ihre Zeit und ihre Mittel in eine gründliche Vorbereitung eines jeden DDoS-Angriffs. Die Unternehmen werden meist einzeln und nacheinander angesprochen. Vor einer Attacke
- sorgen die Erpresser für eine sorgfältige Opferauswahl,
- führen umfassende Verwundbarkeitstests durch,
- präsentieren gut sichtbare Demo-Attacken und
- versenden individuelle Anschreiben mit einer personalisierten Bitcoin-Adresse.
Zu den bekanntesten Kriminellen, die dieses Vorgehen anwenden, gehören:
DD4BC – „Wir sind keine Amateure“
DD4BC ist seit 2014 international bekannt und in Deutschland sowie Österreich seit 2015 aktiv. Ob es sich bei DD4BC tatsächlich um einen Zusammenschluss mehrerer Cyberkriminellen oder lediglich um eine Einzelperson handelt, ist bis heute nicht bekannt. Seit der Festnahme eines mutmaßlichen Mittäters von DD4BC im Dezember 2015 in Bosnien und Herzegowina deutet jedoch vieles auf eine Gruppe hin.
Das Ziel von DD4BC bestand darin, Bitcoins zu erpressen. Die Höhe der Forderung variierte branchenabhängig und konnte bis zu 50 Bitcoins betragen. Zum Opferkreis gehörten vor allem Großunternehmen aus dem Finanzsektor, SaaS- und Hosting-Anbieter, darunter zahlreiche große Banken in Deutschland.
Die Forderung wurde mit einem Demo-Angriff untermauert. Bereits in der ersten Mail wurde auf Englisch erklärt „We are not amateurs… If you are thinking about reporting this to authorities, feel free to try. But it won‘t help.“ Zahlte das Opfer nicht, begann eine große DDoS-Attacke, die verlangte Geldsumme stieg.
Die ursprüngliche Armada Collective – „ein billiger Schutz hilft nicht“
Das ursprüngliche Armada Collective war seit Herbst 2015 europaweit tätig, der Schwerpunkt ihrer Angriffe liegt unter anderem in Griechenland und der DACH-Region. Ihre Vorgehensweise und die Art der Kommunikation waren denen von DD4BC sehr ähnlich. Zu den Opfern gehörten Banken, Hosting-Anbieter, Rechenzentrumsbetreiber sowie E-Commerce- und Online-Marketing-Agenturen.
Die Vorwarnzeiten für die Demo-Attacken, mit denen der oder die Täter, ihre Forderungen unterstrichen, waren kurz. Bereits in der ersten Mail hieß es, „Our attacks are extremely powerful … So, no cheap protection will help.“
Die Höhe der Forderung variierte zwischen 20 und 30 Bitcoins. Angeschrieben wurden gleich mehrere Empfänger in einem Unternehmen. Bei dem Angriff auf drei griechische Banken wurde die Rekordsumme von 20.000 Bitcoins verlangt. Nach dem damaligen Wechselkurs waren das umgerechnet etwa 7,3 Millionen Euro.
ZZb00t – „psychisch gestörter Gray Hat“
Die ZZb00t-Angriffe im April/Mai 2017 wurden von einem Einzeltäter verübt, der mit seinen DDoS-Attacken auf den mangelnden DDoS-Schutz der Unternehmen hinweisen wollte und die Öffentlichkeit suchte. Das Besondere bei ZZb00t war, dass der Täter die Unternehmen mit zahlreichen Tweets vor jedem seiner Angriffe frühzeitig warnte und ihnen mehrere Stunden Zeit gab, um ihre Cybersicherheit zu verbessern. Erst danach begann der Beschuss.
Zur Zielgruppe des Erpressers gehörten vor allem IT-Dienstleister, aber auch Unternehmen aus den Branchen Logistik, Telekommunikation und E-Commerce. Alle Angriffe wurden hochprofessionell ausgeführt, indem sie gleichzeitig mehrere Schwachstellen in den Sicherheitssystemen der Unternehmen nutzten.
Der Täter war früher als IT-Security-Consultant tätig und litt nach eigenen Angaben an einer „psychischen Störung“. Er bezeichnete sich selbst als „Gray Hat“. Im April 2018 wurde er zu einer Bewährungsstrafe von einem Jahr und 10 Monaten verurteilt.
Die Trittbrettfahrer der zweiten Welle
Die Trittbrettfahrer unter den Erpressern kopieren erfolgreiche Vorgehensweisen professioneller Täter.
Für ihre DDoS-Angriffe nutzen sie üblicherweise:
- bereits veröffentliche Erpresserschreiben,
- einen Massenversand für Erpresser-Mails und
- oft eine Bitcoin-Adresse für viele.
Häufig eignen sie sich sogar die bekannten Namen der professionellen Täter an, um die Angst bei ihren Opfern zu verstärken.
Die Zahlung der Forderungen wird von den Erpressern der zweiten Welle meist nicht nachverfolgt. Zahlen die Opfer nicht, werden Drohungen nicht in die Tat umgesetzt. Es folgen keine DDoS-Attacken. Zu den bekanntesten Trittbrettfahrern gehören:
Lizard Squad – DDoS-Angriff auf Bestellung
Zur Hauptzielgruppe der originalen Lizard Squad gehörten und gehören Online-Spiele-Betreiber und Social-Network-Plattformen. Die Gruppe ist immer noch hochaktiv, obwohl einige ihrer führenden Mitglieder gefasst, vor Gericht gestellt wurden und bereits zahlreiche Erpressungen gestanden haben.
Im April 2016 wurden erstmals DDoS-Erpressungen der sogenannten Wannebe Lizard Squad bekannt.
Armada Collective
Nachfolger des Armada Collective bedrohen seit Sommer 2016 immer wieder Unternehmen in der ganzen Welt. Die Copycats bluffen in den meisten Fällen. Allein über die Androhung von DDoS-Attacken sollen die Täter mehr als 100.000 Dollar verdient haben.
New World Hacking Groups
Die Gruppe New World Hacking Groups machte seit Herbst 2016 von sich reden. Ihr Pseudonym erinnerte stark an den Namen eines international bekannten Hacker-Kollektivs: die New World Hackers. Diese sollten Silvester 2015 mit einer DDoS-Attacke von 602 Gbps die Webseite der BBC lahmgelegt haben. Von den Trittbrettfahrern ist die Umsetzung von DDoS-Attacken hingegen nicht bekannt. In ihren Erpresser-Mails, deren Texte nicht vom Armada Collective oder DD4BC abgeschrieben ist, dafür aber voller Fehler sind, nutzten sie vielfach eine identische Bitcoin-Adresse. „
Die originalen New World Hackers zeigten sich auf ihrem Twitter-Account @NewWorldHacking von den DDoS-Erpressungen in ihrem Namen wenig erfreut. In einem Tweet stellten sie klar: „Once again. These are people claiming to be us. We don't send out emails for such things, period.”
Red Door – 3 Bitcoins oder es folgt ein Angriff
Die E-Commerce-Branche war das Hauptziel von Red Door. Die Erpresserschreiben waren denen von DD4BC sehr ähnlich. In ihrer Vorgehensweise richtete sich die Gruppierung aber eher nach dem ursprünglichen Armada Collective.
Die Forderungshöhe betrug üblicherweise 3 Bitcoins, verstrich die Zeit, erhöhte sich die verlangte Summe. Ein Angriff folgte jedoch nicht.
Dadurch, dass die Trittbrettfahrer häufig unter fremdem Namen auftreten, ist für die Betroffenen meist nicht zu erkennen, wie ernst die Drohung der Erpresser und wie wahrscheinlich demnach ein massiver DDoS-Angriff bei Nichtzahlung tatsächlich ist.
Cybererpressung mit Denial of Service kann jedes Unternehmen betreffen
Die Gefahr für die Unternehmen, Opfer einer DDoS-Erpressung zu werden, ist sehr hoch. Nach der aktuellen Statistik von Link11 waren in der Vergangenheit von den befragten Unternehmen bereits:
- 32,5 Prozent von einem DDoS-Angriff betroffen,
- 21,5 Prozent von DDoS-Erpressern bedroht worden,
- 21,1 Prozent durch eine akute DDoS-Notsituation dazu veranlasst, in einen DDoS-Schutz zu investieren.
Auch wenn die Zahlungen an die Erpresser von den Unternehmen sehr selten zugegeben werden, ist der wirtschaftliche Schaden für die Firmen sehr hoch. Der Imageschaden - sobald ein DDoS-Angriff in der Öffentlichkeit bekannt wird - kann sogar verheerend sein und ist nicht in Geld zu beziffern.
Neben Erpressung als Motiv treffen DDoS-Attacken ihr Ziel auch scheinbar aus dem Nichts. Im 1. Quartal 2018 wurden nach Beobachtungen des Link11 Security Operation Centers über 14.000 DDoS-Attacken auf Ziele in Deutschland, Österreich und der Schweiz gestartet.
Fazit
Der professionelle, umfassende und - vor allem aber - frühzeitige DDoS-Schutz ist für die Unternehmen der beste Weg, um sich vor den weitverbreiteten DDoS-Angriffen nachhaltig zu schützen. Denn um ihre eigene Zeit und ihre eigenen Ressourcen zu schonen, sehen die meisten Cyberkriminellen von einer Erpressung ab, sobald sie bei dem Zielunternehmen einen funktionierenden DDoS-Schutz erkennen.
Über den Autor: Marc Wilczek ist Geschäftsführer von Link11.
(ID:45417470)
:quality(80)/images.vogel.de/vogelonline/bdb/1940400/1940457/original.jpg "Unternehmen sollten regelmäßig die Einträge per DNS-Monitoring prüfen. Denn schon kleine Fehler oder veraltete Angaben können Einfallstore für Cyberkriminelle öffnen und zu großen Schäden führen. (monsitj - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1881500/1881511/original.jpg "Die Nichterreichbarkeit eines Internetangebots wird als DoS (Denial of Service) bezeichnet. Die Verweigerung dieses Dienstes resultiert oft aus Hackerattacken, sogenannter DoS- oder DDoS-Attacken (Distributed Denial of Service). (kentoh - stock.adobe.com)")