DDoS-Angriffe gegen Unternehmen

DDoS-Erpresser wer sind sie und wie gehen sie vor?

| Autor / Redakteur: Marc Wilczek / Peter Schmitz

Es gibt verschiedene Gruppierungen von Cyberkriminellen, die mit DDoS-Erpressungen Geld machen; manche davon sind Profis, andere nur Trittbrettfahrer.
Es gibt verschiedene Gruppierungen von Cyberkriminellen, die mit DDoS-Erpressungen Geld machen; manche davon sind Profis, andere nur Trittbrettfahrer. (Bild: Pixabay / CC0)

Jedes vierte Unternehmen in Deutschland war schon von DDoS-Erpressungen betroffen. Statt nur per E-Mails zu drohen, übermitteln die Täter ihre Schutzgeldforderungen neuerdings auch in Tweets und versteckt im DDoS-Angriffstraffic. Die Erpresser selbst lassen sich grundlegend in zwei Gruppen einteilen: in Profis und Trittbrettfahrer.

Anfang 2018 erregte eine neue Art von DDoS-Erpressungen die öffentliche Aufmerksamkeit. Statt Erpresser-Mails zu schreiben übermittelten der oder die Täter ihre Schutzgeldforderungen in „paket captures“ . Die Datenpakete gehören zu den neuen und äußerst gefährlichen Memcached Reflection Attacken, die das Link11 Security Operation Center (LSOC) erstmals Ende Februar 2018 beobachteten.

Die Erpresser verlangten das Lösegeld in der Monero-Kryptowährung. Üblicherweise werden die Forderungen in Bitcoin gestellt. Im Gegensatz zu Bitcoins bietet Monero jedoch mehr Anonymität. Alle Monero-Transaktionen - über den gesamten Zahlungsweg hinweg - bleiben für Außenstehende unsichtbar. Dies macht die Nachverfolgung der Geldströme - und damit auch die Aufklärung der Straftaten - extrem schwierig bis vollständig unmöglich.

Da DDoS-Erpresser neben der Zahlungsabwicklung auch bei der Kommunikation ihre Spuren weitgehend verwischen, werden sie nur selten geschnappt. Dennoch hinterlassen sie Spuren. Seit dem Start der ersten großen Erpresserwelle in Deutschland im Jahr 2015 hat das LSOC dennoch zahlreiche Informationen zu den Tätern zusammengetragen und ausgewertet. Nach der Art ihres Vorgehens sind vor allem zwei Wellen von DDoS-Kriminellen zu unterscheiden:

Die professionellen Erpresser der ersten Welle

Die Täter dieser Gruppe investieren ihr Wissen, ihre Zeit und ihre Mittel in eine gründliche Vorbereitung eines jeden DDoS-Angriffs. Die Unternehmen werden meist einzeln und nacheinander angesprochen. Vor einer Attacke

  • sorgen die Erpresser für eine sorgfältige Opferauswahl,
  • führen umfassende Verwundbarkeitstests durch,
  • präsentieren gut sichtbare Demo-Attacken und
  • versenden individuelle Anschreiben mit einer personalisierten Bitcoin-Adresse.

Zu den bekanntesten Kriminellen, die dieses Vorgehen anwenden, gehören:

DD4BC – „Wir sind keine Amateure“

DD4BC ist seit 2014 international bekannt und in Deutschland sowie Österreich seit 2015 aktiv. Ob es sich bei DD4BC tatsächlich um einen Zusammenschluss mehrerer Cyberkriminellen oder lediglich um eine Einzelperson handelt, ist bis heute nicht bekannt. Seit der Festnahme eines mutmaßlichen Mittäters von DD4BC im Dezember 2015 in Bosnien und Herzegowina deutet jedoch vieles auf eine Gruppe hin.

Das Ziel von DD4BC bestand darin, Bitcoins zu erpressen. Die Höhe der Forderung variierte branchenabhängig und konnte bis zu 50 Bitcoins betragen. Zum Opferkreis gehörten vor allem Großunternehmen aus dem Finanzsektor, SaaS- und Hosting-Anbieter, darunter zahlreiche große Banken in Deutschland.

Die Forderung wurde mit einem Demo-Angriff untermauert. Bereits in der ersten Mail wurde auf Englisch erklärt „We are not amateurs… If you are thinking about reporting this to authorities, feel free to try. But it won‘t help.“ Zahlte das Opfer nicht, begann eine große DDoS-Attacke, die verlangte Geldsumme stieg.

Die ursprüngliche Armada Collective – „ein billiger Schutz hilft nicht“

Das ursprüngliche Armada Collective war seit Herbst 2015 europaweit tätig, der Schwerpunkt ihrer Angriffe liegt unter anderem in Griechenland und der DACH-Region. Ihre Vorgehensweise und die Art der Kommunikation waren denen von DD4BC sehr ähnlich. Zu den Opfern gehörten Banken, Hosting-Anbieter, Rechenzentrumsbetreiber sowie E-Commerce- und Online-Marketing-Agenturen.

Die Vorwarnzeiten für die Demo-Attacken, mit denen der oder die Täter, ihre Forderungen unterstrichen, waren kurz. Bereits in der ersten Mail hieß es, „Our attacks are extremely powerful … So, no cheap protection will help.“

Die Höhe der Forderung variierte zwischen 20 und 30 Bitcoins. Angeschrieben wurden gleich mehrere Empfänger in einem Unternehmen. Bei dem Angriff auf drei griechische Banken wurde die Rekordsumme von 20.000 Bitcoins verlangt. Nach dem damaligen Wechselkurs waren das umgerechnet etwa 7,3 Millionen Euro.

ZZb00t – „psychisch gestörter Gray Hat“

Die ZZb00t-Angriffe im April/Mai 2017 wurden von einem Einzeltäter verübt, der mit seinen DDoS-Attacken auf den mangelnden DDoS-Schutz der Unternehmen hinweisen wollte und die Öffentlichkeit suchte. Das Besondere bei ZZb00t war, dass der Täter die Unternehmen mit zahlreichen Tweets vor jedem seiner Angriffe frühzeitig warnte und ihnen mehrere Stunden Zeit gab, um ihre Cybersicherheit zu verbessern. Erst danach begann der Beschuss.

Zur Zielgruppe des Erpressers gehörten vor allem IT-Dienstleister, aber auch Unternehmen aus den Branchen Logistik, Telekommunikation und E-Commerce. Alle Angriffe wurden hochprofessionell ausgeführt, indem sie gleichzeitig mehrere Schwachstellen in den Sicherheitssystemen der Unternehmen nutzten.

Der Täter war früher als IT-Security-Consultant tätig und litt nach eigenen Angaben an einer „psychischen Störung“. Er bezeichnete sich selbst als „Gray Hat“. Im April 2018 wurde er zu einer Bewährungsstrafe von einem Jahr und 10 Monaten verurteilt.

Die Trittbrettfahrer der zweiten Welle

Die Trittbrettfahrer unter den Erpressern kopieren erfolgreiche Vorgehensweisen professioneller Täter.

Für ihre DDoS-Angriffe nutzen sie üblicherweise:

  • bereits veröffentliche Erpresserschreiben,
  • einen Massenversand für Erpresser-Mails und
  • oft eine Bitcoin-Adresse für viele.

Häufig eignen sie sich sogar die bekannten Namen der professionellen Täter an, um die Angst bei ihren Opfern zu verstärken.

Die Zahlung der Forderungen wird von den Erpressern der zweiten Welle meist nicht nachverfolgt. Zahlen die Opfer nicht, werden Drohungen nicht in die Tat umgesetzt. Es folgen keine DDoS-Attacken. Zu den bekanntesten Trittbrettfahrern gehören:

Lizard Squad – DDoS-Angriff auf Bestellung

Zur Hauptzielgruppe der originalen Lizard Squad gehörten und gehören Online-Spiele-Betreiber und Social-Network-Plattformen. Die Gruppe ist immer noch hochaktiv, obwohl einige ihrer führenden Mitglieder gefasst, vor Gericht gestellt wurden und bereits zahlreiche Erpressungen gestanden haben.

Im April 2016 wurden erstmals DDoS-Erpressungen der sogenannten Wannebe Lizard Squad bekannt.

Armada Collective

Nachfolger des Armada Collective bedrohen seit Sommer 2016 immer wieder Unternehmen in der ganzen Welt. Die Copycats bluffen in den meisten Fällen. Allein über die Androhung von DDoS-Attacken sollen die Täter mehr als 100.000 Dollar verdient haben.

New World Hacking Groups

Die Gruppe New World Hacking Groups machte seit Herbst 2016 von sich reden. Ihr Pseudonym erinnerte stark an den Namen eines international bekannten Hacker-Kollektivs: die New World Hackers. Diese sollten Silvester 2015 mit einer DDoS-Attacke von 602 Gbps die Webseite der BBC lahmgelegt haben. Von den Trittbrettfahrern ist die Umsetzung von DDoS-Attacken hingegen nicht bekannt. In ihren Erpresser-Mails, deren Texte nicht vom Armada Collective oder DD4BC abgeschrieben ist, dafür aber voller Fehler sind, nutzten sie vielfach eine identische Bitcoin-Adresse. „

Die originalen New World Hackers zeigten sich auf ihrem Twitter-Account @NewWorldHacking von den DDoS-Erpressungen in ihrem Namen wenig erfreut. In einem Tweet stellten sie klar: „Once again. These are people claiming to be us. We don't send out emails for such things, period.”

Red Door – 3 Bitcoins oder es folgt ein Angriff

Die E-Commerce-Branche war das Hauptziel von Red Door. Die Erpresserschreiben waren denen von DD4BC sehr ähnlich. In ihrer Vorgehensweise richtete sich die Gruppierung aber eher nach dem ursprünglichen Armada Collective.

Die Forderungshöhe betrug üblicherweise 3 Bitcoins, verstrich die Zeit, erhöhte sich die verlangte Summe. Ein Angriff folgte jedoch nicht.

Dadurch, dass die Trittbrettfahrer häufig unter fremdem Namen auftreten, ist für die Betroffenen meist nicht zu erkennen, wie ernst die Drohung der Erpresser und wie wahrscheinlich demnach ein massiver DDoS-Angriff bei Nichtzahlung tatsächlich ist.

Cybererpressung mit Denial of Service kann jedes Unternehmen betreffen

Die Gefahr für die Unternehmen, Opfer einer DDoS-Erpressung zu werden, ist sehr hoch. Nach der aktuellen Statistik von Link11 waren in der Vergangenheit von den befragten Unternehmen bereits:

  • 32,5 Prozent von einem DDoS-Angriff betroffen,
  • 21,5 Prozent von DDoS-Erpressern bedroht worden,
  • 21,1 Prozent durch eine akute DDoS-Notsituation dazu veranlasst, in einen DDoS-Schutz zu investieren.

Auch wenn die Zahlungen an die Erpresser von den Unternehmen sehr selten zugegeben werden, ist der wirtschaftliche Schaden für die Firmen sehr hoch. Der Imageschaden - sobald ein DDoS-Angriff in der Öffentlichkeit bekannt wird - kann sogar verheerend sein und ist nicht in Geld zu beziffern.

Neben Erpressung als Motiv treffen DDoS-Attacken ihr Ziel auch scheinbar aus dem Nichts. Im 1. Quartal 2018 wurden nach Beobachtungen des Link11 Security Operation Centers über 14.000 DDoS-Attacken auf Ziele in Deutschland, Österreich und der Schweiz gestartet.

Fazit

Der professionelle, umfassende und - vor allem aber - frühzeitige DDoS-Schutz ist für die Unternehmen der beste Weg, um sich vor den weitverbreiteten DDoS-Angriffen nachhaltig zu schützen. Denn um ihre eigene Zeit und ihre eigenen Ressourcen zu schonen, sehen die meisten Cyberkriminellen von einer Erpressung ab, sobald sie bei dem Zielunternehmen einen funktionierenden DDoS-Schutz erkennen.

Über den Autor: Marc Wilczek ist Geschäftsführer von Link11.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45417470 / DDoS und Spam)