Das Link11 Security Operations Center (LSOC) beobachtet neuerlich eine starke Zunahme von Ransom Distributed Denial of Service (RDDoS bzw RDoS)-Attacken. Mit dem Absender Fancy Lazarus erhalten Unternehmen aus den verschiedensten Wirtschaftsbereichen Erpresser-Mails, in denen 2 Bitcoins (Stand aktuell ca. 66.000 Euro) gefordert werden: „It’s a small price for what will happen when your whole network goes down. Is it worth it? You decide!“, argumentieren die Erpresser in ihrer E-Mail. Meldungen über RDoS-Angriffe hat das LSOC bislang aus mehreren europäischen Ländern wie Deutschland und Österreich sowie aus den USA und Kanada erhalten.
Vorgehen der DDoS-Erpresser
Die Täter informieren sich im Vorfeld über die IT-Infrastruktur des Unternehmens und machen in der Erpresser-Mail eindeutige Angaben dazu, welche Server und IT-Elemente sie für die Warn-Attacken angreifen werden. Als Druckmittel starten die Angreifer teils mehrstündige Demo-Attacken, die sich durch hohe Volumen von bis zu 200 Gbps auszeichnen. Um diese Angriffsbandbreiten zu erreichen, setzen die Täter Reflection-Amplification-Vektoren wie DNS ein. Sollten die Forderungen nicht erfüllt werden, drohen massive Hochvolumen-Attacken von bis zu 2 Tbps. Für den Transfer der Bitcoins an eine spezifische Bitcoin Wallet bleiben dem Unternehmen 7 Tage. In der E-Mail heißt es außerdem, dass sich das Lösegeld mit Verstreichen der Zahlungsfrist auf 4 Bitcoin erhöhen und mit jedem weiteren Tag um einen weiteren Bitcoin steigen würde. Teilweise bleiben nach Ablauf des Ultimatums die angekündigten Angriffe aus. In anderen Fällen kommt es zu beträchtlichen Störungen bei den erpressten Unternehmen.
Mutmaßliche Täter sorgten weltweit schon für Schlagzeilen
Die Täter sind keine Unbekannten. Mit einem identischen Erpresserscheiben wurden im Herbst 2020 schon Payment-Anbieter, Finanzdienstleister und Banken auf der ganzen Welt erpresst und mit RDoS-Angriffen überzogen. Hosting-Provider, E-Commerce-Anbieter sowie Logistik-Unternehmen standen auch im Fokus der Erpresser. Damals agierten sie unter dem Namen Lazarus Group und Fancy Bear oder gaben sich als Armada Collective aus. Auch die mehrtägigen Ausfälle an der Börse von Neuseeland werden den Tätern zugerechnet.
Die erneute Erpresser-Welle trifft viele Unternehmen zu einem Zeitpunkt, in dem sich ein Großteil der Belegschaft noch über Remote-Working organisiert und auf uneingeschränkten Zugang zum Unternehmensnetzwerk angewiesen ist. Marc Wilczek, Geschäftsführer von Link11: „Die Express-Digitalisierung, die viele Firmen in den vergangenen Pandemie-Monaten durchlaufen haben, ist häufig noch nicht zu 100 % gegen Angriffe abgesichert. Die Angriffsflächen sind stark gestiegen, die IT nicht ausreichend gehärtet. Diese noch offenen Flanken wissen die Täter zielgenau auszunutzen.“
Was bei DDoS-Erpressungen zu tun ist
Sobald sie eine Erpresser-Mail erhalten, sollten die Unternehmen proaktiv ihre DDoS-Schutzsysteme aktivieren und in keinem Fall auf die Erpressung eingehen. Wenn die Schutzlösung nicht auf Volumen-Attacken von mehreren hundert Gbps und darüber hinaus skalierbar ausgelegt ist, gilt es sich zu informieren, wie die unternehmensspezifische Schutzbandbreite kurzfristig erhöht und mittels SLA garantiert werden kann. Wenn erforderlich, ist dies auch per Notfallintegration als Sofortmaßnahme umzusetzen.
Die mehrmonatige Beobachtung der Täter durch das LSOC hat gezeigt: Firmen, die einen professionellen und umfangreichen DDoS-Schutz nutzen, können ihre Ausfallrisiken deutlich reduzieren. Sobald die Angreifer merken, dass ihre Attacken ins Leere laufen, stoppen sie diese und ziehen sich zurück.
In jedem Fall rät das LSOC den attackierten Unternehmen, Anzeige bei den Strafverfolgungsbehörden zu erstatten. Dafür sind speziell eingerichtete Zentrale Ansprechstellen für Cybercrime der Polizeien (ZAC), die bei den Landeskriminalämtern angesiedelt sind, der beste Anlaufpunkt.
Vorgehen der DDoS-Erpresser
Die Täter informieren sich im Vorfeld über die IT-Infrastruktur des Unternehmens und machen in der Erpresser-Mail eindeutige Angaben dazu, welche Server und IT-Elemente sie für die Warn-Attacken angreifen werden. Als Druckmittel starten die Angreifer teils mehrstündige Demo-Attacken, die sich durch hohe Volumen von bis zu 200 Gbps auszeichnen. Um diese Angriffsbandbreiten zu erreichen, setzen die Täter Reflection-Amplification-Vektoren wie DNS ein. Sollten die Forderungen nicht erfüllt werden, drohen massive Hochvolumen-Attacken von bis zu 2 Tbps. Für den Transfer der Bitcoins an eine spezifische Bitcoin Wallet bleiben dem Unternehmen 7 Tage. In der E-Mail heißt es außerdem, dass sich das Lösegeld mit Verstreichen der Zahlungsfrist auf 4 Bitcoin erhöhen und mit jedem weiteren Tag um einen weiteren Bitcoin steigen würde. Teilweise bleiben nach Ablauf des Ultimatums die angekündigten Angriffe aus. In anderen Fällen kommt es zu beträchtlichen Störungen bei den erpressten Unternehmen.
Mutmaßliche Täter sorgten weltweit schon für Schlagzeilen
Die Täter sind keine Unbekannten. Mit einem identischen Erpresserscheiben wurden im Herbst 2020 schon Payment-Anbieter, Finanzdienstleister und Banken auf der ganzen Welt erpresst und mit RDoS-Angriffen überzogen. Hosting-Provider, E-Commerce-Anbieter sowie Logistik-Unternehmen standen auch im Fokus der Erpresser. Damals agierten sie unter dem Namen Lazarus Group und Fancy Bear oder gaben sich als Armada Collective aus. Auch die mehrtägigen Ausfälle an der Börse von Neuseeland werden den Tätern zugerechnet.
Die erneute Erpresser-Welle trifft viele Unternehmen zu einem Zeitpunkt, in dem sich ein Großteil der Belegschaft noch über Remote-Working organisiert und auf uneingeschränkten Zugang zum Unternehmensnetzwerk angewiesen ist. Marc Wilczek, Geschäftsführer von Link11: „Die Express-Digitalisierung, die viele Firmen in den vergangenen Pandemie-Monaten durchlaufen haben, ist häufig noch nicht zu 100 % gegen Angriffe abgesichert. Die Angriffsflächen sind stark gestiegen, die IT nicht ausreichend gehärtet. Diese noch offenen Flanken wissen die Täter zielgenau auszunutzen.“
Was bei DDoS-Erpressungen zu tun ist
Sobald sie eine Erpresser-Mail erhalten, sollten die Unternehmen proaktiv ihre DDoS-Schutzsysteme aktivieren und in keinem Fall auf die Erpressung eingehen. Wenn die Schutzlösung nicht auf Volumen-Attacken von mehreren hundert Gbps und darüber hinaus skalierbar ausgelegt ist, gilt es sich zu informieren, wie die unternehmensspezifische Schutzbandbreite kurzfristig erhöht und mittels SLA garantiert werden kann. Wenn erforderlich, ist dies auch per Notfallintegration als Sofortmaßnahme umzusetzen.
Die mehrmonatige Beobachtung der Täter durch das LSOC hat gezeigt: Firmen, die einen professionellen und umfangreichen DDoS-Schutz nutzen, können ihre Ausfallrisiken deutlich reduzieren. Sobald die Angreifer merken, dass ihre Attacken ins Leere laufen, stoppen sie diese und ziehen sich zurück.
In jedem Fall rät das LSOC den attackierten Unternehmen, Anzeige bei den Strafverfolgungsbehörden zu erstatten. Dafür sind speziell eingerichtete Zentrale Ansprechstellen für Cybercrime der Polizeien (ZAC), die bei den Landeskriminalämtern angesiedelt sind, der beste Anlaufpunkt.
